Sie speichern oder verarbeiten personenbeziehbare Daten in den USA oder nutzen die Dienstleistungen eines US-amerikanischen Unternehmens oder ihr Dienstleister in der EU nutzt seinerseits Unterauftragnehmer in den USA? Dann m\u00fcssen Sie jetzt handeln und kl\u00e4ren, ob diese Datenverarbeitung weiterhin zul\u00e4ssig ist! Sie sind f\u00fcr die Rechtm\u00e4\u00dfigkeit jeder \u00dcbermittlung verantwortlich, wenn Sie eine solche in Auftrag geben! Teilen Sie ihrem Datenschutzbeauftragten mit, ob und zu welchem Unternehmen in den USA Daten \u00fcbermittelt werden – wir pr\u00fcfen gemeinsam mit unseren Kunden, ob und welcher Handlungsbedarf besteht.<\/p>\n
Die Datenschutz-Grundverordnung definiert klare Regelungen f\u00fcr die \u00dcbermittlung von personenbezogenen Daten in Drittl\u00e4nder. Grunds\u00e4tzlich muss ein angemessenes Schutzniveau vorliegen, welches durch einen Angemessenheitsbeschluss der Kommission anhand des EU-US-Datenschutzschild (Privacy Shield) oder geeignete Garantien wie Standarddatenschutzklauseln oder verbindliche interne Datenschutzvorschriften dargelegt wird.<\/p>\n
Ein \u00f6sterreichischer Staatsangeh\u00f6riger (Betroffener) legte aufgrund der \u00dcbermittlung seiner Daten von Facebook in die USA Beschwerde bei der irischen Aufsichtsbeh\u00f6rde ein, da die Vereinigten Staaten keinen ausreichenden Schutz seiner Daten b\u00f6ten. Diese Beschwerde wurde aufgrund der damals bestehenden Safe-Harbour-Entscheidung der Kommission zur\u00fcckgewiesen.<\/p>\n
Mit dem Urteil vom 06. Oktober 2015 erkl\u00e4rte der Gerichtshof die Safe-Harbour-Entscheidung f\u00fcr ung\u00fcltig und die Zur\u00fcckweisung wurde aufgehoben.<\/p>\n
Auf Aufforderung der irischen Aufsichtsbeh\u00f6rde wurde die Beschwerde durch den Betroffenen unter Ber\u00fccksichtigung der Ung\u00fcltigkeitserkl\u00e4rung umformuliert. Die \u00dcbermittlung personenbezogener Daten an die Vereinigten Staaten anhand von Standardvertragsklauseln solle ausgesetzt und verboten werden. Nach Einleitung des Verfahrens vor dem irischen High Court erlie\u00df die Kommission den Beschluss \u00fcber die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes.<\/p>\n
Aufgeworfen wurden damit die Fragen nach der G\u00fcltigkeit der Standardschutzklauseln sowie des EU-US-Datenschutzschildes, die in dem heutigen Urteil bewertet wurden.<\/p>\n
Anwendung findet das Urteil auf die \u00dcbermittlung personenbezogener Daten zu gewerblichen Zwecken.<\/p>\n
Der Beschluss \u00fcber den EU-US-Datenschutzschild wurde f\u00fcr ung\u00fcltig erkl\u00e4rt, da ein unzureichender Schutz vor staatlichem Zugriff best\u00fcnde. Damit kann die \u00dcbermittlung von personenbezogenen Daten in Drittl\u00e4nder nicht l\u00e4nger darauf gest\u00fctzt werden und w\u00e4re datenschutzrechtlich unzul\u00e4ssig.<\/p>\n
Die Standardvertragsklauseln dagegen haben entsprechend des Urteils weiterhin Bestand, wodurch die G\u00fcltigkeit und Anwendbarkeit dieser weiterhin gegeben ist. Zu beachten ist jedoch, dass nur dann eine rechtliche Basis f\u00fcr die Daten\u00fcbermittlung gegeben ist, wenn der gebotene Datenschutz garantiert wird. Standardvertragsklauseln sind nur dann g\u00fcltig, wenn die Rechtsordnung des Landes, in das die Daten \u00fcbermittelt werden sollen, die erforderlichen Garantien bietet. Dies beinhaltet den effektiven Rechtsschutz gegen staatliche Datenzugriffe.<\/p>\n
Weitere Verfahren und Entscheidungen bleiben abzuwarten. Zun\u00e4chst hat die irische Aufsichtsbeh\u00f6rde bei Facebook entsprechende Pr\u00fcfungen anzuregen.<\/p>\n
Nach dieser EuGH-Entscheidung muss die \u00dcbermittlung personenbezogener Daten in die USA unterbleiben, wenn sie sich rein auf das EU-US-Datenschutzschild st\u00fctzt.<\/p>\n
Auch wenn das System der Standardvertragsklausen vorerst bestehen bleibt, m\u00fcssen diese \u00fcberpr\u00fcft und gegebenenfalls ausgesetzt werden. Eine \u00dcbermittlung personenbezogener Daten sollte umgehend ausgesetzt werden, wenn die Standarddatenschutzklauseln nicht eingehalten werden oder der erforderliche Schutz der \u00fcbermittelten nicht durch andere Mittel gew\u00e4hrleistet werden kann. Das betrifft auch die \u00dcbermittlung in andere Drittstaaten mit zweifelhaften rechtsstaatlichen Garantien, vor allem aber die Vereinigten Staaten und Gro\u00dfbritannien (weiterf\u00fchrende Informationen zum Brexit finden Sie hier<\/a>).<\/p>\n Zu pr\u00fcfen sind nunmehr die vertraglichen Regelungen zwischen Ihnen und dem im Drittland ans\u00e4ssigen Vertragspartner sowie die ma\u00dfgeblichen Aspekte der Rechtsordnung des entsprechenden Landes in Bezug auf einen etwaigen Zugriff der Beh\u00f6rden auf die \u00fcbermittelten Daten.<\/p>\n Teilen Sie uns bitte mit, ob Sie Vertragspartner in einem Drittland haben, mit denen Sie personenbezogene Daten austauschen und \u00fcbersenden Sie uns gern die bestehenden Vertr\u00e4ge zur Pr\u00fcfung.<\/p>\n","protected":false},"excerpt":{"rendered":" Sie speichern oder verarbeiten personenbeziehbare Daten in den USA oder nutzen die Dienstleistungen eines US-amerikanischen Unternehmens oder ihr Dienstleister in der EU nutzt seinerseits Unterauftragnehmer in den USA? Dann m\u00fcssen Sie jetzt handeln und kl\u00e4ren, ob diese Datenverarbeitung weiterhin zul\u00e4ssig ist! Sie sind f\u00fcr die Rechtm\u00e4\u00dfigkeit jeder \u00dcbermittlung verantwortlich, wenn Sie eine solche in Auftrag […]<\/p>\n","protected":false},"author":9,"featured_media":2159,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[29],"tags":[],"class_list":["post-2335","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-datenschutzberatung"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/posts\/2335","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/users\/9"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/comments?post=2335"}],"version-history":[{"count":3,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/posts\/2335\/revisions"}],"predecessor-version":[{"id":2543,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/posts\/2335\/revisions\/2543"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/media\/2159"}],"wp:attachment":[{"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/media?parent=2335"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/categories?post=2335"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/tags?post=2335"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}