EU-Standardverträge auf dem Prüfstand

(15.09.2020)

Datenübermittlungen ins Ausland werden noch schwieriger. Demnächst werden wir Sie über die Änderungen zu Großbritannien unterrichten (Stichwort Brexit). Viel häufiger werden aber Daten in die USA übermittelt, und auch hier droht Ungemach. Wenn Sie US-Dienste nutzen (z.B. Cloud-Anbieter oder Rechenzentren), müssen wir uns auf erhöhte Datenschutz-Anforderungen einstellen.

Denn soweit die US-Dienste aufgrund von EU-Standardverträgen beauftragt sind, müssen seit dem „Schrems II“-Urteil des EuGH aus dem Juli „zusätzliche Maßnahmen“ getroffen werden. Der Hintergrund ist, dass US-Geheimdienste zu leicht auf die Daten zugreifen könnten.

Worin diese „zusätzlichen Maßnahmen“ bestehen könnten, ist noch nicht ganz klar. Denkbar sind etwa:

  • zusätzliche technische und organisatorische Maßnahmen zum Schutz der Daten, etwa eine echte Ende-zu-Ende-Verschlüsselung (das funktioniert jedoch nur bei bloßer Datenspeicherung, nicht für eine Datenverarbeitung in der Cloud) oder eine Anonymisierung bzw. Pseudonymisierung der Daten (soweit das möglich und sinnvoll ist)
  • zusätzliche vertragliche Zusicherungen des US-Dienstleisters (z.B. behördliche Anfragen zu hinterfragen und sich dagegen gerichtlich zu wehren)
  • Dokumentation der eigenen Überlegungen, weshalb gerade dieser US-Anbieter unverzichtbar ist und nicht kurz- oder mittelfristig durch einen Anbieter aus einem anderen Land ausgetauscht werden kann

Detailliertere Angaben finden unsere Kunden in einem neuen fox-on-Praxisleitfaden. Wenn Sie hierzu weitere Informationen oder Beratung möchten, freuen wir uns von Ihnen zu hören.

Zusammenfassung:
Wenn Sie mit US-Dienstleistern oder US-Unternehmen ein EU-Standardvertrag abgeschlossen haben, müssen nun „zusätzliche Maßnahmen“ zum Datenschutz getroffen werden.

Verwandte Beiträge