Seit der Einführung der DSGVO gibt es für Unternehmer einige neue Dinge zu beachten, was den Umgang mit Daten und deren Schutz angeht. Sie gibt den Rechtsrahmen für Art und Umfang von Datenverarbeitungen vor. Dies gilt vor allem für personenbezogene Daten im europäischen Wirtschaftsraum. Wenn die Daten außerhalb dessen verarbeitet werden, müssen zusätzliche Schutzmaßnahmen getroffen werden.
Um diese Situation zu erleichtern, sollte das sog. Privacy Shield diesen Datentransfer rechtlich erleichtern und Sicherheit für alle Betroffenen bieten. Der europäische Gerichtshof hat nun allerdings entschieden, dass dieses Privacy Shield nicht ausreicht und Datenaustausch auf dessen Grundlage unzulässig sind.
Das bedeutet, dass in einem solchen Fall andere Rechtsgrundlagen von Unternehmern gefunden werden müssen. Hier wird z.B. oft die EU-Standardvertragsklausel angewandt, die allerdings nicht in jedem Fall Garantie für einen zulässigen Austausch geben kann. Die Datenverarbeitung kann ebenfalls angepasst werden, indem beispielsweise Anbieter gewechselt werden oder Daten neu verschlüsselt oder anonymisiert werden.
Betroffen von diesen Änderungen sind vor allem internationale Cloud-Dienste oder Social-Media Plattformen, die viel grenzüberschreitenden Datenverkehr betreiben. Aber auch Mittelständler werden sich über dieses Thema Gedanken machen müssen, da oft externe Systeme für z.B. Newsletter oder Customer-Relationship-Management von US-amerikanischen Anbietern stammen. Außerdem ist es auch nicht unüblich, personenbezogene Daten durch Unternehmen in den USA oder anderen Drittstaaten verarbeiten zu lassen. Reine Geschäftskorrespondenzen sind durch den Beschluss des EuGHs nicht betroffen.
In den kommenden Wochen und Monaten müssen sich also viele Unternehmer mit der geänderten Situation befassen. Zur Unterstützung plant die nationale Aufsichtsbehörde Empfehlungen zu veröffentlichen, wie nun am besten gehandelt werden kann.
