Privacy Shield – Datenschutzgarantie der USA unwirksam / Privacy Shield – data protection guarantee of the USA ineffective
Der Datenschutzbeauftragte informiert: Der Europäische Gerichtshof (EuGH) hat vor wenigen Tagen in einem europaweit bindenden Urteil (Pressemitteilung: https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091de.pdf ) festgestellt, dass der sogenannte EU-US Privacy Shield, der die Datenübermittlung in die USA ohne weitere Voraussetzungen für eine Übermittlung in ein eigentlich unsicheres Drittland im Rahmen eines Angemessenheitsbeschlusses der Europäischen Kommission ermöglichte, unwirksam ist.
Damit ist der Datenübermittlung in die USA eine zentrale Rechtsgrundlage und damit in vielen Fällen die Rechtmäßigkeit entzogen. Der EuGH verweist allerdings darauf, dass die sogenannten Standardvertrags-/Standarddatenschutzklauseln von 2010, die bei vielen Verträgen auch bereits zusätzlich abgeschlossen wurden, weiter Gültigkeit behalten.
Das Besondere an Standardvertragsklauseln ist, dass diese nicht verhandelt werden müssen, weil ihr Wortlaut nicht im Geringsten abgeändert werden darf. Es gibt bei ihnen nur ein Ganz oder Gar nicht.
Das heißt, dass auch an der Universität alle Verträge über die Verarbeitung personenbezogener Daten, also Daten, die eine natürliche Person (also einen lebenden Menschen) identifizieren oder einen Rückschluss auf sie zulassen, mit US-Bezug (auch Auftragsverarbeitungsverträge) daraufhin geprüft werden müssen, auf welche Grundlage sich die Datenübermittlung in die USA stützt. Die Standardvertragsklauseln müssen überall dort mit jenen Vertragspartnern abgeschlossen werden, bei denen man sich bisher ausschließlich auf den Privacy Shield stützte.
Da der EuGH keine Übergangsfrist verkündet hat, muss unverzüglich damit begonnen werden. Dies ist eine Gemeinschaftsaufgabe, die von raschem, aber besonnenem Handeln geprägt sein sollte. Leider gibt es keine Handlungsalternative.
In Zweifelsfällen und mit Rückfragen können Sie sich gern an den Datenschutzbeauftragten, Prof. Dr. Andreas Wiebe, oder seinen Stellvertreter, Florian Hallaschka (datenschutz@uni-goettingen.de), wenden.
https://www.uni-goettingen.de/de/576209.html
(English translation has been provided for informational purposes. In the unlikely event that the English and German versions allow different interpretations, the German version will be followed)
Information provided by the Data Protection Commissioner: A few days ago, the European Court of Justice (ECJ) ruled in a Europe-wide binding uling (press release: https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091de.pdf ) that the so-called EU-US Privacy Shield, which allowed data to be transferred to the USA without further conditions for transfer as ineffective.This means that data transfers to the USA are in many cases no longer lawful. However, the ECJ points out that the so-called standard contract/standard data protection clauses of 2010, which have already been additionally concluded for many contracts, remain valid.
The special feature of standard contract clauses is that they do not have to be negotiated because their wording may not be changed in the slightest. They are either valid as a whole or not at all.
This means that also at the University, all contracts for the processing of personal data, i.e. data that identify a natural person (i.e. a living person) or allow a conclusion to be drawn about them, with US relation (including contract processing) must be examined to see on what basis the transfer of data to the USA is organized. The standard contractual clauses must be concluded everywhere with those contractual partners for whom only the Privacy Shield has been applied up to now.
Since the ECJ has not announced a transitional period, this must be started without delay. This is a communal task that should be characterised by rapid but prudent action. Unfortunately, there is no alternative course of action.
In cases of doubt and with further questions, you are welcome to contact the Data Protection Commissioner, Prof. Wiebe, or his deputy, Mr Hallaschka (datenschutz@uni-goettingen.de).