Sicherheitsmechanismus festlegen<\/strong><\/p>\n\n\n\nKommen wir also zum entscheidenden Schritt. Wenn festgestellt wurde, dass die Daten in die USA \u00fcbertragen werden m\u00fcssen, um einen essentiellen Dienst nutzen zu k\u00f6nnen, dann ist zu kl\u00e4ren, mit welchen Mechanismen dieser Datentransfer rechtlich abgesichert wird.<\/p>\n\n\n\n
Das Privacy Shield ist hier nun keine Option mehr. Bleiben in der Praxis noch die Standard-vertragsklauseln (bzw. Binding Corporate Rules im Konzern) oder Ausnahmeregelungen nach Art. 49 DSGVO. <\/p>\n\n\n\n
Die SCC k\u00f6nnen recht unkompliziert als Teil eines Vertrages abgeschlossen werden und sind daher schnell und flexibel einsetzbar. Allerdings hat der EuGH mit seiner Entscheidung bereits deutlich gemacht, dass die SCC f\u00fcr einen Datentransfer in die USA alleine nicht ausreichen k\u00f6nnen, da es sich bei ihnen letztlich nur um Vertr\u00e4ge handelt. Da der EuGH aber zu dem Ergebnis gekommen ist, dass die Rechtslage in den USA eine Einhaltung des europ\u00e4ischen Datenschutzniveaus ohne Weiteres nicht m\u00f6glich macht, helfen Vertr\u00e4ge allein nicht weiter. Schlie\u00dflich werden die amerikanischen Geheimdienste durch solche Vertr\u00e4ge nicht an einem Datenzugriff gehindert, der gesetzlich in den USA zul\u00e4ssig ist. Die amerikanischen Gesetze \u201eschlagen\u201c insofern die Vertr\u00e4ge. <\/p>\n\n\n\n
Die SCC d\u00fcrfen nur dann f\u00fcr den Datentransfer eingesetzt werden, wenn sich der Verantwortliche und der Empf\u00e4nger vergewissern, dass das europ\u00e4ische Datenschutzniveau im Drittland auch eingehalten werden kann. Aufgrund der Ausf\u00fchrungen des EuGH ist davon auszugehen, dass das Datenschutzniveau in den USA grunds\u00e4tzlich nicht eingehalten werden kann. Der EuGH sowie die Aufsichtsbeh\u00f6rden weisen darauf hin, dass neben den blo\u00dfen Vertr\u00e4gen ggf. zus\u00e4tzliche organisatorische oder technische Ma\u00dfnahmen das Datenschutzniveau sicherstellen k\u00f6nnen. Welche Ma\u00dfnahmen das sein sollen, wurde von den Beh\u00f6rden bislang nicht konkretisiert.<\/p>\n\n\n\n
Unserer Ansicht nach kann es sich hierbei in erster Linie nur um technische Ma\u00dfnahmen wie bspw. umfangreiche Verschl\u00fcsselungen handeln, denn diese gew\u00e4hrleisten zumindest bis zu einem gewissen Grad, dass amerikanische Beh\u00f6rden selbst bei Serverzugriff mit den dort befindlichen Daten nichts anfangen k\u00f6nnten.<\/p>\n\n\n\n
Die Pflicht zur wirksamen Verschl\u00fcsselung ist vertraglich zu fixieren und die erfolgte Verschl\u00fcsselung ist zu dokumentieren.<\/p>\n\n\n\n
Ob diese Ma\u00dfnahmen allein ausreichen, ist allerdings bislang noch unklar. Rechtssicherheit ist zum jetzigen Zeitpunkt bei dieser Frage noch nicht zu gewinnen.<\/p>\n\n\n\n
5. Einwilligungstexte und Datenschutzerkl\u00e4rungen anpassen<\/strong><\/p>\n\n\n\nSofern Sie vom Privacy Shield auf die SCC hin\u00fcberwechseln, muss sich dieser Wechsel zuvorderst in Ihrer Datenschutzerkl\u00e4rung niederschlagen. Dort sind die entsprechenden Hin-weise auf das Privacy Shield zu entfernen und entsprechend im Hinblick auf die SCC zu \u00e4n-dern. Dar\u00fcber hinaus sollten Sie, sofern Sie die \u00fcbertragenen Daten auf Basis einer Einwilli-gung \u00fcbertragen, auch in den Informationen zur Einwilligung auf die SCC hinweisen. Generell sollten Sie dabei erw\u00e4hnen, dass sie die SCC sowie \u201ezus\u00e4tzliche Sicherheitsma\u00dfnahmen\u201c implementiert haben.<\/p>\n\n\n\n
6. Restrisikobewertung<\/strong><\/p>\n\n\n\nAls letzten Schritt sollten Sie sich vergegenw\u00e4rtigen, wie hoch Ihr Restrisiko ist, dass die Daten\u00fcbertragung ggf. untersagt wird bzw. weitere Ma\u00dfnahmen von Betroffenen oder Aufsichtsbeh\u00f6rden zu bef\u00fcrchten sind.<\/p>\n\n\n\n
Verwenden Sie allein die SCC ohne weitere Ma\u00dfnahmen, ist Ihre \u00dcbertragung mit einem deutlich h\u00f6heren Risiko behaftet, als wenn Sie weitere Ma\u00dfnahmen wie zumindest eine effektive Inhaltsverschl\u00fcsselung der Daten vorweisen k\u00f6nnen. Aber auch dann haben Sie keine absolute Sicherheit, dass dies die Beh\u00f6rden zufrieden stellt. Wichtig ist, dass Sie sicherstellen, auf zuk\u00fcnftige Entwicklungen (bspw. Ver\u00f6ffentlichungen der Aufsichtsbeh\u00f6rden zum Thema \u201ezus\u00e4tzliche Ma\u00dfnahmen\u201c (wie vom EDSA angek\u00fcndigt) vorbereitet zu sein und schnell reagieren zu k\u00f6nnen. <\/p>\n\n\n\n
Fazit:<\/strong><\/p>\n\n\n\nSofern eine Verlagerung der Datenverarbeitung zu europ\u00e4ischen Dienstleistern nicht m\u00f6glich ist, empfehlen wir zun\u00e4chst den Abschluss von Standardvertragsklauseln. Dies ist so schnell wie m\u00f6glich umzusetzen. Zus\u00e4tzlich sollten weitere Ma\u00dfnahmen ergriffen werden, die die \u00dcbertragenen Daten vor dem Zugriff amerikanischer Beh\u00f6rden sichern. In unseren Augen kommt hier in erster Linie eine wirksame Verschl\u00fcsselung der Daten in Betracht. Diese kann \u2013 je nach genutztem Dienst, vom Datenimporteur oder Datenexporteur vorgenommen wer-den. Weiter sind die Datenschutzerkl\u00e4rung und eventuell vorhandene Einwilligungstexte an-zupassen. Letztlich ist eine Restrisikobewertung vorzunehmen.<\/p>\n\n\n\n
Haben Sie weitere Fragen zu diesem Thema? Dann melden Sie sich bei unseren Datesnchutzexperten! Wir helfen Ihnen gerne.<\/p>\n\n\n\n
<\/p>\n","protected":false},"excerpt":{"rendered":"
Jetzt wo das Privacy Shield als Absicherungsmechanismus ausscheidet, stellt sich die Frage, wie ein Datentransfer in die USA stattdessen abgesichert werden kann.<\/p>\n
Read More<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[10],"tags":[],"_links":{"self":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/346"}],"collection":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=346"}],"version-history":[{"count":1,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/346\/revisions"}],"predecessor-version":[{"id":347,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/346\/revisions\/347"}],"wp:attachment":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=346"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=346"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=346"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}