Düsseldorf. Nach dem Privacy Shield-Urteil des EuGH empfiehlt Kanzlei Hogan Lovells Unternehmen rasche Schritte: So sei es höchste Zeit für „Data Mapping“.
Der Europäische Gerichtshof (EuGH) hat wie berichtet das Datenschutzabkommen EU-US-Privacy-Shield für unwirksam erklärt. Das Urteil ist relevant für Unternehmen, die Daten von Nutzern, Kunden, Mitarbeitern, aber auch Gerätedaten, die auf einzelne Anwender beziehbar sind, mit Partnern oder verbundenen Unternehmen in den USA oder anderen nicht-europäischen Ländern austauschen, so Kanzlei Hogan Lovells.
Wer personenbezogene Daten von Europa in die USA oder andere Drittländer außerhalb der EU und des Europäischen Wirtschaftsraumes überträgt, müsse künftig noch genauer prüfen, ob der Datenschutz beim Empfänger gewährleistet ist. Der EuGH hat entschieden, dass das EU-U.S: Privacy Shield für den Datentransfer in die USA ab sofort keine rechtliche Grundlage mehr bilden kann.
Gleichzeitig stellt er in Frage, inwieweit Unternehmen ihre Datentransfers in die USA und in andere Drittländer auf die Standardvertragsklauseln der Europäischen Kommission stützen können. Damit habe das Urteil massive Auswirkungen auf die Rechtmäßigkeit von Datentransfers in sämtliche nicht-europäische Staaten.
Handlungsempfehlungen für Unternehmen
Unternehmen sollten Maßnahmen ergreifen, um die internationalen Datentransfers in ihrem Verantwortungsbereich mit der DSGVO und dem Urteil des EuGH in Einklang zu bringen, empfiehlt die Kanzlei.
Zu den möglichen Schritten zur Risikoreduzierung gehören demnach insbesondere folgende Maßnahmen:
- Data Mapping: Falls noch nicht geschehen, sollten Unternehmen die internationalen Datentransfers und implementierten Transfermechanismen in ihrem Verantwortungsbereich identifizieren. Dies umfasse sowohl Datentransfers zwischen einzelnen Konzerngesellschaften, einschließlich der gruppeninternen Übermittlung von Arbeitnehmerdaten, als auch Transfers an Dienstleister, Geschäftspartner oder sonstige Dritte.
- Überprüfen des Schutzniveaus im Einzelfall: Unternehmen müssen nach den Vorgaben des EuGH für jeden Einzelfall beurteilen und dokumentieren, ob ausreichende Garantien zur Absicherung der internationalen Datentransfers implementiert wurden. In dieser Hinsicht werde es bei Datenübermittlungen in die USA besonders relevant sein, inwieweit der Datenempfänger Eingriffsbefugnissen der US-Geheimdienste unterliegt.
- Wechsel zu alternativen Garantien: Stellt sich beim Data Mapping heraus, dass ausschließlich das Privacy Shield zur Legitimierung der Übermittlung verwendet wurde, müssen Unternehmen aufgrund der Unwirksamkeit des Privacy Shields auf andere Garantien umsteigen.
- Umsetzung von zusätzlichen Schutzmaßnahmen: Auch bei Datentransfers auf Grundlage der Standardvertragsklauseln sei zu prüfen, ob durch die Umsetzung zusätzlicher Schutzmaßnahmen, einschließlich des Abschlusses weitere vertraglicher Garantien („SCC Plus“), das Schutzniveau beim Empfänger angemessen gesichert werden kann.
- Stellungnahmen der Datenschutzbehörden beobachten: Die für die nächste Zeit zu erwartenden Stellungnahmen der Aufsichtsbehörden auf nationaler Ebene und des Europäischen Datenschutzausschusses sollten beachtet werden, rät Hogan Lovells. Einzelne Stellungnahmen der Datenschutzbehörden sind bereits veröffentlicht (z.B. Hamburg, Rheinland-Pfalz und Thüringen).
„Erneute gründliche Prüfung“
„Das Urteil macht deutlich, dass es in der globalisierten Welt unerlässlich ist, ein hohes Schutzniveau für personenbezogene Daten sicherzustellen. Unternehmen sollten ihre Verträge und Transfermechanismen zum Austausch von Daten mit Empfängern in den USA, aber auch anderen Drittländern, nochmals gründlich prüfen“ so Christian Tinnefeld und Martin Pflüger, Partner bei Hogan Lovells.
Außerdem sei es dringend ratsam, die weiteren Stellungnahmen und das Vorgehen der Datenschutzbehörden im Blick zu behalten. Für den internationalen Datentransfer müssten in den kommenden Wochen und Monaten angemessene und zugleich verlässliche Lösungen gefunden werden.
