Menü
Liebe Kunden, liebe Leser,
der EUGH hat mit heutigem Datum den EU-US Privacy Shield für unwirksam erklärt.
Das Urteil in deutscher Sprache (Original in Englisch) finden Sie hier.
Dies bedeutet, dass ein großer Teil der mit US-Unternehmen geschlossenen Vereinbarungen zur Auftragsverarbeitung von Daten ab sofort ungültig ist, da hier die Rechtsgrundlage entzogen wurde.
Es sind also ggf. Teile Ihrer eigenen Datenverarbeitungen mit Stichtag heute illegal geworden.
Eine Einschätzung der Lage:
Durch die Unwirksam-Erklärung fallen einige Verarbeitungsgrundlagen der Datenverarbeitung für außereuropäische Unternehmen weg.
Das heißt, dass etwaige bisherige Datenverarbeitungen bei/mit Unternehmen mit Sitz in den USA, die auf Basis eines Auftragsverarbeitungsvertrages und der Zertifizierung des Auftragsdatenverarbeiters für den EU-US Privacy Shield basieren, mit Stichpunkt heute nicht mehr gesetzeskonform sind.
Somit bleiben für eine rechtskonforme Datenübermittlung ins europäische Ausland nur noch die Standardvertragsklauseln als praktikable Grundlage. (Also vom Gesetzgerber vorgegebene Verträge, die in sich nur sehr bedingt anpassbar sind.)
Was resultiert daraus im eigentlichen Regelbetrieb im Unternehmen?
Viele der aktuell freizügig eingesetzten Software, wie auch Weblösungen haben mit dem heutigen Tage ihre Rechtsgrundlage zur Datenverarbeitung verloren.
Darunter fallen auch Unternehmen, wie z.B. Microsoft, Apple, Google, Yahoo etc.
Was ist jetzt zu tun?
Von hektischem Handeln, auch wenn jetzt gerade ein Teil der eigenen Datenverarbeitung illegal geworden sein dürfte, ist abzuraten. Die Großkonzerne werden aller Wahrscheinlichkeit auf Basis der Standardvertragsklauseln hier schnell Lösungen stricken, die die von dort bezogenen Dienste wieder legal machen. Bei kleineren Unternehmen kann, wenn diese nicht von selbst mit einem Lösungsvorschlag kommen, eine Abmachung auf Basis der Standardvertragsklauseln geschlossen werden. Unternehmen, die sich unwillig zeigen, sollten durch andere, die einen gesetzeskonformen Einsatz ermöglichen ersetzt werden.
Für manche Dienste, hinter denen ein US-Unternehmen steht, kann es sein, dass Sie einen deutschen Anbieter als Vertragspartner haben. Hier ist von Ihrer Seite aus etwas weniger zu tun, da die Umsetzung nun beim Anbieter liegt, der seinen Lieferanten (z.B. Microsoft bei MS365 oder auch Office 365) auf eine rechtlich saubere Basis stellen muss. Im Auge behalten sollten Sie dies aber trotzdem.
Folgendes Vorgehen ist angeraten:
Fazit:
Das EuGH-Urteil erklärt den EU-US Privacy Shield für ungültig und damit auch etliche aktuell bestehende Verträge/Vereinbarungen zur Auftragsverarbeitung. Planlose Hektik, um hier schnell wieder in einen legalen Bereich zu kommen, ist wenig geeignet, um saubere Lösungen zu erhalten.
Um zügig eine Lösung herbeizuführen kann auf die Standardvertragsklauseln zurückgegriffen werden. Diese sind aktuell noch gültig. Die Möglichkeit, dass in einem weiteren Verfahren aber auch diese im Hinblick auf die USA als ungültig erklärt werden ist aber durchaus gegeben. Wahlweise ist auch ein Anbieterwechsel angeraten.
Wir halten Sie hierzu auf dem Laufenden. Gerne helfen wir Ihnen auch bei der Analyse Ihres persönlichen Handlungsbedarfes und der daraus folgenden Umsetzung aller Schritte
Für Fragen zum Thema, aber auch unterstützend bei der Suche nach anderen Anbietern, stehen wir, das gesamte Compliant Business Solutions GmbH Team Ihnen persönlich zur Verfügung.
