13. August, 2020  |  GDPR

Ein neues EU-Urteil wirkt sich auf Ihre Wahl eines SMS-Gateways aus – Erfahren Sie, wie und warum

Zurück zur Übersicht
Ein neues EU-Urteil wirkt sich auf Ihre Wahl eines SMS-Gateways aus – Erfahren Sie, wie und warum

Das EU-US Privacy Shield Framework wurde am 16. Juli 2020 durch ein EU-Urteil (auch als Schrems II-Urteil bekannt) für ungültig erklärt.

Und warum sollte das Sie interessieren?
Einige dürfen wie gewohnt fortfahren, aber für die überwiegende Mehrheit der Unternehmen in der EU hat das Urteil erhebliche Auswirkungen auf die Einhaltung der DSGVO sowie auf die Rechtmäßigkeit der Verarbeitung von Daten außerhalb der EU.

Wir überprüfen daher die Bedeutung des Urteils in diesem Blog-Beitrag, in dem wir auch erläutern, warum Sie GatewayAPI weiterhin beruhigt verwenden können mit dem Wissen, dass Sie mit Ihrer Wahl von GatewayAPI weiterhin die DSGVO vollständig einhalten.

Was ist das EU-US Privacy Shield Framework?

Das EU-US Privacy Shield Framework war ein Rahmen für die Regulierung des transatlantischen Austauschs personenbezogener Daten zu kommerziellen Zwecken zwischen der Europäischen Union und den Vereinigten Staaten.

Der Rahmen wurde für ungültig erklärt, da das Gericht entschieden hat, dass die USA kein „angemessenes Datenschutzniveau“ gewährleisten, wodurch die USA in die Kategorie der „Drittländer“ außerhalb der EU eingestuft werden, die nicht mehr als sicher für den Datenaustausch gelten.

Kurzer Überblick über die Auswirkungen des Urteils

Das Schrems-II-Urteil betrifft eine große Anzahl von Unternehmen, die entweder direkt oder indirekt personenbezogene Daten über die von ihnen genutzten IT-Dienste in die USA senden. Für Unternehmen, die sich auf das EU-US Privacy Shield Framework verlassen haben, gibt es keine Nachfrist. Daher müssen viele von ihnen möglicherweise bereits jetzt die von ihnen genutzten Dienste neu bewerten, da sie im Widerspruch zur DSGVO stehen, wenn sie diese weiterhin nutzen .

Derzeit ist nicht klar, was Unternehmen mit Sitz in der EU tun müssen, um sicherzustellen, dass sie die DSGVO weiterhin einhalten, wenn sie Dienste mit Sitz in den USA nutzen. Es gibt neue Standards, die eingehalten werden müssen, auf die wir weiter unten eingehen werden, aber die neuen Standards allein reichen nicht aus.

Mehrere Experten weisen darauf hin, dass es sehr zweifelhaft ist, ob Unternehmen derzeit in der Lage sein werden, personenbezogene Daten in die USA zu übertragen, da der Datenexporteur sicherstellen muss, dass der Schutz der Daten dem Schutzniveau in der EU entspricht, das im Lichte von Das Urteil muss als unmöglich angesehen werden.

EU-ruling-impact

Was bedeutet das für Sie als GatewayAPI-Kunde?

Sie können GatewayAPI nach dem Schrems II-Urteil weiterhin sicher verwenden. In erster Linie wurde GatewayAPI – sowie die Muttergesellschaft ONLINECITY.IO – in Dänemark gegründet, wo wir auch tätig sind und unseren Hauptsitz haben.

Ihre Daten, für die wir Auftragsverarbeiter sind, werden in der EU gespeichert und verlassen nicht die Rechenzentren, die wir in Belgien, Irland, Finnland, den Niederlanden und Dänemark verwenden. Darüber hinaus haben wir einen Prüfungsbericht der ISAE 3000-Wirtschaftsprüfung von den Prüfern von BDO, dass wir alle Anforderungen für eine gute und sichere Auftragsverarbeitung erfüllen, die in der DSGVO festgelegt sind.

Schließlich haben wir mehrere Schritte unternommen, um sicherzustellen, dass wir auch in Zukunft vollständig DSGVO-konform sind. Weitere Informationen hierzu finden Sie weiter unten.

Detaillierte Informationen für die GDPR-Experten

In Anbetracht des Urteils des Europäischen Gerichtshofs in der Rechtssache Schrems-II, das zur Ungültigmachung des EU-US Privacy Shield Frameworks als gültige Übertragungsgrundlage für Datenübertragungen in unsichere Drittländer geführt hat, möchten wir dies mitteilen Unsere Kunden und Partner erhalten einen kurzen Überblick über die Maßnahmen, die wir jetzt ergriffen haben und die wir weiterhin ergreifen werden, bis die Behörden sowohl die tatsächlichen Konsequenzen als auch die offiziellen Richtlinien vorgelegt haben und bis wir bei GatewayAPI die aktuelle Grundlage für die Übertragung auf  eine gültige Grundlage für die Übermittlung personenbezogener Daten außerhalb der EU, was nach diesem Urteil erforderlich ist, aktualisiert haben.

Die Voraussetzungen für eine gültige Übermittlungsgrundlage sind wie folgt:

  • Implementierung der EU-Standardvertragsklauseln (SCC) in die Vereinbarung mit allen Lieferanten, die…
    • sich in einem unsicheren Drittland (wie den USA) befinden.
    • ihren Hauptsitz in einem unsicheren Drittland haben (da davon auszugehen ist, dass Daten beispielsweise von einem europäischen Rechenzentrum zu einem US-Hauptsitz übertragen werden, beispielsweise im Zusammenhang mit der Bereitstellung von Daten an die Behörden im Zusammenhang mit nationale Sicherheit).
    • Subunternehmer haben, an die sie Daten übertragen/anvertrauen, die sich in einem unsicheren Drittland befinden.
  • Eine Bewertung des Datenexporteurs inwiefern die Bestimmungen und Rechtsvorschriften des SCC oder der DSGVO im Importland eingehalten werden können, d.h. ob die betroffene Person ihre Rechte ausüben kann, ob das EU-Recht eingehalten werden kann und ob das Schutzniveau im Importland angemessen ist
  • Abhängig von und im Lichte der oben genannten Bewertung und der Umstände der Übertragung sind zusätzlicher Maßnahmen umzusetzen, um sicherzustellen, dass das US-Recht das von SCC und DSGVO garantierte angemessene Schutzniveau nicht beeinträchtigt wird
  • Eine Bestätigung des Datenimporteurs, dass die Einhaltung der oben genannten Datenschutzklauseln für den Importeur möglich ist, sowie eine Ergänzung der Vereinbarung mit dem Datenimporteur über die zusätzliche Verpflichtung des Datenimporteurs, den Datenexporteur im Falle einer Unfähigkeit der Einhaltung der oben genannten Datenschutzklauseln zu informieren und gegebenenfalls zusätzlicher Maßnahmen einzuführen zu denen in den Standardvertragsklauseln, wobei der Datenexporteur seinerseits verpflichtet ist, die Datenübertragung auszusetzen und/ oder den Vertrag mit dem Datenimporteur zu kündigen.

Unsere Maßnahmen

Wir möchten darauf hinweisen, dass der Hosting-Partner von GatewayAPI Google Cloud ist, wo sich die für GatewayAPI verwendeten Rechenzentren alle in der EU befinden – in Saint-Ghislain, Belgien, in Dublin, Irland, in Hamina, Finnland, in Eemshaven, Niederlande und in Fredericia, Dänemark.

Google LLC hat seinen Hauptsitz in den USA. Wir haben Google kontaktiert, um die SCCs in ihre Vereinbarungen aufzunehmen und zu fragen, wann sie die Fähigkeit zur Einhaltung der SCCs bestätigen können. Darüber hinaus warten wir auf eine Änderung der Allgemeinen Geschäftsbedingungen, die die Einhaltung der SCCs ermöglicht.

Wir stehen in engem Dialog mit Google und werden weiterhin Folgeanfragen an Google senden, damit wir umgehend auf das Schrems-II-Urteil reagieren können. Google verweist unterdessen auf die Tatsache, dass sie die SCCs bereits in ihre Vereinbarungen aufgenommen haben (vgl. deren Google Cloud-Website) und dass sie in Kürze mit einer detaillierteren Ankündigung bezüglich der verbleibenden Anforderungen zurückkehren werden. Wir werden Sie natürlich über alle Entwicklungen in diesem Fall auf dem Laufenden halten.

Darüber hinaus haben wir uns an die dänische Datenschutzbehörde gewandt, um zu klären, welche Anforderungen an die Bewertung des Rechtssystems, der Justiz und der Möglichkeit der Einhaltung von EU-Rechten, -Standards, -Anforderungen und -Gesetzen bestehen, die jetzt für Auftragsverarbeiter erforderlich sind, und wir warten derzeit auf Antworten in diesem Fall.

Wir haben uns auch mit der dänischen Handelskammer über die Konsequenzen des Urteils und weitere Maßnahmen auseinandergesetzt, die umgesetzt werden können, sowie darüber, ob die Verantwortung für die Beurteilung der Rechtsstaatlichkeit im Drittland beim einzelnen für die Verarbeitung Verantwortlichen liegen kann, oder vielmehr bei der Europäischen Datenschutzaufsicht (EDPS) bzw. dem Europäischen Datenschutzrat (EDPB).

Unsere zukünftigen Maßnahmen

Darüber hinaus überprüft GatewayAPI in seiner laufenden Compliance- und Governance-Arbeit Lieferanten außerhalb der EU, sodass Daten, die sich derzeit in Rechenzentren außerhalb der EU befinden, in die EU migriert werden oder Lieferanten, die diese Option nicht anbieten, durch europäische Lieferanten ersetzt werden. Dies gilt sowohl für Lieferanten, die Teil unserer Rolle als Auftragsverarbeiter als auch für unsere Rolle als für die Verarbeitung Verantwortlicher sind. Ein Beispiel ist Slack, wo wir auf „Data Residency“ in der EU migrieren, was bedeutet, dass alle Daten von Slack und Chatlio in der EU gespeichert werden. Alle übrigen Lieferanten werden bezüglich der Anforderungen und deren Erfüllung kontaktiert und anhand ihrer Bemühungen wird beurteilt, ob die Zusammenarbeit fortgesetzt werden kann und somit den oben genannten Anforderungen unterliegt.

Wir werden auch sicherstellen, dass die SCCs so schnell wie möglich in die Auftragsverarbeitungsvereinbarungen mit allen für die Verarbeitung Verantwortlichen aufgenommen werden, damit diese Bestimmungen in Bezug auf die Subverarbeitern und Lieferanten, die ebenfalls den Anforderungen zur Einhaltung unterliegen, leichter durchzusetzen sind.

EU-ruling-impact

Haben Sie weitere Fragen?

Wir stehen jedem Registranten, Kunden oder Kunden von Kunden zur Verfügung, wenn jemand unsere Einhaltung mit uns besprechen möchte. Wir sind transparent in unseren Bemühungen, uns an das Schrems-II-Urteil anzupassen, da wir – unabhängig vom EU-Urteil – unseren Kunden vollständige Sicherheit bieten wollen, indem wir uns als Lieferanten einsetzen.

Wenn Sie spezielle Fragen oder Folgemaßnahmen zu Privacy Shield oder diesem Blogeintrag haben, helfen wir Ihnen gerne weiter.

Kontaktieren Sie uns einfach unter gdpr@gatewayapi.com.