Rechtstipp : Nach Aus für „Privacy Shield“: Rasch Standardvertragsklauseln abschließen
Nahezu jedes Unternehmen setzt heutzutage US-amerikanische IT-Dienstleister ein. Rechtliche Grundlage dafür war bislang fast immer der „Privacy Shield“ – eine Selbstzertifizierung US-amerikanischer Dienstleister. Der Europäische Gerichtshof hat diese Möglichkeit nun gekippt.
Datentransfers in ein Nicht- EU-Land sind für den Gerichtshof nur zulässig, wenn die Daten dort ebenfalls adäquat geschützt sind. Überwachungsgesetze wie der U.S. Foreign Intelligence Surveillance Act („FISA“) ermöglichen den US-Behörden aber, Nicht-US-Bürger sehr breitflächig zu überwachen.
Seit dem Urteil fehlt fast allen Datenübermittlungen in die USA die Rechtsgrundlage. Reagieren müssen nun alle Unternehmen und Serviceanbieter, die personenbezogene Daten von Mitarbeitern, Nutzern oder Lieferanten in die USA übertragen – ganz egal, ob es sich dabei um europäische Unternehmen oder lokale Niederlassungen US-amerikanischer Unternehmen handelt. Betroffen ist sowohl die Übermittlung im Konzern als auch zu externen Dienstleistern.
Da eine Nachfolgeregelung Jahre in Anspruch nehmen wird, sollten Unternehmen rasch sogenannte Standardvertragsklauseln implementieren. Das sind Vertragsmuster, die die Europäische Kommission veröffentlicht hat und die das europäische Datenschutzrecht gleichsam in Vertragsform gießen. Ein entsprechender Vertrag ist künftig die einzig praktikable Möglichkeit, Daten in die USA zu transferieren.
Dr. Lukas Feiler, SSCP CIPP/E, ist Partner bei Baker McKenzie in Wien und leitet das Team für IP- und IT-Recht.