Das EuGH Urteil zu Privacy Shield ist durch und nun müssen bestehende AV-Verträge bzw. DPAs mit Dienstleistern in den USA noch einmal überprüft werden. Wurde als Garantie für Drittlandtransfer das Privacy Shield Abkommen oder bereits EU-Standardvertragsklauseln abgeschlossen? Das gilt es zu prüfen…

PRIVACY SHIELD – JA ODER NEIN

Wer sich nicht sicher ist, sollte den betreffenden US-Dienstleister einmal auf den Seiten des Privacy Shield Abkommens suchen.
Dies kann man unter https://www.privacyshield.gov/list tun…

Dort im Suchfenster kann man nun das Unternehmen suchen. Wird es nicht gefunden, bedurfte es ohnehin schon immer der EU-Standardvertragsklauseln, sodass diese bereits Bestandteil bzw. Zusatz des abgeschlossenen Vertrages sein sollten.

‚STRG+F‘ IST DEIN BESTER FREUND

Ist das Unternehmen Privacy Shield zertifiziert sollte man sich auf jeden Fall den bestehende AV-Vertrag (DPA) nochmal vornehmen und auf die Standardvertragsklauseln durchsuchen.
Beispielhaft nehmen wir uns mal das DPA von Salesforce vor, das man dort auch online findet:
https://www.salesforce.com/content/dam/web/en_us/www/documents/legal/Agreements/data-processing-addendum.pdf

„Strg+F“ öffnet ein Suchfenster um den Vertrag zu durchsuchen. Sucht man nun nach dem englischen Begriff „Standard Contractual Clauses“, so findet man diesen hier auch ganz schnell und somit auch die Klauseln in vollem Umfang als Anlage 3 zum Vertrag. Salesforce hatte also ähnlich wie Microsoft, Amazon AWS oder Atlassian Cloud schon mitgedacht und vorgesorgt indem die EU-Standardvertragsklauseln als Auffangnetz zusätzlich mit aufgenommen wurden.

HILFREICHE LINKS

Ein hilfreiches Tool, kann das Suchportal unter https://www.blogmojo.de/av-vertraege/ sein. Hier findet man die AV-Verträge zu 200+ Hostern, Newsletterdienstleistern etc.

Ein weiterer wichtiger Link ist die Seite der EU-Kommission, auf der man dann sofern notwendig, die EU-Standardvertragsklauseln in nahezu allen erforderlichen Sprachen herunterladen kann. Für Auftragsverarbeiter sind hier die „Controller to Processor“ Klauseln die richtigen: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en

WEITERES VORGEHEN UNGEWISS

Wie den Reaktionen der Aufsichtsbehörden und Experten zu entnehmen ist, sind auch die EU-Standardvertragsklauseln jetzt nicht der Weisheit letzter Schluss. So schreibt Dr. Johannes Caspar, Datenschutzbeauftragter Hamburgs:

„Vor diesem Hintergrund ist die Entscheidung des EuGH, die Standardvertragsklauseln (SCC) als angemessenes Instrument beizubehalten, nicht konsequent. Wenn die Ungültigkeit des Privacy Shield primär mit den ausufernden Geheimdienstaktivitäten in den USA begründet wird, muss dasselbe auch für die Standardvertragsklauseln gelten (…) Nach der heutigen EuGH-Entscheidung befindet sich der Ball wieder einmal im Spielfeld der Aufsichtsbehörden, die nun vor der Entscheidung stehen werden, insgesamt die Datenübermittlung über Standardvertragsklauseln kritisch zu hinterfragen. Das betrifft dann letztlich aber nicht nur Staaten, die sich wie die USA zumindest immerhin bemüht hatten, den Eindruck zu machen, adäquate Strukturen des Datenschutzes zu schaffen. Für Länder wie China sind derartige datenschutzrechtliche Vorkehrungen weit entfernt. Auch mit Blick auf den Brexit wird sich die Frage der zulässigen Datenübermittlung stellen. Für den internationalen Datenverkehr ziehen schwere Zeiten auf. Unter dem Strich bleibt die Erkenntnis: In den vergangenen Jahren ist es den USA, aber auch der EU-Kommission nicht gelungen, eine tragfähige Grundlage für einen angemessenen Schutz von Daten zu implementieren, die dem europäischen Datenschutzstandard entspricht. Die Auswirkungen dieses Urteils betreffen den internationalen Datentransfer insgesamt. Eine Datenübermittlung in Staaten ohne angemessenes Datenschutzniveau wird es daher künftig nicht mehr geben dürfen. Hier sind die Aufsichtsbehörden in besonderer Weise gefordert, eine gemeinsame Strategie zu entwickeln und umzusetzen.“

Der Bundesdatenschutzbeauftragte schreibt in seiner aktuellen Pressemitteilung dazu:

„Der BfDI wird nach Veröffentlichung des gesamten Urteils und den Beratungen im Europäischen Datenschutzausschuss eine weitere Stellungnahme abgeben. Dabei wird es insbesondere um die Überarbeitung der Standardvertragsklauseln durch die Europäische Kommission, als auch um die Notwendigkeit der USA, die Gewährleistung der Grundrechte der europäischen Bevölkerung der von US-Staatsangehörigen gleichzustellen, gehen.“