Ende des EU Privacy Shields: Sozialunternehmen sollten ihren Bestand an Auftragsverarbeitung sorgfältig prüfen

​veröffentlicht am 30. Juli 2020; Autoren: Christoph Naucke, Maximilian S. Dachlauer

Quelle: EuGH Pressemeldung vom 16.07.2020, Az. C-331/18

Mit dem Urteil des EuGH vom 16. Juli fällt das EU Privacy Shield als Rechtsgrundlage für eine Datenübertragung in die USA faktisch weg. Bei der Nutzung von Clouddiensten sowie auch bei Software-Wartungsverträgen ist eine solche Übertragung jedoch auch für Sozialunternehmen oft nicht auszuschließen. Diese sollten daher ihren Bestand an Auftragsverarbeitung umgehend prüfen und ggf. anpassen lassen.

Am 16. Juli hat der EuGH in einem Urteil den EU Privacy Shield gekippt. Ziel des EU Privacy Shield war es, die Übertragung personenbezogener Daten in die USA als einem Drittland, also in ein Land außerhalb der EU und dem EWR, zu ermöglichen. Eine solche Übertragung hat der Gesetzgeber in der DSGVO an besondere Voraussetzungen geknüpft. Der EU Privacy Shield bot bisher eine viel genutzte Möglichkeit, diese Voraussetzungen bei einer Übermittlung in die USA zu erfüllen.

Die Definition der personenbezogenen Daten ist in der DSGVO sehr weit gefasst. Bereits die Identität, also allein der Name eines Mitarbeiters oder Patienten, fällt bereits unter diesen Begriff. Gleichzeitig legen die deutschen Datenschutzaufsichtsbehörden den Begriff der Auftragsverarbeitung ebenfalls weit aus. Aus einer Fragen- und Antwortenliste des Bayerischen Landesamtes für Datenverarbeitung (BayLDA) als Aufsichtsbehörde in Bayern geht beispielsweise hervor, dass Clouddienstleistungen ebenso dazuzurechnen sind wie Softwarewartung, wenn „bei diesen Tätigkeiten ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.”

Clouddienste und der Onlinesupport des Softwareanbieters sind aus der Praxis der Leistungserbringer im Gesundheitswesen und der Sozialunternehmen genau so wenig wegzudenken wie bei jedem anderen Unternehmen. Oft ist den Verantwortlichen dabei nicht bewusst, dass eine Übertragung personenbezogener Daten in Drittländer, auch in die USA, in den betreffenden Verträgen ausdrücklich vorgesehen ist. Dies wird z. B. für Subdienstleister, für Backup-Rechenzentren oder auch für rund um die Uhr erreichbare Service-Hotlines oft genutzt. Hinzu kommt in der Praxis, dass bei den Dienstleistungen, für die eigentlich eine Vereinbarung zur Auftragsverarbeitung erforderlich wäre, oftmals einige leider übersehen werden.

Da in diesen Verträgen häufig der EU Privacy Shield als Rechtsgrundlage für die Datenübermittlung in die USA herangezogen wird, besteht in der Regel dringender Handlungsbedarf. Der EUGH erteilt keine „Gnadenfrist” für Übertragungen, die bislang auf der Grundlage des EU Privacy Shields erfolgten. Dies entspricht auch der Ansicht der Europäischen Datenschutzaufsicht (EDSA).

Geschäftsführer in der Sozialwirtschaft sollten daher umgehend …

• sich vergewissern, ob für alle extern vergebenen Dienstleistungen, für die eine Vereinbarung zur Auftragsverarbeitung erforderlich ist, diese auch vorliegt (betrifft insbesondere Software-Bezug und Clouddienste)
• prüfen, ob in diesen Vereinbarungen auch eine Datenübertragung in Drittländer einschl. der USA zugelassen wird.

Wenn ja, sollte weiter dringend geprüft werden, ob dafür der EU Privacy Shield als Rechtsgrundlage genutzt wurde. In diesem Fall ist eine vorübergehende Einstellung der Datenübertragung erforderlich bis eine andere Rechtsgrundlage durch Änderung des Dienstleistungsvertrags geschaffen wurde.

Wenn derzeit für die Übertragung von Daten in die USA als Rechtsgrundlage die EU Standardvertragsklauseln verwendet werden oder wenn dies als Ersatz für die bisherige Verwendung des EU Privacy Shields beabsichtigt ist, ist in der Regel eine Anpassung der Standardvertragsklauseln erforderlich.

Der EDSA hat am 23.07.2020 eine Fragen- und Antwortensammlung zu dem Urteil veröffentlicht und darin darauf hingewiesen, dass Einzelfallprüfungen immer erforderlich sind. Insbesondere ist aber davon auszugehen, dass u.a. in den Klauseln sichergestellt sein muss, dass der Datenimporteur gegenüber dem Datenexporteur wie auch gegenüber dem Betroffenen verpflichtet werden muss, bei Beschwerden des Betroffenen in der Kommunikation mit den Behörden am Standort des Datenimporteurs, also in den USA, zu unterstützen.

Rödl & Partner unterstützt mit Hilfe gezielter Datenschutzaudits zahlreiche Sozialunternehmen und Leistungserbringer im Gesundheitswesen bei der Ermittlung und Beseitigung von Defiziten in der datenschutzrechtlichen Vertragsgestaltung.