{"id":674209,"date":"2020-07-17T08:30:56","date_gmt":"2020-07-17T06:30:56","guid":{"rendered":"https:\/\/blog.wiwo.de\/management\/?p=674209"},"modified":"2020-07-19T16:20:32","modified_gmt":"2020-07-19T14:20:32","slug":"eugh-urteil-zum-datenverkehr-zwischen-europa-und-usa-etliche-unternehmen-muessen-ihre-datenuebermittlungen-zuegig-stoppen-der-datenschutzstandard-in-den-usa-ist-zu-niedrig","status":"publish","type":"post","link":"https:\/\/blog.wiwo.de\/management\/2020\/07\/17\/eugh-urteil-zum-datenverkehr-zwischen-europa-und-usa-etliche-unternehmen-muessen-ihre-datenuebermittlungen-zuegig-stoppen-der-datenschutzstandard-in-den-usa-ist-zu-niedrig\/","title":{"rendered":"EuGH-Urteil zum Datenverkehr zwischen Europa und USA: Etliche Unternehmen m\u00fcssen ihre Daten\u00fcbermittlungen z\u00fcgig stoppen, der Datenschutzstandard in den USA ist zu niedrig"},"content":{"rendered":"

Der amerikanische Datenschutz reicht nach europ\u00e4ischen Massst\u00e4ben einfach nicht aus, verk\u00fcndete der Europ\u00e4ische Gerichtshof (EUGH) und bringt damit viele Unternehmen unter Zugzwang. Ihr Datenverkehr ist rechtswidrig. Wegen dieses <\/strong>Urteils, das der Datenschutzaktivist Max Schrems erstritten hat, k\u00f6nnen viele Unternehmen ab sofort nicht mehr ihre personenbezogene Daten an amerikanischen Schwester-, Tochter- oder Muttergesellschaften oder Gesch\u00e4ftspartner \u00fcbermitteln. D<\/strong>enn praktisch alle nutzen daf\u00fcr amerikanische, israelische oder chinesische Cloud Services. Gastbeitrag von Datenschutzanwalt Jens Schefzig von Osborne Clarke in Hamburg.<\/strong><\/p>\n

 <\/p>\n

\"Jens's<\/p>\n

Jens Schefzig\u00a0 (Foto: PR\/Osborne Clarke)<\/p>\n

 <\/p>\n

 <\/p>\n

Das Datenschutzniveau der USA ist zu niedrig<\/b><\/p>\n

Der EuGH hat jetzt zwei wesentliche Punkte zum sogenannten Privacy-Shield-Abkommen entschieden. Erstens ist diese informelle Datenschutz-Absprache, die von 2015 bis 2016 zwischen der Europ\u00e4ischen Union und den USA ausgehandelt wurde, unwirksam. Denn die USA gew\u00e4hrleisten kein angemessenes Datenschutzniveau, so die Richter in ihrem Urteil.<\/p>\n

Und zweitens ist eine Daten\u00fcbertragung auf Grundlage der Standardvertragsklauseln nur dann wirksam, wenn der Datenempf\u00e4nger deren Einhaltung und damit ein angemessenes Datenschutzniveau im jeweiligen Land tats\u00e4chlich sicherstellen kann. Genau das glaubt der EuGH von den USA wohl nicht.<\/p>\n

 <\/p>\n

Datentransfer stoppen, um kein Bu\u00dfgeld oder Untersagungen zu riskieren<\/b><\/p>\n

Das Urteil hat massive Auswirkungen auf Daten\u00fcbertragungen der Unternehmen. Ihnen bl\u00fchen schlimmstenfalls Bu\u00dfgelder und Untersagungsverf\u00fcgungen. Denn alle ihre Daten\u00fcbertragungen sind ab sofort rechtswidrig, bei denen der Datentransfer auf Grundlage des Privacy Shields gerechtfertigt wird.<\/p>\n

Unternehmenslenker m\u00fcssen sie deshalb sofort stoppen und auf andere Rechtsgrundlagen umstellen. Melde- und Entscheidungswege in Unternehmen funktionieren nun pl\u00f6tzlich vielleicht nicht mehr. Wer betroffen ist? Zum Beispiel alle, die amerikanische Cloud-Services nutzen. Jedes Unternehmen muss nun die Vertr\u00e4ge zu der Dienst\u00e4lteste e f\u00fcr Personalverwaltung wie Workday, Salesforce & Co. genau checken, ob sie die Daten\u00fcbertragung hinreichend absichern. Nach meiner Erfahrung st\u00fctzen Unternehmen rund 90 Prozent ihrer Datentransfers in die USA entweder auf das Privacy Shield oder die Standarddatenschutzklauseln. In beiden F\u00e4llen muss das Top-Management handeln.<\/p>\n

 <\/p>\n

Die Datenschutzbeh\u00f6rde von Rheinland-Pfalz jedenfalls hat schon angek\u00fcndigt, dass sie keine \u00dcbergangsfrist einr\u00e4umen will und dass die Unternehmen pr\u00fcfen m\u00fcssen, ob ihre verschickten personenbezogenen Daten vor Ort ausreichend gesch\u00fctzt werden.<\/p>\n

 <\/p>\n

Die langwierige L\u00f6sung: Binding Corporate Rules<\/strong><\/p>\n

Alle Daten\u00fcbertragungen, bei denen das zugrunde liegende Vertragswerk die Standardvertragsklauseln enth\u00e4lt, m\u00fcssen gecheckt werden: Kann der Empf\u00e4nger die Verpflichtungen nach dem Vertrag tats\u00e4chlich erf\u00fcllen? Gerade bei konzerninternen Datentransfers haben sich internationale Konzerne bislang auf diese Vertr\u00e4ge verlassen: Auch etliche Anbieter internationaler Clouddienste machen diese Standardvertragsklauseln zu einem Teil ihrer Vertr\u00e4ge. Diese Datentransfers sind wom\u00f6glich rechtswidrig.<\/p>\n

Eine L\u00f6sung k\u00f6nnen sogenannte Binding Corporate Rules sein, doch das ist langwierig. Das sind verbindliche Vertragswerke, die sich Dienstleister aber auch Konzerne geben k\u00f6nnen, die die Einhaltung gewisser Datenschutzstandards sicherstellen. Die Datenschutzbeh\u00f6rden m\u00fcssen diese Richtlinien genehmigen. Die Einf\u00fchrung derartiger Binding Corporate Rules ist ein echtes Projekt und dauert schon im Rahmen der blo\u00dfen Genehmigung der Beh\u00f6rden erfahrungsgem\u00e4\u00df mindestens ein halbes Jahr.<\/p>\n

 <\/p>\n

Unternehmensprozessen umgestalten<\/strong><\/p>\n

Im Ergebnis stecken viele Unternehmen pl\u00f6tzlich in einem gro\u00dfen Dilemma. Viele Unternehmensprozesse d\u00fcrften von internationalen Datentransfers abh\u00e4ngen, diese sind aber nun oft unzul\u00e4ssig. Hunderte Binding-Corporate-Rules-Projekte d\u00fcrften nun hektisch gestartet werden. Bislang waren es in Deutschland wohl allenfalls wenige Dutzend. Nur wenige Berater und wenige Datenschutzbeh\u00f6rden haben echte Erfahrungen mit dem Thema.<\/p>\n

Unternehmen sind faktisch gezwungen, nur absolut notwendige Prozesse auf internationale Datentransfers zu st\u00fctzen. Au\u00dferdem kommt viel Arbeit auf die Juristen zu. Beim Beauftragen von Dienstleistern wird deren Standort nun zu einem sehr wichtigen Kriterium.<\/p>\n

 <\/p>\n

Wie das EuGH-Verfahren ins Rollen kam<\/b><\/p>\n

Geklagt hat der Datenschutzaktivist Max Schrems, der sich seit Jahren dagegen wehrt, dass Facebook Irland die Daten seiner Nutzer zu Facebook USA \u00fcbertr\u00e4gt. Juristisch gesehen handelt es sich dabei um eine \u00dcbertragung personenbezogener Daten in ein Drittland, also ein Land au\u00dferhalb der EU. Die Datenschutz-Grundverordnung (DSGVO) erlaubt solche Daten\u00fcbertragungen nur, wenn am Zielort ein angemessenes Datenschutzniveau sichergestellt ist.<\/p>\n

Daf\u00fcr kommen bei Datentransfers in die USA im Wesentlichen zwei Mechanismen in Frage: Eine Zertifizierung nach dem sogenannten Privacy Shield – dem bilateralen Abkommen zwischen der EU und den USA – des amerikanischen Unternehmens oder der Abschluss sogenannter Standardvertragsklauseln zwischen dem europ\u00e4ischen und dem amerikanischen Unternehmen. Wenn keine von beiden Ma\u00dfnahmen greift, ist die Daten\u00fcbertragung rechtswidrig.<\/p>\n

Die Datenschutzbeh\u00f6rden d\u00fcrfen die Daten\u00fcbertragung untersagen und Unternehmen drohen happige Bu\u00dfgelder bis zu 20 Millionen Euro oder\u00a0 – falls h\u00f6her –\u00a0 vier Prozent ihres weltweiten Jahresumsatzes im Vorjahr. Facebook USA ist nach dem Privacy Shield zertifiziert. Facebook hat aber zwischen den Konzerngesellschaften auch einen Vertrag zur Daten\u00fcbertragung nach den Standardvertragsklauseln abgeschlossen.<\/p>\n

 <\/p>\n

Lese-Tipp: „WirtschaftsWoche“-Redakteurin Silke\u00a0 Wettach in Br\u00fcssel dar\u00fcber, wie es zu dem EuGH-Urtel kam<\/p>\n

https:\/\/www.wiwo.de\/my\/politik\/europa\/eugh-datenschutz-urteil-der-mann-der-facebook-das-fuerchten-lehrt\/26010516.html?Echobox=1594903538&social=linkedin&ticket=ST-6293257-9Qqdiame23dGEufclGXa-ap4#utm_medium=Social&utm_source=LinkedIn<\/p>\n

\"\"<\/a><\/p>\n

\"\"<\/a>

Blogger-Relevanz-Index 2019<\/p><\/div>\n

\"\"<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Der amerikanische Datenschutz reicht nach europ\u00e4ischen Massst\u00e4ben einfach nicht aus, verk\u00fcndete der Europ\u00e4ische Gerichtshof (EUGH) und bringt damit viele Unternehmen unter Zugzwang. Ihr Datenverkehr ist rechtswidrig. Wegen dieses Urteils, das der Datenschutzaktivist Max Schrems erstritten hat, k\u00f6nnen viele Unternehmen ab … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":19,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[252,6683,9348,1771,346,428,1267,9347,5078,3861,9349,5079,2200,1105,9350],"class_list":["post-674209","post","type-post","status-publish","format-standard","hentry","category-allgemein","tag-datenschutz","tag-datenschutz-grundverordnung-dsgvo","tag-datentransfair","tag-eugh","tag-europaischer-gerichtshof","tag-gastbeitrag","tag-geldbuse","tag-jens-schefzig","tag-max-schrems","tag-osborne-clarke","tag-personenbezogene-daten","tag-salesforce","tag-urteil","tag-usa","tag-workday"],"_links":{"self":[{"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/posts\/674209","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/users\/19"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/comments?post=674209"}],"version-history":[{"count":8,"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/posts\/674209\/revisions"}],"predecessor-version":[{"id":674236,"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/posts\/674209\/revisions\/674236"}],"wp:attachment":[{"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/media?parent=674209"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/categories?post=674209"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/tags?post=674209"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}