Bis zum 16. Juli 2020 war es für Unternehmen möglich, personenbezogene Daten von Nutzern und Verbrauchern in die USA zu senden. Das geht nun nicht mehr: Der Europäische Gerichtshof (EuGH) hat das Privacy-Shield-Abkommen für unzulässig erklärt. Die wichtigsten Fragen dazu und wie man sich rechtlich absichert, erfahren Sie hier!
Was zuvor allenfalls gemutmaßt werden konnte, ist seit Juli 2020 Gewissheit: Der Transfer personenbezogener Daten zwischen der EU und den USA ist von nun an nicht länger durch das Privacy-Shield-Abkommen gedeckt. Das bedeutet, ab sofort handelt rechtswidrig, wer amerikanische Dienstleister zur Datenübermittlung einsetzt.
Was ist das Privacy-Shield-Abkommen?
Die USA gelten nach europäischem Standard als Drittland mit „unsicheren“ Datenschutzrichtlinien. Eine Verarbeitung europäischer personenbezogener Daten in den USA ist ohne ein speziell darauf ausgerichtetes verbindliches Abkommen also nicht legal. Bis zum 16. Juli 2020 gab es das jedoch.
Das Privacy-Shield-Abkommen sollte gewährleisten, dass sich US-amerikanische Unternehmen an europäische Datenschutz-Richtlinien halten. Kritiker sahen die Vereinbarung skeptisch – wie auch schon dessen Vorgänger Safe Harbour. Und so wie es schon dem Safe-Harbour-Abkommen 2015 erging, wurde nun also auch Privacy Shield von oberster europäischer Instanz kassiert.
Was bedeutet das EuGH-Urteil für datenversendende Websites?
Zunächst: Wer zwar Daten verarbeitet, aber diese nicht personenbezogen oder lediglich für private Zwecke (z.B. Urlaubsfotos) sind, kann weiterhin auf US-amerikanische Server setzen.
Kritisch wird es allerdings, wenn aktuell zum Transfer von Daten, die klar mit Personen verbunden sind, amerikanische Dienstleistungen in Anspruch genommen werden. Alle Daten, die auf US-Servern gespeichert, verarbeitet oder auch nur über diese kommuniziert werden, sind nun der willkürlichen Einsicht durch US-Behörden ausgeliefert. Jedes Unternehmen, das sensible Kundendaten bei US-amerikanischen IT-Dienstleistern speichert oder verarbeitet, läuft Gefahr, die Kontrolle über seine Daten aufzugeben – und spielt so über kurz oder lang auch mit dem Vertrauen seiner eigenen Kunden.
Zudem setzt man sich dem Risiko von sehr harten DSGVO-Strafzahlungen aus – und das bereits seit 16. Juli.
Denn es gibt keine Übergangsfrist für diejenigen, die zuvor durch das Privacy-Shield-Abkommen abgesichert waren. Das Abkommen wurde vom EuGH für gänzlich ungültig erklärt. Es tritt damit automatisch der Zustand vor und somit ohne Abkommen ein.
Wer von nun an weiterhin, und damit klar unrechtmäßig, personenbezogene Daten an US-Dienstleister übermittelt, muss mit Strafen rechnen. Und die können hoch ausfallen.
Die europäische Datenschutzgrundverordnung (DSGVO) setzt Strafen bis zu 20 Millionen Euro oder 4% des jährlichen weltweiten Umsatzes des Unternehmens an.
Auf der sicheren Seite mit dem marmato Risiko-Check
Das Risiko für Abstrafungen ist gegeben und es ist hoch. Wer auf Dienstleister aus den USA setzt, sollte dringend seine Website auf rechtliche Standards überprüfen lassen.
Als marmato-Kunde können Sie – was uns angeht – beruhigt sein. Wir arbeiten ausschließlich mit whitegelisteten Rechenzentren in Deutschland zusammen. Ihre Daten und die Ihrer Kunden waren bei uns zu keiner Zeit auf Servern oder Cloud-Speichern in den USA gelagert.
Doch sollten Sie weitere Dienstleister oder Tools im Einsatz haben und Sie sich wegen der rechtlichen Standards auf Ihrer Website unsicher sein, helfen wir Ihnen gerne weiter.
Wir bieten Ihnen einen Risiko-Check samt Risiko-Bericht an, der Ihre Website gründlich auf Datenschutzkonformität prüft.
Für nur 299 Euro sind Sie und Ihre Kunden auf der sicheren Seite! Jetzt Kontakt aufnehmen.
Über den Autor
