Privacy-Shield nicht mehr mit EU-Datenschutz vereinbar

Am Freitag, 16. Juli 2020, hat der Europäische Gerichtshof (EuGH) entschieden, dass der Datentransfer auf Grundlage der europäisch-amerikanischen Datenschutzvereinbarung (Privacy-Shield) mit dem Datenschutz in der EU nicht vereinbar ist.

Das Privacy-Shield Abkommen wurde somit für ungültig erklärt. Sollten Unternehmen also personenbezogene Daten bei Anbietern aus Drittländern, wie z.B. den USA, speichern, könnte das ab sofort rechtswidrig sein.

Das ist sowohl der Fall, wenn

  • Ihre Daten komplett in den USA gespeichert sind.
  • Ihre Daten zwar in der EU gespeichert sind, aber in die USA gespiegelt werden.
  • Ihre Daten zwar in der EU gespeichert sind, Administratoren in den USA jedoch darauf Zugriff haben.


Personenbezogene Daten werden auf Webseiten (CMS-Systemen), in CRM-Systemen, Marketing-Automations-Software-Lösungen, PlugIns und durch viele weitere Software-, PlugIn- und Plattform-Lösungen erfasst, verarbeitet und zur Speicherung auf Server (oftmals in Drittländer oder die USA) übertragen.

Einzige Möglichkeit zur Wahrung der Legalität und somit zur Datenübertragung in Drittländer stellen aktuell die s.g. Standardvertragsklauseln (SCCs) dar. SCCs können zur Rechtfertigung von Datentransfers in Drittländer, wie z.B. in die USA, verwendet werden. In einem solchen Fall müssen jedoch sowohl der Datenexporteur (Ihr Unternehmen) als auch der Datenimporteur (Ihr Softwarepartner im Drittland wie  z.B. den  USA) beurteilen, ob dieses Drittland ein angemessenes Datenschutzniveau bietet, und prüfen, ob der Softwareanbieter verhindern kann, dass Organe und Behörden dieses Drittlandes Zugang zu Ihren Daten erhalten.

Insbesondere in dem Drittland „USA“ stufen europäische Datenschützer die Einhaltung des Datenschutzniveaus wie in Europa als sehr kritisch ein, da den US-Behörden der Zugriff auf Daten in den USA jederzeit erlaubt ist. Der Missbrauch persönlicher Daten kann in den USA nicht gerichtlich verfolgt werden.

Weiter sind Softwarefirmen verpflichtet ihre SCCs durch die EU-Behörden überprüfen und für gültig erklären zu lassen. Es kann also sein, dass die SCCs Ihres Softwareanbieters allein nicht ausreichen, z.B. dann wenn diese zwar vorliegen aber durch die EU-Behörden nicht für gültig erklärt wurden.

Der Europäische Gerichtshof (EuGH) und erste deutsche Behörden stellen klar, dass es keine Übergangsfrist zur Einhaltung bei dem Schutz von Daten geben wird. Da Fragen zur Regelung des Datenschutzes in Deutschland auf Bundesland-Ebene geregelt werden, ist es aktuell möglich, dass die zuständigen regionalen Datenschutzbehörden den Unternehmen eine Schonfrist einräumen, bevor sie Maßnahmen ergreifen. Ein Zeitraum von 3 Monaten - bis spätestens Ende Oktober 2020 – wird aktuell diskutiert. Erste Bundesländer wie z.B. Berlin fordern aber bereits heute über ihre  Datenschutzaufsichtsbehörde alle Unternehmen auf, sofort zu handeln und ihre Daten unverzüglich nach Europa oder in Drittländer mit einem angemessenen Datenschutzniveau zu holen.

Thought Leader Systems hat die letzten Wochen für intensive Dialoge mit Datenschützern, Behörden und Software-Herstellern genutzt und konnten ein Angebot ausarbeiten, welches es Unternehmen ermöglicht ihr Risiko besser einschätzen zu können. Für etliche Unternehmen haben wir angefangen den Tech-Stack zu evaluieren & dokumentieren sowie Handlungsempfehlungen zu geben, wie mit evtl. kritischer Software im Unternehmen zu verfahren ist. Letztlich können diese Unternehmen dann auch belegen bereits aktiv geworden zu sein, was bei einer Prüfung sicher von Vorteil ist.

Mehr Info und Kontakt: https://www.thoughtleadersystems.com/de/