Am 16. Juli 2020 hat der Europäische Gerichtshof (EuGH) sein Urteil im so genannten Fall Schrems II gefällt. Der EuGH sollte die Gültigkeit des Privacy Shields und der Standardvertragsklauseln (SCCs) als anerkannte Mechanismen zum Schutz bei der Übermittlung personenbezogener Daten aus der EU im Rahmen der Datenschutz-Grundverordnung (DSGVO) überprüfen.

Der EuGH hat in seinem Urteil den EU-US Privacy Shield als Übermittlungsmechanismus für den Export personenbezogener Daten in die USA für ungültig erklärt. Die Standardvertragsklauseln (SCCs) bleiben im Prinzip als Mechanismus zur Übermittlung personenbezogener Daten in Länder außerhalb der EU/UK gültig, aber das EuGH-Urteil fügt ein Element der Sorgfaltspflicht für die Organisationen hinzu, die diese Abkommen nutzen, und erlaubt es den lokalen Datenschutzbehörden innerhalb Europas, Übermittlungen im Rahmen der SCCs zu verbieten oder einzuschränken, wenn sie glauben, dass das Abkommen nicht eingehalten wird und die personenbezogenen Daten nicht angemessen geschützt werden.

Wie in unseren Datenschutzbestimmungen angegeben, übertragen wir Daten einschließlich persönlicher Informationen, die von unseren Kunden in unseren gehosteten Systemen gesammelt wurden, an Rechenzentren und Dienstanbieter in den USA. Ausführliche Informationen zu den von uns verwendeten Dienstanbietern finden Sie auf unserer Seite zur Anbieterverwaltung. Wir verwenden in den USA auch Cloud-basierte Softwarelösungen für das Kundenbeziehungsmanagement, das Support- und Vorfallmanagement und die Marketingkommunikation.

Wir haben bereits alle Anbieter ermittelt, bei denen wir uns zum Schutz der personenbezogenen Daten, die wir in Länder außerhalb der EU übertragen, auf das Privacy Shield Framework verlassen haben, und können bestätigen, dass wir bei allen Dienstleistern für unsere gehosteten Systeme Standardvertragsklauseln aufgesetzt haben. Für die übrigen Privacy Shield Anbieter, die für unsere internen Prozesse Softwarelösungen anbieten, erarbeiten wir aktuell die notwendigen Standardvertragsklauseln.

Wir prüfen, welche weitere Due-Diligence-Prüfung erforderlich ist, um sicherzustellen, dass unsere Verwendung der Standardvertragsklauseln angemessen ist, und wir sind zuversichtlich, dass die Anbieter die in der Vereinbarung festgelegten Anforderungen werden erfüllen können. Außerdem verfolgen wir weiterhin, welche Entscheidungen von den Datenschutzbehörden in allen europäischen Ländern, in denen unsere Büros und Kunden ansässig sind, getroffen werden.