Wir speichern Ihre Daten NUR in Deutschland
Der EuGH hat mit dem Urteil Schrems II deutlich gemacht, dass ein Datenaustausch mit den USA nur mittels verschärfter Schutzvorschriften zulässig ist. Der bisher geltende Angemessenheitsbeschluss für einen Datentransfer „Privacy Shield“, der auf die im Oktober 2015 für ungültig erklärte „Safe Harbor“-Regelung folgte, ist seit dem 16. Juli 2020 ebenfalls obsolet. Besonders pikant ist dabei, dass die Vorgabe des EuGH eine sofortige Gültigkeit hat, wie BfDI auf Verweis der EDSA konstatiert: „So stellt der EDSA beispielsweise fest, dass es keine ‚Gnadenfrist‘ für Datenverarbeitungen auf Grundlage des vom Europäischen Gerichtshof für ungültig erklärten „Privacy Shield“ geben wird. Die Umstellung muss ohne Verzögerung begonnen werden.“
Die jetzt empfohlene Praxis, die Anwendung sogenannter Standardvertragsklauseln, ist nur dann zulässig, wenn das gleiche Datenschutzniveau wie in der Europäischen Union garantiert wird. Dass Unternehmen dieses Schutzniveau über vertragliche Ausgestaltungen gewährleisten können, woran selbst die Europäische Kommission in intensiver Bemühung mehrfach gescheitert ist, bleibt fragwürdig. Im Ergebnis wird dies womöglich die Pflicht nach sich ziehen, dass personenbezogene Daten entweder verschlüsselt, beispielsweise mit 512 Bit, als nicht rückauflösbarer Hashwert – pseudonymisiert – oder nur anonymisiert in die USA zu übertragen um dort gespeichert werden zu dürfen. Zur besseren Evaluation des Themas sei allen Interessierten die FAQ-Seite des edpb empfohlen.
Was bedeutet diese Entwicklung für Kunden von HR4YOU?
Zum Glück nichts Schlimmes! Denn alle Daten die über die von Ihnen eingesetzt HR4YOU-Software gespeichert und verarbeitet werden, befinden sich in unseren Rechenzentren in Deutschland. Insofern Sie die empfohlenen Fristen zum Löschen und Anonymisieren verwenden und nur unbedingt notwendige personenbezogene Daten erheben, kann Ihnen durch die DSGVO und das Urteil Schrems II kein Nachteil entstehen. Sie genießen somit die Sicherheit zu 100 Prozent rechtssicher zu handeln und müssen keine Abmahnung (oder Bußgelder) fürchten. Weiterhin bleiben alle Betroffenenrechte gewahrt, sodass kein Bedarf besteht, „fragwürdige“ Standardvertragsklauseln abzuschließen. Über die weise Entscheidung, sich mit HR4YOU für eine Cloud Made in Germany (alt.: Software aus Deutschland) entschieden zu haben, freut sich auch Ihr Datenschutzbeauftragter im Unternehmen.
Wo entstehen dennoch Probleme?
Jeder sonstige Datenaustausch in die USA ist betroffen, wenn nicht bereits Sicherheitsmaßnahmen ergriffen wurden. Hier fallen sofort zwei für Unternehmen wichtige Produkte auf: Microsoft mit Office 365 und Google mit Analytics und Adwords. Beide Unternehmen betreiben ebenfalls Rechenzentrum in Europa, unterliegen mit Ihren Muttergesellschaften aber weiterhin dem amerikanischen Recht. Zumindest bei den Produkten von Google finden sich in einschlägiger Fachliteratur Mittel und Wege, personenbezogene Daten nur noch anonymisiert zu übertragen. Dies sind natürlich nur die beiden prominentesten Beispiele, die sich faktisch beliebig erweitern lassen.