Der Europäische Gerichtshof (EuGH) hat am vergangenen Donnerstag (Urteil vom 16.07.2020, Az. C-311/18) den sog. Privacy-Shield-Beschluss der EU-Kommission für ungültig erklärt. Damit sind ab sofort Übermittlungen von personenbezogenen Daten aus der EU in die USA nicht mehr zulässig, sofern diese ausschließlich auf dem Privacy Shield beruhen. Auch der Datentransfer unter Verwendung der Standardvertragsklauseln der EU-Kommission (Standarddatenschutzklauseln) unterliegt künftig strengeren Auflagen.
Trotz noch zahlreicher offener Fragen wird den Unternehmen empfohlen, sich spätestens jetzt mit dem Thema Datenübermittlung in Drittländer intensiver zu beschäftigen und, sofern erforderlich, erste Anpassungen vorzunehmen. Es sollte damit gerechnet werden, dass es in nicht allzu ferner Zukunft erneut zu einer koordinierten Prüfungsaktion der Datenschutzbehörden zu diesem Thema kommen wird (vgl. Prüfungsaktion vom Herbst 2016). Den Unternehmen wird daher empfohlen, sich mindestens an den nachfolgenden drei Schritten zu orientieren:
(1) Überblick verschaffen:
Falls nicht bereits im Verarbeitungsverzeichnis (Art. 30 DSGVO) vollständig (und aktuell) enthalten, sollten sämtliche Transfers von personenbezogenen Daten in Drittländer und deren jeweilige Grundlage identifiziert werden. Hierzu zählen nicht nur konzerninterne Datenübermittlungen wie Beschäftigten- oder Kundendaten, sondern sämtliche personenbezogene Daten, die an Dritte übermittelt werden, z. B. an IT-, Kommunikations- und andere Dienstleister.
(2) Bewerten und Anpassen:
Danach ist zu prüfen, ob die jeweiligen Übermittlungen in das Drittland auf einer zulässigen Grundlage beruhen oder ob diese angepasst werden müssen. Hierbei gilt insbesondere: