Das gestrige Gerichtsurteil des EuGH zur Ungültigkeit des Privacy Shield hat massive Auswirkungen auf die unternehmerische Realität: In einer globalisierten Welt und angesichts der immer weiter voranschreitenden technischen Entwicklung ist der grenzüberschreitende Datenverkehr an der Tagesordnung. Vor dem Hintergrund des aktuellen Gerichtsurteils ist aber ein Datentransfer in die USA, der sich bisher auf das Privacy Shield stützte, mit sofortiger Wirkung nicht mehr zulässig. Hier sind nun andere Garantien beizubringen.
Die Standardvertragsklauseln sind weiterhin gültig und als Garantie bei einer Übermittlung von Daten in sogenannte Drittländer anwendbar. Dabei hat der Verantwortliche jedoch – so das EuGH – sicherzustellen, dass angemessen der lokalen Gesetzeslage tatsächliche ausreichende Schutzmechanismen etabliert sind.
Aktuell ist nicht klar, wie die Aufsichtsbehörden mit dem Gerichtsurteil umgehen werden. Eventuell wird eine Übergangsfrist zur Umsetzung gewährt. Auch Datenschutzverbände fordern bereits, Sanktionsmaßnahmen vorerst auszusetzen, um den Unternehmen die Möglichkeit zum Handeln zu geben.
Unternehmen sollten dennoch unverzüglich folgende Maßnahmen auf den Weg bringen:
- Eine Auflistung erstellen, welcher Datenverkehr über die „Garantie“-Standardvertragsklausel abgedeckt ist.
- Anschließend ist durch den Verantwortlichen im Rahmen einer Einzelfallprüfung zu prüfen, ob angemessen der lokalen Gesetzeslage tatsächlich ein ausreichender Schutz gegeben ist.
- Wenn dies nicht der Fall ist, gilt es, den Export auszusetzen und die Aufsicht zu informieren.
- Zudem sollten Unternehmen weitere Garantien etablieren, wie beispielsweise Binding Corporate Rules.
Von Eva-Maria Scheiter, Managing Consultant GRC bei NTT Ltd.’s Security Division