{"id":2542,"date":"2020-09-30T13:47:30","date_gmt":"2020-09-30T11:47:30","guid":{"rendered":"https:\/\/www.ecovis.com\/datenschutzberater\/?p=2542"},"modified":"2021-08-29T21:11:53","modified_gmt":"2021-08-29T19:11:53","slug":"nach-dem-privacy-shield-jetzt-handeln","status":"publish","type":"post","link":"https:\/\/www.ecovis.com\/datenschutzberater\/nach-dem-privacy-shield-jetzt-handeln\/","title":{"rendered":"Nach dem Privacy Shield \u2013 jetzt handeln!"},"content":{"rendered":"

Seit der Entscheidung des Europ\u00e4ischen Gerichtshofes vom 16.07.2020 im sog. Schrems II-Verfahren ist jede \u00dcbermittlung personenbezogener Daten in die USA und an US-amerikanische Dienstleister in Europa in vielen F\u00e4llen unzul\u00e4ssig. Die Datenschutzaufsichtsbeh\u00f6rden erwarten jetzt die dokumentierte Umsetzung der gerichtlichen Anforderungen durch alle Unternehmen, die Dienstleister oder Sub-Dienstleister au\u00dferhalb der europ\u00e4ischen Union in die Verarbeitung von personenbezogenen Daten einschalten. Was m\u00fcssen Sie als Unternehmer jetzt veranlassen?<\/strong><\/p>\n

Welche Bereiche stehen hier im Focus?<\/h3>\n

Besonders betroffen sind cloudbasierte Verarbeitungssysteme mit Besch\u00e4ftigten- und\/oder Gesundheitsdaten. Dies trifft besonders f\u00fcr Personalverwaltungsdienste<\/strong> und Arbeitsorganisationstools, aber auch Videokonferenzsysteme<\/strong> oder andere Online-Tools zum Datenaustausch zu, die durch Mitarbeiter im Unternehmen benutzt werden.<\/p>\n

Ein weiterer Schwerpunkt bleiben die Internetpr\u00e4sentationen<\/strong>. Nach den ersten Erg\u00e4nzungen der Datenschutzhinweise aufgrund der ge\u00e4nderten Rechtslage m\u00fcssen nun die n\u00e4chsten Schritte erfolgen, wenn die Nutzung von Dienstleistern au\u00dferhalb der EU auch nach Ihrer Pr\u00fcfung von Alternativen weiterhin erforderlich sein sollte.<\/p>\n

Insbesondere die Einbindung von Marketing- und Analysetools<\/strong>, aber auch von Dienstleistern f\u00fcr zus\u00e4tzliche Funktionen wie Kartenansichten, Buchungstools, Newslettertools oder Videoplattformen m\u00fcssen auf europ\u00e4ische Alternativen gepr\u00fcft oder zumindest die Weiterleitung von Nutzerdaten eingeschr\u00e4nkt werden.<\/p>\n

Erst dann greift die Ausnahmeregelung<\/strong> der Einholung einer wirksamen Einwilligung nach Art.\u00a049 DSGVO<\/strong> als rechtlich zul\u00e4ssige \u00dcbermittlungsnorm ohne einem angemessenen Datenschutzniveau, wie der Gerichtshof in seiner Entscheidung festgestellt hat<\/p>\n

Sie beauftragen nur deutsche\/europ\u00e4ische Dienstleister – m\u00fcssen Sie trotzdem handeln?<\/h3>\n

JA, das Urteil betrifft nicht nur die Unternehmen mit Sitz in den USA, sondern alle Dienstleister auch mit Sitz in Deutschland oder Europa, wenn diese ihrerseits wieder Daten an Subdienstleister oder verbundene Unternehmen au\u00dferhalb der Europ\u00e4ischen Union \u00fcbermitteln. Hier darf sich der Unternehmer nicht auf Zusicherungen in den Auftragsverarbeitungsvertr\u00e4gen verlassen, sondern muss diese auch auf Daten\u00fcbermittlungen au\u00dferhalb der EU pr\u00fcfen.<\/p>\n

Was ist f\u00fcr Sie zu tun?<\/h3>\n

Wie wir bereits in unserer Meldung vom 16.07.2020<\/a> empfohlen haben, erwarten die zust\u00e4ndigen Datenschutzaufsichtsbeh\u00f6rden eine dokumentierte Pr\u00fcfung<\/strong> aller Unternehmensprozesse unter Einbeziehung von externen Dienstleistern auf ihre Erforderlichkeit und Rechtm\u00e4\u00dfigkeit nach der Entscheidung des EuGH. Verantwortlich f\u00fcr die Durchf\u00fchrung dieser Pr\u00fcfung und die Bewertung der Ergebnisse sind Sie als der jeweilige europ\u00e4ische Auftraggeber. Nur dann, wenn kein europ\u00e4ischer Dienstleister vergleichbare Dienste anbietet, kann ein au\u00dfereurop\u00e4ischer Dienstleister in Betracht gezogen werden.<\/p>\n

Schreiben Sie Ihre Dienstleister\/Auftragnehmer an und fordern Sie einen Nachweis dar\u00fcber, welche zus\u00e4tzlichen Gew\u00e4hrleistungen mit dem jeweiligen Subunternehmer mit Sitz au\u00dferhalb der EU zum Schutz IHRER Daten vereinbart wurden.<\/p>\n

Gibt es praktikable L\u00f6sungen, die die neuen Anforderungen umsetzen?<\/h3>\n

F\u00fcr die Internetpr\u00e4sentationen empfehlen wir die Verkn\u00fcpfung der \u2013 ohnehin erforderlichen – Cookie-Einwilligungen mit der zus\u00e4tzlich erforderlichen Einwilligung bei \u00dcbermittlungen durch Nutzung von Dienstleistern au\u00dferhalb der EU. F\u00fcr diesen Zweck haben wir gemeinsam mit der Rostocker Internetagentur Qbus eine integrierte L\u00f6sung entwickelt, die alle gegenw\u00e4rtigen rechtlichen Anforderungen aus dem Gesetz, aufsichtsbeh\u00f6rdlichen Entscheidungen und Gerichtsurteilen der letzten Jahre umsetzt. So funktioniert easyConsent<\/a><\/strong>.<\/p>\n

<\/i>Download PDF<\/div><\/a>\n

<\/h3>\n

Mein Dienstleister hat bereits EU-Standardvertragsklauseln vereinbart, das reicht doch?<\/h3>\n

NEIN, der Gerichtshof hat klargestellt, dass die bisherigen Standardvertr\u00e4ge zwar weiterhin gelten, aber nur wenn sie um weitere Regelungen erg\u00e4nzt werden. Diese m\u00fcssen von den Dienstleistern eingefordert werden, falls diese nicht aktiv selbst auf die Unternehmen zukommen.<\/p>\n

Diese \u201eweiteren Zusicherungen<\/strong>\u201c m\u00fcssen geeignet sein, den (nach amerikanischem Recht) rechtm\u00e4\u00dfigen Zugriff durch amerikanische Sicherheitsbeh\u00f6rden zu unterbinden – beispielsweise durch eine wirksame Verschl\u00fcsselung, besser noch Anonymisierung der Daten. Der europ\u00e4ische Auftraggeber muss \u00fcberzeugt sein, dass diese zus\u00e4tzlichen Sicherungen ausreichend sind, um die Rechte und Freiheiten der Betroffenen in gleicher Weise zu sch\u00fctzen, wie dies in Europa der Fall ist (Angemessenheit). Bei Zweifeln ist die zust\u00e4ndige Datenschutzaufsichtsbeh\u00f6rde zu konsultieren und deren Entscheidung nach Art.\u00a046 (4) a DSGVO oder im Rahmen einer Datenschutzfolgeneinsch\u00e4tzung gem. Art.\u00a057 (1) lit.\u00a0 l i.V.m. 36 (2) DSGVO einzuholen.<\/strong><\/p>\n

Die Anforderungen gelten gleicherma\u00dfen ab 31.12.2020 f\u00fcr alle \u00dcbermittlungen nach Gro\u00dfbritannien (Brexit!)<\/strong> und grunds\u00e4tzlich f\u00fcr alle Dienstleister in L\u00e4nder au\u00dferhalb der EU.<\/p>\n

Was ist mit Facebook, Twitter & Co.?<\/h3>\n

Unter Hochdruck arbeiten die Aufsichtsbeh\u00f6rden an einem einheitlichen Vorgehen gegen\u00fcber den US-amerikanischen Social-Media-Anbietern<\/strong>. Um hier ein einheitliches Vorgehen aller Aufsichtsbeh\u00f6rden festzulegen, hat der Europ\u00e4ische Datenschutzausschuss eine Task-Force gebildet, die unter Leitung des Bundesbeauftragten \u201eim Herbst\u201c Ergebnisse vorlegen will. Sobald diese Ergebnisse vorliegen, werden wir weitere Empfehlungen entwickeln k\u00f6nnen und zur Verf\u00fcgung stellen.<\/p>\n

Was hat das Gericht beanstandet?<\/h3>\n

Aufgrund amerikanischer Gesetze ist kein amerikanisches Unternehmen in der Lage, die bei ihm verarbeiteten Daten von europ\u00e4ischen Nutzern vor dem Zugriff durch amerikanische Sicherheitsbeh\u00f6rden zu sch\u00fctzen. Unternehmen k\u00f6nnen auch gezwungen sein, solche Daten von europ\u00e4ischen Tochterunternehmen oder Dienstleistern und Rechenzentren innerhalb der Europ\u00e4ischen Union bereitzustellen. Es kann den Unternehmen auch untersagt werden, seine Auftraggeber aus der EU \u00fcber diese Anordnungen zu informieren. Aufgrund amerikanischen Rechts kann kein Europ\u00e4er solche Anordnungen vor einem unabh\u00e4ngigen Gericht pr\u00fcfen lassen. All dies verst\u00f6\u00dft gegen europ\u00e4isches Verfassungsrecht und die Datenschutzgrundverordnung und ist somit unzul\u00e4ssig. Weil dies so ist – und eine \u00c4nderung der amerikanischen Gesetze genauso unwahrscheinlich wie eine \u00c4nderung der europ\u00e4ischen Grundrechtecharta erscheint – d\u00fcrfen europ\u00e4ische Unternehmen solche Dienstleister nicht weiter nutzen.<\/p>\n

Weitere Informationen zum Verfahren hier<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"

Seit der Entscheidung des Europ\u00e4ischen Gerichtshofes vom 16.07.2020 im sog. Schrems II-Verfahren ist jede \u00dcbermittlung personenbezogener Daten in die USA und an US-amerikanische Dienstleister in Europa in vielen F\u00e4llen unzul\u00e4ssig. Die Datenschutzaufsichtsbeh\u00f6rden erwarten jetzt die dokumentierte Umsetzung der gerichtlichen Anforderungen durch alle Unternehmen, die Dienstleister oder Sub-Dienstleister au\u00dferhalb der europ\u00e4ischen Union in die Verarbeitung von […]<\/p>\n","protected":false},"author":9,"featured_media":2449,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[29],"tags":[],"class_list":["post-2542","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-datenschutzberatung"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/posts\/2542","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/users\/9"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/comments?post=2542"}],"version-history":[{"count":3,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/posts\/2542\/revisions"}],"predecessor-version":[{"id":2548,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/posts\/2542\/revisions\/2548"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/media\/2449"}],"wp:attachment":[{"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/media?parent=2542"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/categories?post=2542"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/tags?post=2542"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}