Durch den Wegfall des EU-US Privacy Shield entfällt für zahlreiche Anwendungen die ordnungsgemäße Rechtsgrundlage, falls diese auf der Tatsache beruhten, dass der US-Dienstleister sich nur nach diesem Standard zertifiziert hatte. Dazu reichte es bisher aus, dass der in USA ansässige IT-Dienstleister, Softwareanbieter oder Rechenzentrumsdienstleister in der öffentlichen Privacyshield List aufgeführt und für normale Daten (non-HR) oder Personaldaten (HR) zertifiziert war. In den entsprechenden Verarbeitungstätigkeiten im Datenschutzmanagementsystem war dies die ausreichend zu dokumentierende Rechtsgrundlage.
Dies entfällt nun! All diese betroffenen Anwendungen oder Vorgänge, die sich auf diese Rechtsgrundlage verließen, haben mit Rechtskraft dieses Urteils keinen hinreichenden Erlaubnistatbestand. Die Nutzung ist somit verboten. Bei einer weiteren Nutzung besteht für all diese Szenarien, erstmal ein Bußgeldtatbestand, weil gegen die DSGVO verstoßen wird. Dies betrifft mit großer Sicherheit tausende Anwendungsszenarien.
Da als Alternative nach wie vor Standardvertragsklauseln akzeptiert werden, gilt es zu prüfen, ob der US-Anbieter solche zur Verfügung stellt oder diese mit ihm abgeschlossen werden kann. Als positives Beispiel dient uns hier tatsächlich Microsoft: Denn obwohl die Microsoft Corp. als IT-Unternehmen in der Privacy Shield Liste für HR und Non-HR Daten längst gelistet war, bot es für deutsche Kunden z.B. von Office 365 bereits einwandfreie, an die Licence-Terms angegliederte Standardvertragsklauseln an. Auf die Nutzung dieser Dienste dürfte das EuGH Urteil also erstmal keinen Einfluss haben.
Aber auch für konzerninterne Datenübertragung in die USA, die sich bisher auf den Privacy Shield gestützt haben besteht Handlungsbedarf! Es Diese Standardvertragsklauseln bereits abgeschlossen sein oder schnellstmöglich nachgeholt werden, ansonsten droht Bußgeld.
Wichtig: Falls Sie einen externen DSB bei uns beauftragt haben, prüfen wir sukzessive alle entsprechenden Verarbeitungstätigkeiten und informieren Sie ggf.!
Sie haben keinen Datenschutzbeauftragten bei uns bestellt, brauchen aber dennoch kompetente Beratung, damit Ihr Unternehmen weiterhin rechtskonform agieren kann?
Wir sind gerne für Sie da! Kontaktieren Sie uns einfach.