Nach EU-Recht dürfen Sie personenbezogene Daten nur dann in die Vereinigten Staaten übermitteln, wenn angemessene Garantien vorhanden sind und unter der Bedingung, dass durchsetzbare Rechte der betroffenen Personen und wirksame Rechtsmittel für die betroffenen Personen in der EU verfügbar sind. Dazu müssen Sie zunächst einen nach EU-Recht zulässigen Übermittlungsmechanismus einführen.
Zu den Übermittlungsmechanismen gehört die Verwendung von Standardvertragsklauseln ("SCC") oder verbindlichen unternehmensinternen Regeln ("BCR") zur Regelung von Datenübermittlungen in Länder außerhalb der EU. Vor dem 16. Juli 2020 war die Registrierung beim US-Handelsministerium im Rahmen des EU-US-Datenschutzschilds ein weiterer akzeptabler Transfermechanismus.
Am 16. Juli 2020 wurde jedoch durch die Schrems-II-Entscheidung des Europäischen Gerichtshofs (EuGH) das EU-U.S.-Privacy Shield Framework als Methode für die rechtmäßige Übermittlung und den Schutz personenbezogener Daten außerhalb der EU für ungültig erklärt. Von dieser Entscheidung sind auch SCCs und BCRs betroffen, die als Übermittlungsmechanismen nicht für ungültig erklärt wurden.
Das Swiss-U.S. Privacy Shield Framework wurde ebenfalls als unzureichend für einen Transfermechanismus befunden.
Was sollte ich tun, wenn ich mich derzeit auf den Privacy Shield als Übermittlungsmechanismus verlasse?
Wenn Sie bereits beim US-Handelsministerium unter dem EU-U.S. Privacy Shield Framework registriert sind, sollten Sie bedenken, dass Ihre bestehenden Verpflichtungen zum Privacy Shield Framework weiterhin von der U.S. Federal Trade Commission durchgesetzt werden können.
Das US-Handelsministerium hat mitgeteilt, dass es das Privacy-Shield-Programm weiterhin verwalten wird, einschließlich der Bearbeitung von Anträgen auf Selbstzertifizierung und Neuzertifizierung für das Privacy-Shield-Rahmenwerk und der Pflege der Privacy-Shield-Liste.
Sie werden auch einen neuen Übermittlungsmechanismus implementieren müssen - höchstwahrscheinlich SCCs.
SCCs sind eine weitere Methode, um personenbezogene Daten rechtmäßig in Länder außerhalb der EU zu übertragen und sicherzustellen, dass personenbezogene Daten im Einklang mit dem EU-Recht geschützt bleiben. Sie bestehen aus nicht verhandelbaren Formulierungen, die von der Europäischen Kommission für Vereinbarungen über die Übermittlung personenbezogener Daten in Länder außerhalb der EU genehmigt wurden.
Wie bereits erwähnt, reicht die derzeitige Fassung der SCCs nach Schrems II wahrscheinlich nicht aus, um die Anforderungen zu erfüllen. Die Leitlinien legen nahe, dass Unternehmen "Risikobewertungen" für den Datentransfer durchführen und "zusätzliche Maßnahmen" ergreifen müssen (wie z. B. die Verschlüsselung von Daten während der Übertragung und vertragliche oder politische Verpflichtungen des Website-Betreibers, die den staatlichen Zugriff auf Daten einschränken), um Daten rechtmäßig in die USA zu übertragen.
Wir weisen darauf hin, dass die BCR wie die SCC zwar nicht durch Schrems II außer Kraft gesetzt wurden, aber dennoch möglicherweise nicht ausreichend sind. Auch wenn BCR für Ihr Unternehmen eine Option sein könnten, eignen sie sich aufgrund des hohen Zeit- und Kostenaufwands für ihre Umsetzung in der Regel am besten für multinationale Unternehmen.
Wir werden diese FAQ mit spezifischeren Anweisungen aktualisieren, sobald die EU-Aufsichtsbehörden in den kommenden Monaten zusätzliche Leitlinien herausgeben.
Was ist, wenn ich mich nicht auf das Privacy Shield als Übertragungsmechanismus verlasse?
Auch wenn Sie sich nicht auf das Privacy Shield verlassen, müssen Sie möglicherweise Datenübermittlungen aus EU-Mitgliedstaaten in ein Land außerhalb der EU (sei es die USA oder ein anderes Land) neu bewerten. Insbesondere sollten Sie sicherstellen, dass geeignete Schutzmaßnahmen vorhanden sind, um den Schutz personenbezogener Daten im Einklang mit den EU-Anforderungen in Bezug auf internationale Datenübermittlungen personenbezogener Daten aus der EU zu gewährleisten (z. B. in Bezug auf eine ursprüngliche Datenübermittlung aus der EU oder bei Weiterübermittlungen außerhalb der EU).