eco: Datentransfer in Drittländer ohne Grundlage


Der eco Verband der Internetwirtschaft e.V. hat darauf hingewiesen, dass der EuGH in der Rs. C-311/18 - Schrems II; ZD wird die Entscheidung demnächst m. Anm. Moos/Rothkegel veröffentlichen) die EU-US-Privacy Shield-Vereinbarung gekippt hat und Cloud-Anbieter und andere Unternehmen personenbezogene Daten nicht mehr auf dieser Grundlage in die USA übertragen dürfen. Es gibt keine Übergangszeit.

Cloud-Anbieter sollten ihre Datenschutzhinweise nach Art. 13, 14 DS-GVO sofort prüfen und ggf. korrigieren, um kein Bußgeld bzw. Schadensersatzansprüche betroffener Personen zu riskieren. Auch mit den üblichen Standardvertragsklauseln sei es für die Übertragung von personenbezogenen Daten in die USA nicht getan. Es müsse geprüft werden, ob im Empfängerland ein ausreichendes Datenschutzniveau besteht. Mittelständischen Cloud-Service-Providern dürfte es jedoch schwerfallen zu überprüfen, ob in den USA, oder einem anderen Drittland, für ausreichend Datenschutz gesorgt ist. Ähnlichen Bedenken begegnet daher auch der Datentransfer auf der Grundlage sog. Binding Corporate Rules.