Exkurs: Der geplatzte „Privacy Shield“-Deal und die Datenschutz-Grundverordnung
Datenschutz-Grundverordnung:
Die DSGVO verbietet die Verarbeitung personenbezogener Daten außerhalb der Europäischen Union, wenn im Ausland kein angemessenes Datenschutzniveau herrscht. Dies ist vor allem in den USA der Fall.
Stellte der Europäische Gerichtshof also erst ein angemessenes Datenschutzniveau fest – vorausgesetzt, US-Unternehmen verpflichteten sich das EU-Recht auf Grundlage des „Privacy Shield“-Deals zu wahren –, ist diese Grundlage für Datentransfers nun unwirksam.
Standardvertragsklauseln:
Die vorgefertigten und als Standardvertrags- oder Schutzklauseln (Standard Contractual Clauses, SCCs) bezeichneten Vertragsvorlagen verpflichten -partner zur Einhaltung des Europäischen Datenschutzniveaus. Allerdings erlauben sie Datenübertragungen nur, wenn beide Partner den Datenschutz auch tatsächlich wahren. So wären das „Privacy Shield“-Abkommen und die Standartschutzklauseln als Grundlage für EU-US-Datentransfers zulässig, wenn die USA ein entsprechendes Datenschutzniveau gewährleisteten.
Erforderliche Datentransfers:
Eine Übermittlung darf dennoch erfolgen, wenn diese oder die sonstige Verarbeitung von Daten erforderlich und für Betroffene erkennbar ist. Dies ist der Fall, wenn beispielsweise eine Reise in die USA gebucht oder eine E-Mail dorthin verschickt wird.