Was tun nach dem Ende des Privacy Shield? Verlassen Sie sich nicht zu sehr auf Europa...

Sie werden sich daran erinnern, dass der Privacy Shield, das Abkommen, das die Übermittlung personenbezogener Daten zwischen Europa und den USA ermöglichte, vom Europäischen Gerichtshof für nichtig erklärt wurde. Kurz darauf kündigte der European Data Protection Board (EDPB), die europäische Behörde, die die nationalen Datenschutzbehörden zusammenfasst, an, dass diese Entscheidung sofort anwendbar sei und es daher keine Gnadenfrist geben würde.

Folglich ist der Einsatz von Tools wie Google Ads, Facebook-Anzeigen, Videokonferenz-Tools wie Zoom oder Teams usw. schlichtweg verboten. Es ist klar, dass diese Entscheidung weitreichende Folgen für europäische Unternehmen hat.

Da es sich beim Privacy Shield um ein zwischen Europa und den USA ausgehandeltes Abkommen handelt, war es logisch, dass alle auf eine Reaktion der europäischen Instanzen warteten. Das Europäische Parlament veranstaltete am 3. September eine "Anhörung" zu diesem Thema in Anwesenheit des EU-Kommissars Didier Reynders und des österreichischen Juristen Max Schrems, der nicht nur am Anfang des Verfahrens zur Aufhebung des Privacy Shield steht, sondern über seine Organisation NOYB bereits Klage gegen 101 europäische Unternehmen eingereicht hat, die weiterhin Daten in die USA schickten.

Dieses Treffen brachte uns mehrere Informationen, die wir analysieren werden:

• Die Europäische Kommission wird mit dem European Data Protection Board (EDPB) zusammenarbeiten, um eine "angemessene Antwort" zu geben... Im Klartext heißt das, dass eine Reihe von Treffen geplant sind.
• Die Kommission wird an drei Aspekten arbeiten
  • Guidelines für Unternehmen schaffen. Das ist tatsächlich das, worauf alle europäischen Unternehmen warten
  • Modernisierung der "Standardklauseln", die internationale Transfers ermöglichen. Eine erste Version soll im September vorgeschlagen werden, um Ende 2020 verabschiedet zu werden. Eine gute Idee, zumal diese Klauseln aus der Zeit vor der DSGVO stammen. Aber wir sollten uns daran erinnern, dass der Gerichtshof klargestellt hat, dass diese Klauseln nicht für Übermittlungen in die USA verwendet werden können. Und damit diese Klauseln angenommen werden können, ist die Zustimmung des EDPB und der Mitgliedstaaten erforderlich.
  • Mit den USA auf "einen verbesserten potenziellen Rahmen" für EU-US-Transfers hinarbeiten. In der Umgangssprache heißt das, dass wir auf lange Monate, wenn nicht sogar Jahre der Verhandlungen zusteuern. Der EU-Kommissar erinnerte daran, dass das Ergebnis dieser Verhandlungen eine Gesetzesänderung in den USA erfordern würde und dass die Präsidentschaftswahlen die Sache nicht einfacher machen werden.
• In Bezug auf die 101 Beschwerden, die von Max Schrems' Organisation (NOYB) eingereicht wurden, hat das EDPB eine Task Force gebildet, damit die nationalen Behörden, die für diese Beschwerden zuständig sind, einen gemeinsamen Ansatz verfolgen. Diese Koordinierung ist auch eine Forderung der Akteure im Bereich des Datenschutzes . Die Tatsache, dass die DSGVO eine Verordnung mit demselben Text für alle Mitgliedsstaaten ist, ermöglicht zwar eine europaweite Vereinheitlichung, aber eine zu unterschiedliche Rechtsprechung der verschiedenen Behörden würde diese Vereinheitlichung zunichte machen.
• Das EDPB hat angekündigt, dass es an Leitlinien für die Datenübermittlung außerhalb Europas arbeiten wird. Eine gute Initiative, aber es ist nicht sicher, dass dies die Frage der EU-US-Übertragungen lösen wird.

Aus Erfahrung wissen wir, dass der europäische Entscheidungsprozess langsam ist und dass das, was wir am 3.9.2020 erfahren haben, den Unternehmen keine Lösungen für die Datenübermittlung an US-amerikanische Unternehmen bietet. Die Übermittlungen sind heute verboten, was viele praktische Probleme für europäische Organisationen, ob groß oder klein, mit sich bringt.

Ich kann Unternehmen und insbesondere den Tausenden von Kunden von GDPRfolder nur raten, bestehende Verträge zu überprüfen, diejenigen zu identifizieren, die Datensendungen an US-Unternehmen erlauben, und zu prüfen, ob es Alternativen gibt.

Dossier wird also weiterverfolgt...