Auftragsverarbeitung, das Auslagern von Datenverarbeitungsprozessen durch den Auftraggeber auf externe Dienstleister, ist ein häufiges Mittel zur Kostensenkung und der Nutzung von externem Know How – Stichwort „Outsourcing“. Sind hiervon personenbezogene Daten betroffen, findet Art. 28 DSGVO Auftragsverarbeiter Anwendung.

Schnell kommt es bei der Einschätzung, ob eine Auftragsverarbeitung vorliegt, zu Mißverständnissen und der Auftraggeber läuft Gefahr, gemäß DSGVO mit Geldbußen durch die Datenschutzbehörden belegt zu werden. Von Imageschäden in der Öffentlichkeitswahrnehmung nicht zu reden. Eine sorgfältige Prüfung durch einen Berater für Datenschutz oder einen Datenschutzbeauftragten hilft, diese Risiken zu minimieren und die notwendigen Regelungen umzusetzen.

Folgende Kriterien (Auswahl) unterstützen die Bewertung über das Vorliegen einer Auftragsverarbeitung:

  • Dem Auftragnehmer fehlt die Entscheidungsbefugnis über die übermittelten Daten.
  • Dem Auftragnehmer ist die Nutzung der überlassenen Daten über den eigentlichen Überlassungszweck hinaus verboten.
  • Der Auftragnehmer nutzt nur die ihm überlassenen Daten.
  • Die Datenverarbeitung wird nach außen durch den Auftraggeber vertreten.
  • Der Auftragnehmer steht in keiner vertraglichen Beziehung zu den Betroffenen der personenbezogenen Daten.

Einige praktische Beispiele von Auftragsverarbeitung:

  • Outsourcing des Rechenzentrums (ganz oder teilweise).
  • Software as a Service / Cloud-Services (nicht nur reine Dateiablage).
  • Marketingaktionen, Kundenumfragen, Newsletterversand durch eine externe Agentur.
  • Beauftragung eines Callcenters für Kundensupport oder Kundengewinnung.
  • Papier- und Aktenvernichtung sowie die Vernichtung von Datenträgern.
  • Externe Lohn- und Gehaltsabrechnung.
  • Externe Rechnungsbearbeitung / Buchhaltung.
  • Zugriff auf personenbezogene Daten vor Ort bei Auftraggeber

Aber auch weitere Leistungen sind ebenfalls von den Regelungen zu Art. 28 DSGVO betroffen (Beispiele):

  • Wartung von Servern und Computern durch einen externen Dienstleister (wichtig: auch Fernwartung!)
  • Parametrisierung oder Pflege von Software (Updates etc.), über die Zugriff auf personenbezogene Daten möglich ist.
  • Systemmigrationen.

Was heisst das jetzt für Sie als Auftraggeber?

  • Liegt eine Auftragsverarbeitung vor, muss diese schriftlich geregelt werden.
  • Sie als Auftraggeber müssen die im Vertrag festgeschriebenen Massnahmen zum Datenschutz und zur Datensicherheit beim Auftraggeber in geeigneter Form kontrollieren – im Zweifel persönlich vor Ort beim Auftragnehmer.
  • Für die Einhaltung der gesetzlichen Datenschutzvorschriften sind Sie als Auftraggeber verantwortlich, nicht der Auftragnehmer (dies wird oft irrtümlich falsch eingeschätzt).
  • Eine einfache Erklärung des Auftragnehmers über die Einhaltung der Datenschutzvorschriften ist nicht ausreichend!

Was heisst das jetzt für Auftragnehmer?

  • Als Auftragnehmer haben Sie sich ebenfalls den Regelungen des Art. 28 DSGVO zu unterwerfen und stehen in der Pflicht, Ihren Auftraggeber bei der Umsetzung zu unterstützen.
  • Zukunftsorientierte Unternehmen haben ein stichhaltiges Datenschutzkonzept samt einer vorformulierten Vereinbarung gem. Art. 28 DSGVO bereits in der Schublade und gehen damit aktiv auf ihre Bestandskunden zu. Ein kleines, aber sehr wirkungsvolles Detail, um sich positiv vom Wettbewerb abzuheben und ihren Auftraggeber  von ihrer Leistungsfähigkeit zu überzeugen.
  • Wenig hilfreich: den Auftraggeber vor die Wahl stellen – entweder ohne diese Vereinbarung samt Kontrollrechte zusammenzuarbeiten oder es eben sein zu lassen. Außer Sie sind sich sicher, Ihrem Auftraggeber ist Ihre Dienstleistung oder Ihr Produkt ohne Regelungen zur Auftragsverarbeitung ein Bußgeld wert.

Mit Bedacht sollten Musterverträge aus dem Internet eingesetzt werden. Teilweise entsprechen diese nicht den aktuellen Regelungen aus den letzten Novellierungen des Datenschutzrechts. Diese können zwar sinnvolle Ansatzpunkte liefern, ersetzen jedoch weder die individuell notwendige Anpassung auf die vorliegende Auftragsverarbeitung noch die rechtlich sichere Einschätzung, welche Maßnahmen hierzu notwendig sind.

Daher kann zur Vermeidung von Bußgeldern und Imageschäden nur jedem Unternehmen und Unternehmer geraten werden, einen Berater / Anwalt für Datenschutz oder Datenschutzbeauftragten hinzuzuziehen. Dieser stellt die korrekte Umsetzung sicher und haftet im Zweifel für mögliche Versäumnisse aus seiner Tätigkeit.

Hilfreiche Links und Tipps zur Auftragsverarbeitung im Internet:

aboutpixel.de / Geldfalle © Rainer Sturm

Vorteile externer Newsletter-Versender / Anbieter

Externer Newsletter-Versender sind ein probates Mittel, um professionelle Newsletter an den Mann bzw. an die Frau zu bringen. Bedienbare Weboberflächen,  Gestaltungsvorlagen und automatisierte Nutzerverwaltung sind nur einige der Punkte, die einem Werbetreibenden das Leben erleichtern. Nebenbei verringert die Nutzung eines solchen Dienstes das Risiko eines offenen Newsletter-Verteilers, weil die Empfänger aus Versehen im „An“- oder „Kopie“- statt im „Blindkopie“-Feld eingetragen wurden.

Double opt-in

Es dürfte sich mittlerweile unter allen Versendern von Newslettern herumgesprochen haben: Die Bestätigung und Überprüfung von Newsletter-Empfängern mittels des sog. double opt-in Verfahrens ist in Deutschland Pflicht.

Beim douple opt-in Verfahren bestätigt der Newsletter-Empfänger – zumeist über einen Aktivierungslink in einer Bestätigungsmail – seinen tatsächlichen Wunsch zum Erhalt des Newsletters erneut (daher „double“). Gleichzeitig wird dieser Vorgang mittels Zeitstempeln protokolliert, um die Anmeldung und Aktivierung jederzeit belegen zu können.

Danke Mailchimp

Der auch in Deutschland oft genutzte US Service Mailchimp hat nun von heute auf morgen das Standard-Anmeldeverfahren auf single opt-in umgestellt. Diese Verfahrensweise widerspricht den rechtlichen Anforderungen in Deutschland. Unternehmen in Deutschland, die Mailchimp als externen Newsletter-Versender nutzen, tun gut daran, diese automatisierte Umstellung wieder rückgängig zu machen. Ansonsten drohen Abmahnungen!

Mailchimp begründet diese Vorgehensweise mit dem erhöhten Aufwand für Nutzer, die sich mittels double opt-in für einen Newsletter anmelden müssen. Dies würde die Absprungraten erhöhen. Schlicht: die Maßnahme wird als „Kundenservice“ verkauft, Abmahnrisiko inklusive. Die Umstellung erfolgt automatisch zum 31.12.2017. Nutzer des Service sollten unbedingt manuell wieder auf double opt-in umstellen!

Die Kanzlei LHR weist in einem Beitrag darauf hin, dass Mailchimp zwar als rechtlicher Störer in die Mithaftung genommen werden könnte, das Abmahnrisiko wird hierdurch jedoch weder vermieden noch gesenkt.

Externer Newsletter-Versender ist Auftragsdatenverarbeitung

Die Nutzung eines externen Newsletter-Services wie Mailchimp fällt unter den Anwendungsbereich der sog. Auftragsdatenverarbeitung (BDSG), zukünftig Auftragsverarbeitung (EU DS-GVO). Der Anbieter ist vor der Nutzung sorgfältig auszuwählen, auf vorhandenes Sicherheitsniveau zu prüfen und mit einer Vereinbarung zur Auftragsdatenverarbeitung auszustatten (nicht zu verwechseln mit dem normalen Vertrag für die zu erbringende Leistung). Fehlende oder fehlerhafte Auftragsdatenverarbeitung kann Bußgelder bis 50.000 Euro nach sich ziehen.

Sollten Sie also einen externen Dienst nutzen, so prüfen Sie VORHER, ob die Umsetzungsschritte für eine Auftragsdatenverarbeitung möglich sind und auch durchgeführt werden. Im Zweifel fragen Sie Ihren Datenschutzbeauftragten.

Es gibt übrigens zahlreiche andere Anbieter, die mit dem double opt-in und dem Abmahnrisiko der Nutzer sorgfältiger umgehen, beispielsweise

Beide genannten Anbieter sind deutsche Unternehmen, denen die Verfahrensweisen zur Auftragsdatenverarbeitung bekannt sind, die sich mit ihren Services an deutsches Werbe-Recht halten, ihre Daten in deutschen Rechenzentren hosten und über aktive, kompetente Datenschutzbeauftragte verfügen. Ihre Kunden sollten Ihnen das wert sein!

 

 

Wer die letzten Woche und Monate die Meldungen in den Nachrichten, auf Blogs, in sozialen Netzwerken und auch per Post verfolgt, kann es nur mit der Angst bekommen. Da kommt die EU-Datenschutzgrundverordnung im Mai 2018 auf Unternehmen und Behörden zu und man könnte meinen, die Welt stehe kurz vor ihrem Untergang. Einzige Abhilfe natürlich, jetzt schnell diverse Seminare buchen oder diverse Literaturzusammenstellungen kaufen. Doch ist das wirklich so schlimm, was da auf Unternehmen und Behörden zu kommt?

Rechtliches zur EU-Datenschutzgrundverordnung (EU-DSGVO)

Ja, es stimmt. In der Nacht vom 24.05.2018 auf den 25.05.2018 wird es ein hartes Umschalten zwischen unseren bisherigen nationalen Datenschutzgesetzen und der EU-DSGVO geben. Sind wir bis zu diesem Termin noch an das Bundesdatenschutzgesetz und die Landesdatenschutzgesetze gebunden, so werden diese zum og. Termin durch die EU-DSGVO verdrängt. Hinzu kommen in den EU-Mitgliedsstaaten mögliche Anpassungsgesetze, in Deutschland für Bund und Länder jeweils separat. Diese beruhen auf den sogenannten Öffnungsklauseln in der EU-DSGVO, zu denen die Mitgliedsstaaten eigene nationale Regeln ergänzen können. Der Spielraum ist hier jedoch begrenzt, dem Sinn der EU-DSGVO wird es schwer zu widersprechen sein.

Vor diesem Hintergrund ist auch der Arbeitstitel „BDSG-neu“ für das deutsche Anpassungsgesetz nicht ganz korrekt. Daher heißt es auch im richtigen Wortlaut „Datenschutzanpassungs- und Umsetzungsgesetz (DSAnpUG)“ und wurde gerade nach einigen Diskussionen verabschiedet. Einerseits sind die Datenschutzbeauftragten der Länder nach wie vor nicht ganz zufrieden, andererseits haben die verschiedenen Lobbygruppen zur Aufweichung des bisherigen Datenschutz-Niveaus ebenfalls Federn lassen müssen. Eine EU-weite Harmonisierung eines solchen Themas wird immer ein Kompromiss sein. Dieser ist im Falle der EU-DSGVO erfolgt. Ob es wirklich der Meileinstein wurde, der von zahlreichen Beteiligten ausgerufen wird, das wird die Zukunft zeigen.

Von den Anpassungsgesetzen in den Bundesländern ist bisher wenig bis nichts zu sehen. Belastbare Rechtskommentare – zumindest zur EU-DSGVO selbst – erscheinen in den letzten Wochen vermehrt. Kommenatare zum DSAnpUG sind noch abzuwarten, bis zum Erscheinen brauchbarer Kommentare zu den Anpassungsgesetzen der Bundesländer wird noch mehr Zeit verstreichen. Nicht viel anders sieht es mit brauchbaren Vorlagen z.B. zu Änderungen in der Auftragsdatenverarbeitung oder mit Prüf- und Checklisten aus, die eine gezielte Vorbereitung und Umsetzung ermöglichen.

Dies merkt auch der Bayerische Landesbeauftragte für den Datenschutz auf seiner Webseite korrekterweise im Mai 2017 an:

In diesem Zusammenhang ist zu beachten, dass die Datenschutz-Grundverordnung gerade für den öffentlichen Bereich eine Vielzahl von sogenannten „Öffnungsklauseln“ vorsieht, die der Ergänzung bzw. Ausfüllung durch die mitgliedstaatlichen Gesetzgeber bedürfen. Bis die diesbezüglichen Gesetzgebungsverfahren – insbesondere auf bayerischer Ebene – abgeschlossen sind, kann daher zu bestimmten Themen nur eine vorläufige Darstellung unter dem Vorbehalt späterer nationaler Regelung erfolgen.

Grund zur Panik?

Die Uhr tickt, das steht fest. Dies ist jedoch kein Grund zur Panik. Die Grundsätze wie Verbotsgesetz mit Erlaubnisvorbehalt (Rechtsvorschrift, Vertrag, Einwilligung) bleiben uns erhalten. Grundlegende Verfahrensweisen bleiben identisch, bekommen teilweise nur einen anderen Namen (Verfahrensverzeichnis wird zum Verzeichnis der Verarbeitungstätigkeiten). Die Regelungen zur Bestellpflicht eines (internen oder externen) Datenschutzbeauftragten wurden in das Anpassungsgesetz übernommen. Für Unternehmen ändert sich hier nichts. In einigen Bundesländern wie Bayern war bisher für kommunale Einrichtungen nur die Bestellung eines internen Datenschutzbeauftragten möglich, in einigen Bundesländern wurde die Bestellung auf freiwilliger Basis erwähnt (intern oder extern). Dies wird durch die EU-DSGVO harmonisiert und ab Mai 2018 müssen alle kommunale Einrichtungen einen Datenschutzbeauftragten bestellt haben und diese Bestellung kann selbstverständlich auch extern erfolgen (beachten Sie hierzu auch unser Angebot „Externer Datenschutzbeauftragter für bayerische Kommunen“).

 Also alles nur Panikmache?

Nein, selbstverständlich bringt die EU-DSGVO auch Neuerungen und Änderungen mit sich. Statt der nur gelegentlich durchzuführenden Vorabkontrolle wird es nun die sogenannte Risikofolgenabschätzung geben. Diese ist auch öfter durchzuführen als bisher. Die Rechte der Betroffenen werden erweitert. Neben den bekannten Rechten auf Auskunft, Löschung und / oder Sperrung kommt das Recht auf Datenübertragbarkeit hinzu. Die Vereinbarungen zur Auftragsdatenverarbeitung mit bestehenden Dienstleistern sind zu aktualisieren, sobald hier sinnvolle Vorlagen vorliegen. Neu hinzu kommen Datenschutz durch Technikgestaltung und Datenschutz durch Voreinstellung (privacy by design und privacy by default). Beides konsequente Fortführungen der bisherigen Prinzipien Datenvermeidung und Datensparsamkeit. Weiterhin wurden die Dokumentationspflichten erweitert. Mehr Vorgänge und Entscheidungen als bisher sind schriftlich nachvollziehbar festzuhalten. Hier werden unsere Kunden bereits durch die Nutzung unserer vollverschlüsselten Projektplattform bestens unterstützt. Weitere Änderungen und Anpassungen sind absehbar. Doch ein Grund zur Panik ist das nicht.

Interessanterweise spielt das Thema Informationssicherheit (endlich) eine wichtigere Rolle und findet sich inhaltlich auch in der EU-DSGVO wider. Organisationen sind gehalten, ausreichende Maßnahmen zur Informationssicherheit (nicht IT-Sicherheit!) einzuführen, um den Schutz personenbezogener Daten (und im eigenen Interesse generell für interne schützenswerte Informationen) einzuführen und zu betreiben. Der Grad der Informationssicherheit wird sich bei Verstößen auf die Höhe der Strafen auswirken. Mehr Infos zum Thema Informationssicherheit finden Sie auf unserem Blog zur Informationssicherheit. Gerne unterstützen wir Sie neben den Datenschutz-Themen auch bei Einführung und Betrieb eines Informationssicherheitskonzepts.

Für eine korrekte Umsetzung und Anpassung empfiehlt es sich, belastbare Rechtskommentare und auch Vorlagen sowie Stellungnahmen der für Ihre Organisation jeweils zuständigen Datenschutzaufsicht abzuwarten. Wer bisher nach Bundesdatenschutzgesetz oder Länderdatenschutzgesetz korrekt gearbeitet hat, muss nicht Schlimmes befürchten. Diese Rechtsgrundlagen fallen zwar weg, inhaltlich finden sich weite Teile davon in der EU-DSGVO und dem DSAnpUG wider. Das wird bei den Anpassungsgesetzen in den Bundesländern nicht viel anders sein.

Konzerne mit internationalen Verflechtungen stehen da vor größeren Herausforderungen als national agierende Unternehmen oder Kommunaleinrichtungen. Jedoch sollte man sich von der Panikmache nicht anstecken lassen. Sofern Grundlagen des bisherigen Datenschutzrechts in Ihrer Organisation vorhanden sind und aktuell gehalten werden, wird es zwar Anpassungsaufwand geben, dieser wird jedoch überschaubar bleiben. Wer sich bisher um das geltende Datenschutzrecht nicht gekümmert hat, der wird einen großen Berg Arbeit vor sich sehen. Für diese Einrichtungen heißt es, frühzeitig Gas zu geben – und wenn es zu Beginn noch auf den Vorlagen und Materialien zum BDSG oder der Landesdatenschutzgesetze geschieht.

Tipps / Hinweise

Die Landesdatenschutzbehörde Niedersachsen hat einen (noch) recht allgemeinen Leitfaden für Unternehmen bereitgestellt. Sie finden diesen hier.

Immer einen Abstecher für Informationen wert, sind die folgenden Webseiten / Blogs:

  • Die Beitragsserie „Die EU-DSGVO ist da“ von Frau RAin Nina Diercks.
  • Die Webseite mit Tipps und Tricks samt Vorlagen des „Datenschutz-Guru“ RA Stephan Hansen-Oest.
  • Unser Partnerblog „Datenschutzbeauftragter Info“ mit aktuellen Informationen zur EU-DSGVO.

Wir werden in den nächsten Wochen und Monaten ebenfalls sukzessive nach Erscheinen belastbarer Vorlagen und Kommentare weitere Beiträge zur EU-DSGVO hier veröffentlichen.

Und jetzt … Ruhig Blut!

aboutpixel.de / Datenschutz © Rainer Sturm

Die Landesdatenschutzbehörden in Bayern, Berlin, Bremen, Hamburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland und Sachsen-Anhalt wählen per Zufall 500 Unternehmen in diesen Bundesländern aus. Diese erhalten im Zuge der Prüfung einen ausführlichen Fragebogen (Download zur Selbstüberprüfung hier) zur zeitnahen Beantwortung. Bitte beachten Sie: Sie sind gemäß Bundesdatenschutzgesetz gegenüber der Behörde auskunftspflichtig. Nehmen Sie die Anfrage ernst und erteilen Sie innerhalb des genannten Rückmeldezeitraums ausführlich Auskunft. Es besteht sonst ein Bußgeldrisiko für Ihre Organisation.

„[…] viele kleinere und mittlere Unternehmen in Deutschland verarbeiten inzwischen zahlreiche personenbezogene Daten (z. B. von Kunden, Mitarbeitern oder Bewerbern) häufig auf Servern externer Dienstleister, oft außerhalb der Europäischen Union. Dies ist vor allem bei Angeboten wie dem sog. Software as a Service der Fall. Ein klassisches Beispiel hierfür sind Office-Anwendungen „aus dem Internet“, die standortunabhängig und flexibel genutzt werden können.“

Inhaltlich beschäftigt sich der Fragebogen daher zu Beginn mit generellen Datenübermittlungen außerhalb der EU (USA, sonstige Drittstaaten).

„Ein wichtiges Ziel der Prüfung liegt in der Sensibilisierung der Unternehmen für Datenübermittlungen in Länder außerhalb der Europäischen Union. Um Unternehmen das Auffinden solcher Übermittlungen zu erleichtern, wird auch gezielt nach dem Einsatz von Produkten und Leistungen externer Anbieter gefragt, die – nach bisherigen Erfahrungen der Aufsichtsbehörden – mit einer Übermittlung personenbezogener Daten in Nicht-EU-Staaten verbunden sind.“

Im zweiten Teil wird es ziemlich konkret im Hinblick auf in der Cloud eingesetzte Lösungen wie Reisemanagement, Customer-Relationship-Management, Bewerberportale bis hin zu kompletten Recruitment und Personalverwaltung und Abrechnung, Cloud-Speicher, Newsletter-Services, Cloud Office, aber auch Kollaborationsplattformen. Hier wollen die Behörden sehr konkrete Angaben zu den genutzten Anbietern und Lösungen.

Abgeschlossen wird der Fragebogen mit Angaben zum betrieblichen Datenschutzbeauftragten. Diesen sollten Sie bei Vorliegen der gesetzlichen Bestellpflicht hoffentlich benennen können und in die Beantwortung des Fragebogens einbezogen haben.

„Übermittlungen personenbezogener Daten in Nicht-EU-Staaten gehören inzwischen auch bei vielen mittelständischen Unternehmen zum Alltag, nicht zuletzt aufgrund der immer stärkeren Verbreitung von Angeboten des Cloud Computing. Unternehmen müssen sich aber dessen bewusst sein, dass hierfür besondere datenschutzrechtliche Anforderungen gelten. Durch die koordinierte Prüfaktion, an der sich zehn deutsche Datenschutzaufsichtsbehörden beteiligen, wollen wir auch die Sensibilität der Unternehmen in diesem Bereich erhöhen.“ betont Thomas Kranig, der Präsident des Bayerischen Landesamtes für Datenschutzaufsicht. „Ausgehend von der Beantwortung des Fragebogens kann und wird das Bayerische Landesamt für Datenschutzaufsicht dort, wo sich dies als notwendig zeigt, auch in eine tiefere Prüfung einsteigen.“

Sie haben einen solchen Fragebogen erhalten, jedoch keinen betrieblichen Datenschutzbeauftragten zur Beantwortung parat? Sprechen Sie uns an.

Quelle: https://www.lda.bayern.de/media/pm2016_09.pdf

EU US Privacy Shield ist da

Nachdem die europäische Kommission erwartungsgemäß das recht umstrittene Privacy Shield als Nachfolger von Safe Harbor durchgewunken hat, tritt diese Regelung zum 01. August 2016 in Kraft. Nach Wegfall der Safe Harbor Regelung aufgrund eines Urteils des EUGH im Herbst 2015 – wir berichteten – soll Privacy Shield eine belastbare Grundlage für die Zulässigkeit des Austauschs personenbezogener Daten zwischen Europa und den USA bilden. Durch das Urteil des EUGH blieben hierfür ja lediglich die EU Standardvertragsklauseln oder Verfahrensweisen im Rahmen der sogenannten „binding corporate rules“ (BCR). Nachdem einige Unternehmen eine rechtzeitige Umstellung nach Wegfall von Safe Harbor auf die Standardvertragsklauseln versäumt haben, wurde zum Beispiel der Datenschutzbeauftragte Hamburgs, Prof. Dr. Johannes Caspar bereits aktiv und ging dagegen aktiv vor.

Und jetzt wird alles gut?

Es verwundert wenig, dass die beteiligten EU Kommissare den Stellenwert und Wirkungsgrad des von ihnen umgesetzten Privacy Shields loben. Nach ihrer Sicht seien erhebliche Zugeständnisse zum Schutz personenbezogener Daten in den USA von EU Bürgern geleistet worden. Dass diese lediglich in kurzer Briefform und ohne belastbare rechtliche Untermauerung in Form von neuen oder angepassten Gesetzen in den USA erbracht wurden, stellt das Privacy Shield auf kein solides Fundament.

Die hierdurch gewonnene Erleichterung im Datentransfer ist generell zu begrüßen. Jedoch unterscheiden sich Safe Harbor und Privacy Shield im Schutzwert für personenbezogene Daten von EU Bürgern lediglich geringfügig. Der Initiator des EUGH-Urteils (Max Schrems) verweist daher nicht ganz zu Unrecht auf die mangelnde Umsetzung der Schutzrechte, die der EUGH für ein neues Abkommen als Voraussetzung genannt hat. Die Halbwertszeit des Privacy Shields könnte demnach recht kurz sein, mit einer neuen Klage ist zu rechnen.

Was tun?

Unserer Meinung nach reicht es nicht aus, auf die Regelungen des Privacy Shields und deren Fortbestand zu hoffen. Wer es nach Wegfall von Safe Harbor bisher immer noch versäumt hat, beispielsweise die EU Standardvertragsklauseln umzusetzen, sollte dies zeitnah nachholen oder zumindest als zweite Säule neben dem Privacy Shield vertraglich regeln. Da jedoch auch die Standardvertragsklauseln ähnlichen argumentativen Schwächen unterliegt wie Safe Harbor respektive Privacy Shield , ist dies keine Garantie, auch langfristig rechtlich sauber zu arbeiten. Es gilt, die Entwicklung weiter zu beobachten.