Wegfall des Privacy Shield: Was nun?
Was müssen heimische Unternehmen jetzt tun?
In einem ersten Schritt sollten die betroffenen Unternehmen abwägen, welche zusätzlichen Massnahmen erfolgsversprechend sind, um die bestehenden Risiken zu reduzieren. Im Fokus steht insbesondere die Verarbeitung von personenbezogenen Daten in den USA, was einen Grossteil der Datenverarbeitung von Unternehmen betrifft. Je nach Kategorie der betroffenen personenbezogenen Daten sind zusätzliche Abklärungen und Vorkehrungen unerlässlich wie beispielsweise bei der Verarbeitung von besonders schützenswerten Personendaten wie Gesundheitsdaten.
In jedem Fall sollten bei Transfers von Personendaten ausserhalb der EU die jeweils aktuellsten Standardvertragsklauseln vereinbart werden. Auch hier gilt, dass vieles im Wandel ist und die Standartvertragsklauseln zurzeit überarbeitet werden. Sobald aktualisiert, sollte die aktuellste Version implementiert und vereinbart werden. Zudem muss überprüft werden, ob das lokale Recht den geschilderten Anforderungen entspricht. Es ist sodann eine Risikoabwägung für die in Frage stehenden Länder vorzunehmen.
Fazit
Ohne eine umfassende Analyse der Unternehmenssituation kann ein Schweizer Unternehmen den neuen Anforderungen gemäss des Schrems II-Urteils nicht nachkommen. Es ist wichtig, eine Standortbestimmung zu machen, die sechs oben genannten Schritte umzusetzen und dies auch laufend zu überwachen und anzupassen. Untätig zu bleiben ist nicht empfehlenswert und erhöht das Risiko erheblich.
Zur Autorin
Carmen De la Cruz
ist Co-Leiterin der Rechtskommission von swissICT sowie Rechtsanwältin und Partnerin bei De la Cruz Beranek Rechtsanwälte. Die Mitglieder der swissICT-Rechtskommission berichten in der Computerworld regelmässig über aktuelle juristische Themen im digitalen Bereich.
Autor(in)
Carmen
De la Cruz