[Berlin.] Die Ung├╝ltigkeitserkl├Ąrung des Privacy-Shields bringt sowohl die Anbieter von Diensten als auch die Unternehmen, die diese nutzen, zunehmend in Zugzwang. Auf der Unternehmensseite sind die Verantwortlichen in der Pflicht unzul├Ąssige Daten├╝bertragungen in die USA zu unterlassen, da ansonsten Strafen wie z.B. Bu├čgelder drohen. Alle Dienste, die keine geeigneten Garantien f├╝r ihre Daten├╝bertragungen aufweisen k├Ânnen, m├╝ssen abgeschaltet werden! Das Risiko, das ein Unternehmen eingeht, wenn es dennoch Daten in die USA ├╝bertr├Ągt, steht in keinem Fall dem erzielten Nutzen des jeweiligen Dienstes gegen├╝ber.

Dies ist auch den Anbieter der Dienste klar: Google ist ein Beispiel f├╝r eine schnelle Reaktion auf den Privacy-Shield-Beschluss: Das Unternehmen hat seine bestehenden Datenverarbeitungsbedingungen (engl. DPA) unmittelbar um die Standardvertragsklauseln (SVK) der Europ├Ąischen Kommission erweitert. Die aktualisierten Bedingungen gelten ab dem 12.08.2020. Alle Unternehmen, bei denen die aktuelle Fassung der DPA bereits Bestandteil der Vertragsunterlagen ist, haben keinen Handlungsbedarf. Es empfiehlt sich dringend im internen Bereich zu pr├╝fen, ob die neuste Fassung der DPA bzw. die Standardvertragsklauseln vom eigenen Unternehmen bereits akzeptiert wurden und dies ansonsten umgehend nachzuholen! Nach der Integration der SVK in die Vertragsgrundlagen, k├Ânnen Google-Dienste (im Sinne einer Grauzone) erst einmal weiterhin genutzt werden.

Anders verh├Ąlt es sich beispielsweise bei Facebook, da das Unternehmen aktuell keine SVK anbietet. Sofern Facebook diese nicht bereitstellt oder anderweitig implementiert, ist die Nutzung des Dienstes weiterhin unzul├Ąssig!

Der wichtigste Sachverhalt, der vom Verantwortlichen immer zu pr├╝fen ist, ist der folgende: Die Standardvertragsklauseln haben nur dann f├╝r das eigene Unternehmen einen Wert und k├Ânnen Daten├╝bertragungen in Drittstaaten legitimieren, wenn sie unmittelbar zwischen dem eigenen Unternehmen und dem Anbieter geschlossen werden! Es bringt f├╝r den Verantwortlichen und das eigene Unternehmen folglich rein gar nichts, wenn die Anbieter intern oder mit anderen Diensten SVK abschlie├čen. In diesem Fall k├Ânnen Sie als Verantwortlicher selbst keine geeigneten Garantien vorweisen und mit einer Strafe belangt werden!

Als konkretes Fallbeispiel kann Shopify genannt werden. Auf das Auskunftsersuchen eines Verantwortlichen in Bezug auf das Vorliegen von geeigneten Garantien f├╝r die Daten├╝bermittlung in Drittl├Ąnder, antwortete der Dienst, dass s├Ąmtliche Daten├╝bertragungen von einem Unternehmen an Shopify dadurch legitimiert seien, dass das Unternehmen intern mit SVK arbeite. Dies trifft allerdings nicht zu, da der wichtigste Punkt nicht erf├╝llt ist: Shopify hat nur intern SVK abgeschlossen, nicht aber mit dem auskunftsersuchenden Unternehmen selbst! ├ähnliches ist auch ├╝ber Facebook bekannt, da das Unternehmen im Konzern ebenfalls mit SVK arbeitet. Dies ist f├╝r Sie als Verantwortlicher aber keine geeignete Garantie, die einen Einsatz von Facebook-Diensten legitimiert!

Im Grunde gibt es einen einfachen Grundsatz: Sie wollen den Dienst eines Anbieters nutzen, der Daten in die USA ├╝bertr├Ągt? Pr├╝fen Sie (z.B. im internen Bereich), ob und wie Sie mit dem Dienst SVK abschlie├čen k├Ânnen. K├Ânnen Sie dies nicht, d├╝rfen Sie den Dienst nicht nutzen. Behalten Sie diese wichtige Information unbedingt im Blick und kontaktieren Sie uns im Zweifelsfall, damit wir Sie umfassend beraten k├Ânnen.