In letzter Zeit erreichen uns immer mehr Nachfragen zum Urteil des EuGH im Hinblick auf das Urteil des EuGH zum "kippen" des EU-US-Privacy Shield.
Der Inhaber unseres Kooperationspartners DURY LEGAL Rechtsanwälte Herr Rechtsanwalt Marcus Dury, LL.M. hat für Sie die neusten Informationen auf dem Blog der Kanzlei DURY zusammengefasst.
Empfehlung von DURY LEGAL:
Allgemein lässt sich zusammenfassen, dass die Nutzung von IT-Services mit Wurzeln in den USA - für die Verarbeitung personenbezogener Daten - ab sofort nur noch in sehr engen Anwendungsfällen überhaupt noch nach der DSGVO rechtlich zulässig ist. Darüber, ob bzw. wie schnell die in Deutschland zuständigen Aufsichtsbehörden entsprechende Verstöße gegen die DSGVO verfolgen wollen bzw. können, herrscht bislang keine Klarheit.Es ist aber klar. dass die Verarbeitung personenbezogener Daten unter Nutzung von IT-Services von US-Unternehmen nun in fast allen Fällen ohne ausreichende Rechtsgrundlage i.S.d. DSGVO erfolgt und man spätestens jetzt nach Europäischen Alternativen Ausschau halten sollte und dies auch so dokumentieren sollte, dass man bei Anfragen der zuständigen Aufsichtsbehörde nicht "komplett mit heruntergelassenen Hosen dasteht". Grundsätzlich gilt aber "KEINE PANIK". Setzen Sie auf eine geordneten Umbau Ihrer IT-Services! Dann besteht eine sehr gute Chance, dass Sie im Fall einer aufsichtsbehördlichen Internvention glimpflich davon kommen. Bei Unternehmen, die besonders sensible Daten i.S.d. Art. 9 DSGVO, in den USA verarbeiten lassen, sollten jedoch alle Alarmglocken klingeln.Hier ist eine gewisse Dringlichkeit in der Umstellung der IT-Services geboten.Was ändert sich durch den Wegfall des Privacy Shield für Websitenbetreiber?
Die derzeitige Situation bei Datenexporten in die USA ist weiter unklar. Vor dem praktischen Bedürfnis, weiter Daten exportieren zu können und der bußgeldbewehrten Pflicht, die Vorgaben der DSGVO einzuhalten, ist ein einfaches „Abwarten“ nicht zu empfehlen.- Ein Datenexport, der ausschließlich auf dem EU-US-Privacy-Shield basiert sollte möglichst bald eingestellt werden. Rein rechtlich dürfte er schon jetzt unzulässig sein. Bußgelder sind jederzeit möglich, wenn wohl auch nicht kurzfristig zu erwarten.
- Sofern das amerikanische Unternehmen Standarddatenschutzklauseln verwendet, muss sichergestellt werden, dass das Datenschutzniveau europäischen Standards entspricht. In diesem Schritt sollte man auch mit den amerikanischen Unternehmen in Kontakt treten und diese zu einer Stellungnahme auffordern, ob die personenbezogenen Daten einem ausreichenden Schutzniveau unterliegen.
- Bereits jetzt sollten Unternehmen sich überlegen, welche Tools für Sie absolut notwendig sind. Eine Exit-Strategie sollte wenn möglich geplant und dokumentiert werden.