Dies ist auch den Anbieter der Dienste klar: Google ist ein Beispiel für eine schnelle Reaktion auf den Privacy-Shield-Beschluss: Das Unternehmen hat seine bestehenden Datenverarbeitungsbedingungen (engl. DPA) unmittelbar um die Standardvertragsklauseln (SVK) der Europäischen Kommission erweitert. Die aktualisierten Bedingungen gelten ab dem 12.08.2020. Alle Unternehmen, bei denen die aktuelle Fassung der DPA bereits Bestandteil der Vertragsunterlagen ist, haben keinen Handlungsbedarf. Es empfiehlt sich dringend im internen Bereich zu prüfen, ob die neuste Fassung der DPA bzw. die Standardvertragsklauseln vom eigenen Unternehmen bereits akzeptiert wurden und dies ansonsten umgehend nachzuholen! Nach der Integration der SVK in die Vertragsgrundlagen, können Google-Dienste (im Sinne einer Grauzone) erst einmal weiterhin genutzt werden.
Anders verhält es sich beispielsweise bei Facebook, da das Unternehmen aktuell keine SVK anbietet. Sofern Facebook diese nicht bereitstellt oder anderweitig implementiert, ist die Nutzung des Dienstes weiterhin unzulässig!
Der wichtigste Sachverhalt, der vom Verantwortlichen immer zu prüfen ist, ist der folgende: Die Standardvertragsklauseln haben nur dann für das eigene Unternehmen einen Wert und können Datenübertragungen in Drittstaaten legitimieren, wenn sie unmittelbar zwischen dem eigenen Unternehmen und dem Anbieter geschlossen werden! Es bringt für den Verantwortlichen und das eigene Unternehmen folglich rein gar nichts, wenn die Anbieter intern oder mit anderen Diensten SVK abschließen. In diesem Fall können Sie als Verantwortlicher selbst keine geeigneten Garantien vorweisen und mit einer Strafe belangt werden!
Als konkretes Fallbeispiel kann Shopify genannt werden. Auf das Auskunftsersuchen eines Verantwortlichen in Bezug auf das Vorliegen von geeigneten Garantien für die Datenübermittlung in Drittländer, antwortete der Dienst, dass sämtliche Datenübertragungen von einem Unternehmen an Shopify dadurch legitimiert seien, dass das Unternehmen intern mit SVK arbeite. Dies trifft allerdings nicht zu, da der wichtigste Punkt nicht erfüllt ist: Shopify hat nur intern SVK abgeschlossen, nicht aber mit dem auskunftsersuchenden Unternehmen selbst! Ähnliches ist auch über Facebook bekannt, da das Unternehmen im Konzern ebenfalls mit SVK arbeitet. Dies ist für Sie als Verantwortlicher aber keine geeignete Garantie, die einen Einsatz von Facebook-Diensten legitimiert!
Im Grunde gibt es einen einfachen Grundsatz: Sie wollen den Dienst eines Anbieters nutzen, der Daten in die USA überträgt? Prüfen Sie (z.B. im internen Bereich), ob und wie Sie mit dem Dienst SVK abschließen können. Können Sie dies nicht, dürfen Sie den Dienst nicht nutzen. Behalten Sie diese wichtige Information unbedingt im Blick und kontaktieren Sie uns im Zweifelsfall, damit wir Sie umfassend beraten können.