Der Privacy Shield
ist Geschichte
7 Fragen, die Sie jetzt stellen sollten
Am 16. Juli 2020 hat der Europäische Gerichtshof den EU US Privacy Shield aufgehoben. Die Begründung: EU-Bürger* und
Hohe Strafen
bei Verstössen
Sie als IT-Manager sind direkt verantwortlich für die Daten Ihrer Kunden, Mitarbeiter und Geschäftspartner – selbst dann, wenn Sie die Datenverarbeitung outsourcen. Die Strafen bei Verstössen betragen bis zu 20 Mio. Euro bzw. 4% des weltweiten Umsatzes – das ist ein völlig neues Ausmass. Die Behörden können zudem rechtswidrigen Datentransfer stoppen. Manager können persönlich haften und D&O-Versicherungen haben Grenzen.
Welche Massnahmen müssen Sie also ergreifen? Dazu liegen noch keine finalen Empfehlungen seitens des EDPB (European Data Protection Board) oder der EU-Kommission vor. Deshalb möchten wir Ihnen mit diesem Guide die wichtigsten Informationen kompakt an die Hand geben. Hier sind 7 Fragen, die Sie stellen sollten:
Faxnummern &
E-Mail-Adressen
sind personenbezogene Daten
1) Wie übertragen Sie derzeit personenbezogene Daten?
Sie müssen also klären: Welche Daten besitzen oder sammeln Sie? Wo sind diese gespeichert? Wer bearbeitet sie und wohin werden sie transferiert? Und: Haben Sie die rechtliche Grundlage für all das?
Vorsicht im Bereich
E-Mail-Security
& -Archivierung
2) Nutzen Sie IT-Dienstleistungen US-amerikanischer Firmen?
Es gibt keine
Gnadenfrist
3) Arbeiten Sie mit Unternehmen zusammen, die bislang unter den Privacy Shield fielen?
Der Privacy Shield gilt nicht mehr, und es gibt keine Gnadenfrist. Falls ja, sollten Sie also umgehend klären, ob die Firmen die DSGVO-Anforderungen einhalten. Im Zweifel lassen Sie sich eine Bestätigung ausstellen, dass an keinem Punkt der Verarbeitung Daten in die USA bzw. an Dienstleister in den USA übertragen werden.
Kein gleichwertiger
Schutz bei SCCs und BCRs
4) Können Sie den Privacy Shield durch SCCs oder BCRs ersetzen?
Die individuelle Vereinbarung von SCCs und BCRs mit jedem US-Anbieter erfordert hohe administrative und juristische Aufwände. Zudem sind ergänzende Mass-nahmen nötig – hierzu gibt es Stand November 2020 nur vorläufige Umsetzungs-Empfehlungen vom EDPB (bislang nur auf Englisch). Die Risiken aus dem CLOUD Act bleiben bei Verwendung von SCCs und BCRs bestehen.
Hohe Hürden
für individuelle Einwilligung
5) Dürfen Sie weiterhin gemäss den Sonderregeln aus Art. 49 DSGVO Daten in die USA transferieren?
Art. 49 DSGVO im Wortlaut
Überprüfung des
Datenschutz-Niveaus
Retarus garantiert
innereuropäische
Datenverarbeitung
7) Was, wenn Sie eine DSGVO-konforme Lösung für Ihre Unternehmenskommunikation suchen?
Wenn nötig, können Sie innerhalb von 24 Stunden mit Ihrem E-Mail-, SMS- und Fax-Verkehr in die Retarus Enterprise Cloud umziehen. Verschaffen Sie sich einen schnellen Überblick über unsere Services und erfahren Sie, wie wir Sie bei der Umsetzung von Compliance-Auflagen unterstützen.
Fazit
Noch Fragen? Kontaktieren Sie uns!
Wir machen darauf aufmerksam, dass diese Seite lediglich dem unverbindlichen Informationszweck dient und keine Rechtsberatung im eigentlichen Sinne darstellt. Der Inhalt dieses Angebots kann und soll eine individuelle und verbindliche Rechtsberatung, die auf Ihre spezifische Situation eingeht, nicht ersetzen. Insofern verstehen sich alle angebotenen Informationen ohne Gewähr auf Richtigkeit und Vollständigkeit.
* Im Text wird aus Gründen der Lesbarkeit nur die männliche Form verwendet. Sie bezieht sich aber auf Personen jeden Geschlechts.