FAQ zu Privacy Shield Urteil: wie geht ihr mit dem Urteil um?

https://www.datenschutz.rlp.de/de/themenfelder-themen/datenuebermittlung-in-drittlaender/

Es gibt wohl keine Gnadenfrist. Finde ich bedenklich, denn wie soll man zB aus Google for Business als Firma „aussteigen“ und was ist die rechtskonforme Alternative?

Wie geht ihr mit dem Urteil um?

Umfangreiches Papier des LfDI BaWü zum Privacy-Shield Urteil (Schrems 2):

Fazit:

  • DÜ in die USA ist auf Basis des Privacy-Shield nicht mehr möglich
  • Beruft man sich auf Standardvertragsklauseln der EU reichen diese auch nicht aus, da durch den Patriot-Act behördliche Zugriffe auf Daten von EU Bürgern ohne europäische Rechtsgrundlage möglich ist.
  • Standardvertragsklausueln können nur dann verwendet werden, wenn man zusätzliche Garantien bietet, z. B. Verschlüsselung, wobei nur die Gegenstelle den Schlüssel kennt

Empfehlungen des LfDI:

  • Alle externen Anbieter mit DÜ in die USA identifizieren
  • Mit diesen Kontakt aufnehmen und weitere Vorgehen abstimmen

Vorgehen des LfDI:

  • Richtet sein Handeln an der Verhältnismäßigkeit aus
  • Betreibt man weiter DÜ in die USA muss dem LfDI nachgewiesen werden, dass es keine Alternativen gibt, sonst wird die DÜ untersagt

In Summe ein krasses Urteil, was viele Unternehmen vor große Schwierigkeiten stellt…

Auch wenn das Thema schon etwas älter ist, hole ich es mal hervor. Ich habe genau dazu jetzt ein Beispiel aus den vergangenen Wochen: Eine international tätige Werbeagentur, die Ihr Personal überall auf der Welt sitzen hat und deren Cloud in den USA liegt, wo nicht nur pbD (Mitarbeiter, Kundendaten, und Kundendaten der Kundendaten liegen)… … .

Aus eurer Sicht würde mich interessieren: Wie geht Ihr damit um? Da es keine Übergangsfristen gibt, müsste der dort tätige DSB den Veranwortlichen empfehlen umgehend sämtliche Geschäfte mit Daten aus dem europäischem Raum untersagen, was aber das Kerngeschäft des Unternehmens ruiniert - da überall auf der Welt verschiedene Spezialisten mit weilweiten Projekten beschäftigt sind. Die Cloud nach Europa zu holen wird alles Andere als einfach werden und selbst wenn das der Fall wäre, müssten pbD´s ja trotzdem in die anderen Länder übertragen werden, um Projektarbeiten zu Ende zu stellen.

Was würdet Ihr dort jetzt empfehlen?

1 Like