Wegfall des Privacy Shield: Was nun?

Der Sechs-Stufen-Plan in der Übersicht

Schritt 1 – «Know your Transfers»
Als Grundregel gilt: Datenexporteure müssen über ihre Datentransfers Bescheid wissen und diese dokumentieren («know your transfers»), indem sie diese aufzeichnen und mitverfolgen. Damit ist der effektive Datentransfer zu prüfen, zu dokumentieren und zu managen, inklusive der Datenflüsse betreffend Kooperationen, Auftragsverarbeitungsverhältnissen oder eingeschalteten Subdienstleistern. Es genügt ergo nicht, die Verarbeitung von Personen­daten ausserhalb der EU im Rahmen des Verfahrens­verzeichnisses aufzulisten. Weitere Informationen müssen erfasst und gemanagt werden. Ohne detaillierte Beschreibungen der Datenbearbeitung – auch seitens der Subunternehmer – lassen sich die weiteren juristischen und risikobasierten Abklärungen jedoch nicht vornehmen.
Dies ist eine Herkulesaufgabe, sie lässt sich im jetzigen Umfeld jedoch nicht vermeiden. Wer Personendaten mit den USA oder anderen Dritt­ländern ausserhalb des EU-Raums austauscht, muss diese Arbeiten angehen, dokumentieren und umsetzen. Stellt sich der Vertragspartner quer, müssen auch weitere Schritte in Betracht gezogen werden (Eingrenzung des Austauschs von Personendaten mit dem Lieferanten/Kunden, anderen Lieferanten etc.). Je kritischer die auszutauschenden Personendaten sind, desto umfassender muss die Lösung aussehen.
Schritt 2 – «Verify the Transfer Tool your Transfer relies on»
In einem zweiten Schritt müssen die geeigneten Garantien bestimmt und implementiert werden (vgl. Art. 44 ff. DSGVO) wie z. B. die Implementierung von aktualisierten Standardvertragsklauseln, verbindliche Unternehmensregeln (Corporate Binding Rules) und/oder eine Zustimmung des/der Betroffenen im Einzelfall. Die Vereinbarung von Standardvertragsklauseln ist in jedem Fall zu empfehlen bei Datentransfers in Drittländer, die nicht über ein adäquates Datenschutzniveau verfügen (vgl. dazu Liste des Edöb).
Schritt 3 – «Assess the law or practice of the third country»
In einem dritten Schritt ist zu klären, ob die ausländische Rechtsordnung und deren Praxis die Wirksamkeit der getroffenen Garantien, auf welche sich die Datenübermittlung stützt, gefährden könnte. Zu denken ist etwa an einen umfassenden und unverhältnismässigen Zugriff der Behörden des Drittstaates auf Personendaten. Diese Prüfung ist juristischer, aber auch operationeller Natur und umfasst nicht nur den Partner/Lieferanten/Kunden, sondern auch dessen Sublieferanten etc. Damit ist die Abklärung umfangreich und kann auch nicht ohne Weiteres generell, sondern muss abgestimmt auf die auszutauschenden Personendaten, den konkreten Vertragspartner etc. erfolgen.
Schritt 4 – «Identify and adopt supplemental Measures»
Der vierte Schritt stellt das Kernanliegen der EDSA dar und findet Anwendung, wenn die Beurteilung nach Schritt 3 ergibt, dass die Drittlandgesetzgebung und -praxis gewisse Gefahren eines möglichen umfassenden und unverhältnismässigen Eingriffs in die Personendaten der Betroffenen birgt. Danach müssen zusätzliche Massnahmen ermittelt und ergriffen werden, um das Schutzniveau der übermittelten Daten auf den EU-Standard zu bringen.
  1. Technische Massnahmen
    Ein Mittel, um die Konformität mit den Vorgaben des Europäischen Datenschutzes (gemäss DSGVO) zu gewähren, ist die Implementierung von technischen Massnahmen. Die organisatorischen Massnahmen reichen laut EDSA jedoch nicht immer aus. Wenn Personendaten in einen Drittstaat ausserhalb der/des EU/EWR übermittelt werden, ist es erforderlich, die Daten vor der Übermittlung zu verschlüsseln. Der passende Schlüssel muss durch einen angemessenen Schutz verwaltet werden. Durch die End-to-End-Verschlüsselung der Daten können diese sicher durch ein Drittland durchgeleitet werden. Alternative wäre beispielsweise auch das Instrument der Pseudonymisierung. In den letzten Monaten sind von Lieferanten Bestrebungen erfolgt, um auch technische Lösungen zur Behebung der anstehenden Probleme bereitzustellen. Tatsache ist jedoch, dass mit dem Management der Infrastruktur (Keys, Zugang etc.) letztlich in vielen Fällen der Lieferant Zugriff auf Personendaten haben könnte, womit auch technische Ansätze, dem Kunden die Datenhoheit zu erteilen, scheitern.
  2. Vertragliche & organisatorische Massnahmen
    Durch vertragliche Massnahmen kann sichergestellt werden, dass die getroffenen Massnahmen und vereinbarten Garantien vom Anbieter oder Dienstleister eingehalten werden. Die organisatorischen Massnahmen können den Einsatz von Policies, Prozessen und Standards des Datenexporteurs beinhalten.
Allerdings können vertragliche und organisatorische Massnahmen allein den Zugang zu personenbezogenen Daten durch Behörden des Drittstaates nicht verhindern. Einzig die technischen Massnahmen verhindern den Zugang von Behörden zu personenbezogenen Daten in Drittstaaten, insbesondere zu Überwachungszwecken.
Schritt 5 – «Take any formal Procedure Steps»
Nach Schritt 5 müssen die zusätzlich getroffenen Mass­nahmen zum einen ggf. unter Mitwirkung des Datenimporteurs im Drittland und zum anderen unter Konsultation der zuständigen Aufsichtsbehörden umgesetzt werden.
Schritt 6 – «Reevaluate your Data Transfer at appropriate Intervals»
In einem letzten Schritt wird die regelmässige und fortlaufende Prüfung der getroffenen Massnahmen empfohlen. Auch für die rechtlichen und tatsächlichen Umstände im Drittstaat gilt diese Prüfpflicht. Dies umzusetzen, ist zeit- sowie ressourcenintensiv und entsprechend zu planen.
Seite 2/3
Auf einer Seite lesen
  1. Wegfall des Privacy Shield: Was nun?
  2. Der Sechs-Stufen-Plan in der Übersicht
  3. Was müssen heimische Unternehmen jetzt tun?
Artikel drucken
Carmen De la Cruz
Das könnte Sie auch interessieren
#LockedShields2024
Auch Schweizer Armee nimmt an grösster internationaler Cyber-Übung teil
 
vor 15 Stunden
asut IoT-Konferenz 2024
Trends und Zukunft von IoT im Rampenlicht
 
vor 15 Stunden
Kartellrecht
Bundesgericht heisst Swisscom-Beschwerde gegen Weko gut
 
vor 4 Tagen
Online-Handel
Edöb kritisiert Kundenkontozwang bei Digitec Galaxus
 
vor 5 Tagen