Select Page

Der Privacy Shield
ist Geschichte

7 Fragen, die Sie jetzt stellen sollten

Am 16. Juli 2020 hat der Europäische Gerichtshof den EU US Privacy Shield aufgehoben. Die Begründung: EU-Bürger* und -Unternehmen sind nicht ausreichend gegen Datenzugriffe amerikanischer Behörden geschützt.

Hohe Strafen
bei Verstössen

Hinzu kommen Risiken aus dem CLOUD Act (Clarifying Lawful Overseas Use of Data): Dieser erlaubt US-Behörden den Zugriff auf Daten von US-Firmen und ihren Niederlassungen, selbst wenn sie ausserhalb der USA gespeichert oder verarbeitet werden.

Sie als IT-Manager sind direkt verantwortlich für die Daten Ihrer Kunden, Mitarbeiter und Geschäftspartner – selbst dann, wenn Sie die Datenverarbeitung outsourcen. Die Strafen bei Verstössen betragen bis zu 20 Mio. Euro bzw. 4% des weltweiten Umsatzes – das ist ein völlig neues Ausmass. Die Behörden können zudem rechtswidrigen Datentransfer stoppen. Manager können persönlich haften und D&O-Versicherungen haben Grenzen.

Welche Massnahmen müssen Sie also ergreifen? Dazu liegen noch keine finalen Empfehlungen seitens des EDPB (European Data Protection Board) oder der EU-Kommission vor. Deshalb möchten wir Ihnen mit diesem Guide die wichtigsten Informationen kompakt an die Hand geben. Hier sind 7 Fragen, die Sie stellen sollten:

Faxnummern &
E-Mail-Adressen

sind personenbezogene Daten

1) Wie übertragen Sie derzeit personenbezogene Daten?

Personenbezogene Daten sind jegliche Informationen in Bezug auf eine identifizierte oder identifizierbare natürliche Person: Name, Standort, Online-Identifikatoren (bspw. IP-Adressen) sowie Fakten über physische, psychische, ökonomische oder soziale Identität – auch Faxnummern und E-Mail-Adressen zählen dazu. Ein Transfer personenbezogener Daten findet zum Beispiel bei der Korrespondenz via E-Mail, Fax oder SMS statt.

Sie müssen also klären: Welche Daten besitzen oder sammeln Sie? Wo sind diese gespeichert? Wer bearbeitet sie und wohin werden sie transferiert? Und: Haben Sie die rechtliche Grundlage für all das?

Vorsicht im Bereich
E-Mail-Security
& -Archivierung

2) Nutzen Sie IT-Dienstleistungen US-amerikanischer Firmen?

Zu möglichen Kandidaten zählen Google, Facebook, Twilio, Zoom, Proofpoint, Slack, Dropbox, Microsoft und LinkedIn. Falls ja, sollten Sie genau prüfen, ob Ihr Datenexport den DSGVO-Anforderungen gerecht wird – zum Beispiel im Bereich E-Mail-Security und -Archivierung.

Es gibt keine
Gnadenfrist

3) Arbeiten Sie mit Unternehmen zusammen, die bislang unter den Privacy Shield fielen?

Auf der Website zum Privacy Shield Framework finden Sie eine Liste all dieser Unternehmen.

Der Privacy Shield gilt nicht mehr, und es gibt keine Gnadenfrist. Falls ja, sollten Sie also umgehend klären, ob die Firmen die DSGVO-Anforderungen einhalten. Im Zweifel lassen Sie sich eine Bestätigung ausstellen, dass an keinem Punkt der Verarbeitung Daten in die USA bzw. an Dienstleister in den USA übertragen werden.

Kein gleichwertiger
Schutz
bei SCCs und BCRs

4) Können Sie den Privacy Shield durch SCCs oder BCRs ersetzen?

Laut dem EDPB garantiert die US-Gesetzgebung bei SCCs (Standardvertrags-klauseln) und BCRs (Verbindliche Unternehmensregeln) keinen gleichwertigen Schutz (gemäss Statement vom 24. Juli 2020). Diese Einschätzung gilt auch für entsprechende Vereinbarungen mit Ländern wie China oder Russland.

Die individuelle Vereinbarung von SCCs und BCRs mit jedem US-Anbieter erfordert hohe administrative und juristische Aufwände. Zudem sind ergänzende Mass-nahmen nötig – hierzu gibt es Stand November 2020 nur vorläufige Umsetzungs-Empfehlungen vom EDPB (bislang nur auf Englisch). Die Risiken aus dem CLOUD Act bleiben bei Verwendung von SCCs und BCRs bestehen.

Hohe Hürden
für individuelle Einwilligung

5) Dürfen Sie weiterhin gemäss den Sonderregeln aus Art. 49 DSGVO Daten in die USA transferieren?

Grundsätzlich ja, sofern die Bedingungen erfüllt werden. Aber die Hürden sind hoch: Eine individuelle Einwilligung muss ausdrücklich, spezifisch und informiert gegeben werden.

Art. 49 DSGVO im Wortlaut

Retarus garantiert
innereuropäische
Datenverarbeitung

7) Was, wenn Sie eine DSGVO-konforme Lösung für Ihre Unternehmenskommunikation suchen?

Steigen Sie jetzt um und reduzieren Sie Ihre Datenschutz-Risiken auf null – mit den innovativen Plattform-Services von Retarus. Denn wir verarbeiten sämtliche Daten unserer europäischen Kunden ausschliesslich in europäischen Rechenzentren – in Frankfurt, München und Zürich. Wir stellen die innereuropäische Verarbeitung auch während Failover oder Wartung sicher. Retarus nutzt keine US-Hyperscalers wie Google, AWS oder Azure. Die retarus GmbH mit Sitz in Deutschland ist seit ihrer Gründung inhabergeführt, ohne Beteiligung ausländischer Unternehmen.

Wenn nötig, können Sie innerhalb von 24 Stunden mit Ihrem E-Mail-, SMS- und Fax-Verkehr in die Retarus Enterprise Cloud umziehen. Verschaffen Sie sich einen schnellen Überblick über unsere Services und erfahren Sie, wie wir Sie bei der Umsetzung von Compliance-Auflagen unterstützen.

Fazit

Die Lage in Sachen Datenschutz erscheint momentan undurchsichtig und aufwendig. Aber wir sollten nicht vergessen, dass die ganze Aufregung auch viel Positives bringt: Denn Ihre sensiblen Geschäftsdaten werden so besser geschützt. DSGVO wird schliesslich grossgeschrieben!

Noch Fragen? Kontaktieren Sie uns!

Wir machen darauf aufmerksam, dass diese Seite lediglich dem unverbindlichen Informationszweck dient und keine Rechtsberatung im eigentlichen Sinne darstellt. Der Inhalt dieses Angebots kann und soll eine individuelle und verbindliche Rechtsberatung, die auf Ihre spezifische Situation eingeht, nicht ersetzen. Insofern verstehen sich alle angebotenen Informationen ohne Gewähr auf Richtigkeit und Vollständigkeit.

* Im Text wird aus Gründen der Lesbarkeit nur die männliche Form verwendet. Sie bezieht sich aber auf Personen jeden Geschlechts.