INFORMATIONEN

Drei-Punkte-Aktionsplan gemäß der Schrems-II-Entscheidung

Die Entscheidung des Europäischen Gerichtshofs, den EU-US-Datenschutzschild in der Rechtssache Schrems II für ungültig zu erklären, hat Schockwellen durch das Geschäftsumfeld geschickt. Den Unternehmen, die Daten verarbeiten, wird empfohlen, sich so schnell wie möglich vorzubereiten, da die europäischen Datenschutzbehörden noch keine Klarheit und keine Übergangsfrist vorgeschlagen haben.

Betroffene Unternehmen sollten nicht untätig bleiben und ihre Datenübermittlungen an bestimmte Drittstaaten auf der Grundlage der folgenden Leitlinien überprüfen. Die in diesem Sinne getroffenen Maßnahmen sollten zu Überprüfungszwecken gemeldet werden.

Der erste Schritt

In einem ersten Schritt sollten die US-amerikanischen Datenimporteure/Dienstleister, die sich auf das für ungültig erklärte EU-US Privacy Shield berufen, näher untersucht werden. Aus diesem Grund sollten die Datenverarbeitungsverträge, die gemäß Art. 28 DSGVO mit den jeweiligen Vertragspartnern (d.h. den Datenverarbeitern nach Art. 4 Nr. 8 DSGVO) überprüft werden.

Darüber hinaus kann auch die Verarbeitung personenbezogener Daten zwischen zwei für die Verarbeitung Verantwortlichen betroffen sein (Art. 4 Nr. 7 DSGVO). Schließlich ist zu prüfen, ob in Deutschland, der EU und dem EWR ansässige Datenverarbeiter wiederum mit Unterdatenverarbeitern in den USA zusammenarbeiten. Hier ist auch zu erörtern, ob diese Unterdatenverarbeiter auf das EU-US Privacy Shield angewiesen sind.

Zweiter Schritt

In einem zweiten Schritt müssen unbedingt die US-Datenimporteure (d. h. Datenverarbeiter und für die Verarbeitung Verantwortliche) ermittelt werden, bei denen die Datenübermittlung von einer anderen Garantie gemäß Artikel 46 der Datenschutz-Grundverordnung abhängt, z. B. von den üblichen EU-Vertragsklauseln und verbindlichen Geschäftsgesetzen.

Dritter Schritt

In einem dritten Schritt sollten die in der ersten und zweiten Stufe aufgeführten US-Datenimporteure aufgefordert werden, zu erläutern, inwieweit die US-Behörden Zugang zu den übermittelten personenbezogenen Daten haben können.

In diesem Zusammenhang können insbesondere US-Datenimporteure angeben, ob sie unter die vom EuGH erörterten Vorschriften fallen, d. h. unter den fünfzig U.S. Code § 1881a.

Darüber hinaus können sie angeben, ob sie gemäß Executive Order 12.333 oder anderen US-Gesetzen mit ähnlicher Zielsetzung (z. B. dem U.S. Cloud Act) personenbezogene Daten an US-Behörden weitergeben.

Dann muss entschieden werden, ob es auf der Grundlage des vorgeschlagenen Ergebnisses notwendig wäre:

  • Der Übergang der Daten in ihrer jetzigen Form kann beibehalten werden;
  • Die Datenübermittlung würde durch zusätzliche Garantien abgedeckt, bei denen es sich wahrscheinlich um technische Maßnahmen handelt, wie z. B. eine wirksame Verschlüsselung, im Gegensatz zu bloßen vertraglichen Vereinbarungen; oder
  • Die Wiederherstellung personenbezogener Daten ist entscheidend.
  • In jedem Fall ist es nach Artikel 46 der Datenschutz-Grundverordnung (DSGVO), wo das EU-US Privacy Shield bisher die einzige Grundlage für die Übermittlung von Daten ist, zwingend erforderlich, auf andere geeignete Garantien zurückzugreifen.

    In seinem Urteil in der Rechtssache Schrems II stellte der EuGH klar, dass Datenexporteure das Datenschutzniveau im Empfängerland von Fall zu Fall prüfen und (falls erforderlich) zusätzliche Sicherheiten bieten müssen. Diese Klausel ist nicht auf die Vereinigten Staaten beschränkt, sondern gilt unmittelbar nach dem 1. Januar 2021 für alle Drittländer, wie Indien, China und das Vereinigte Königreich.

    Obwohl von den Datenschutzaufsichtsbehörden wiederholt klargestellt, gibt es keine Übergangsfrist. Die drei oben genannten Schritte sollten auch zügig durchgesetzt werden.

    Fernarbeit und Datenschutz

    Zum ersten Mal haben Unternehmen, die von zu Hause aus arbeiten, keine Zeit, die Auswirkungen zu planen, die sich aus einem erhöhten Risiko von Cyber-Bedrohungen

    mehr »

    ePrivacy – Auswirkungen in der Praxis

    Aufgrund mehrerer ungelöster Auslegungsfragen waren (und sind) die Durchführungsverfahren der Datenschutz-Grundverordnung in der Praxis schwierig. In ähnlicher Weise wird auch die Datenschutzverordnung für elektronische Kommunikation

    mehr »