Gratis
15. September 2020 - Schrems-II-Urteil

Internationaler Datentransfer: Orientierungshilfe veröffentlicht

Drucken

Wie geht es nach dem so genannten „Schrems II“-Urteil des Europäischen Gerichtshofs (EuGH) mit dem internationalen Datentransfer weiter? Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BaWü) hat eine Orientierungshilfe herausgegeben.

Privacy Shield ungültig: Zukunft des Internationalen Datenverkehrs Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg hat eine Orientierungshilfe zum Schrems-II-Urteil herausgegeben. (Bild: GettyImages / iStock / donfiore)

„Uns ist bewusst, dass mit dem Urteil des EuGH unter Umständen extreme Belastungen für einzelne Unternehmen einhergehen können.“, schreibt Dr. Stefan Brink am Ende der Orientierungshilfe.

Der LfDI stellt in Aussicht sein weiteres Vorgehen am Grundsatz der Verhältnismäßigkeit auszurichten. Vorher gibt seine Behörde ausführliche Tipps, worauf Unternehmen jetzt achten müssen.

Das Schrems-II-Urteil

Mit dem „Schrems II-Urteil“ vom 16. Juli 2020 erklärte der EuGH das „Privacy Shield“-Abkommen zwischen den USA und Europa zum internationalen Datentransfer für ungültig. Datenschutz PRAXIS berichtete.

Die Entscheidung betrifft alle öffentlichen Stellen und alle dem EU-Recht unterworfenen Unternehmen, die Daten in die USA transferieren. An das Urteil des EuGH sind Gerichte und Behörden in allen Mitgliedstaaten gebunden.

Was die Entscheidung konkret bedeutet

Bußgelder bei Übermittlung über Privacy Shield

„Das ‚Privacy Shield‘-Abkommen stellt keine gültige Rechtsgrundlage mehr für die Übermittlung von Daten dar. Trotzdem durchgeführte Datentransfers sind rechtswidrig und können Bußgelder und Schadensersatzforderungen nach sich ziehen“ – darauf weist der LfDI BaWü in der Orientierungshilfe ausdrücklich hin.

Standardvertragsklauseln brauchen zusätzliche Garantien

Eine Übermittlung auf Grundlage von Standardvertragsklauseln hält Brink zwar für machbar. Doch diese „wird die Anforderungen, die der EuGH an ein wirksames Schutzniveau gestellt hat, […] nur in seltenen Fällen erfüllen“.

Der Verantwortliche müsse zusätzliche Garantien bieten, die einen Zugriff durch die US-amerikanischen Geheimdienste effektiv verhindern, so der Landesbeauftragte.

Denkbar sei eine Verschlüsselung, bei der nur der Datenexporteur den Schlüssel habe – oder die Anonymisierung aller personenbezogenen Daten.

So sollten Sie jetzt handeln

Wo und wie Unternehmen jetzt konkret anfangen sollten, führt die Orientierungshilfe auf fünf Seiten aus – inklusive Links zu rechtlichen Grundlagen.

Die Tipps reichen von einer Bestandsaufnahme bis zur Dokumentation aller Änderungen.

Bestandsaufnahme machen

„Sie sollten jetzt unverzüglich eine Bestandsaufnahme (Inventur) machen, in welchen Fällen Ihr Unternehmen/Ihre Behörde personenbezogene Daten in Drittländer exportiert“, empfiehlt der LfDI BaWü.

Darüber hinaus sollten alle Dienstleister und Vertragspartner in Drittländern über die Entscheidung des EuGH und die Konsequenzen informiert werden.

Auch eine Prüfung und Anpassung der Datenschutzerklärung empfiehlt der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg dringend.

Auftragsverarbeiter einbeziehen

Unternehmen sollten – so die Orientierungshilfe weiter – auch alle Auftragsverarbeiter, die personenbezogene Daten nach dem „Privacy Shield“-Abkommen in die USA übermitteln oder dort verarbeiten, kontaktieren.

Der Verantwortliche solle diese umgehend schriftlich oder per E-Mail anweisen, dies mit sofortiger Wirkung auszusetzen.

Alternativen prüfen

Können wir den Transfer von Daten in Drittländer vermeiden? Auch diese Frage sollten sich Unternehmen nach den Vorstellungen des LfDI BaWü stellen. Sie könnten zum Beispiel

  • ausschließlich Dienste nutzen, die keine Daten in ein Drittland übertragen,
  • die vertragliche Vereinbarung treffen, keine Daten in ein Drittland zu übermitteln,
  • die Daten verschlüsseln und allein Zugriff auf den Schlüssel haben,
  • überprüfen, ob sie die von der Kommission beschlossenen Standardvertragsklauseln für das jeweilige Land nutzen könnten: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32010D0087

Guten Willen zeigen

Wer für die Datenübermittlung auf Standardvertragsklauseln setzt, braucht ergänzende Garantien zur Verschlüsselung und Anonymisierung – das stellt der LfDI klar.

„Fehlt es an wirksamen zusätzlichen Garantien sollten Sie, um wenigstens Ihren Willen zu rechtskonformem Handeln zu demonstrieren und zu dokumentieren, Kontakt mit dem jeweiligen Empfänger der Daten aufnehmen“, empfiehlt Dr. Stefan Brink.

Gemeinsam sollen sich Sender und Empfänger vertraglich über Ergänzungen zu den Standardvertragsklauseln verständigen.

Die Vorschläge des Landesbeauftragten für vertragliche Änderungen reichen von der

  • Information der betroffenen Person über
  • die Verpflichtung des Datenimporteurs bis zu einer
  • Entschädigungsklausel.

Alle Schritte dokumentieren

Damit Unternehmen auf der sicheren Seite sind sollten sie aus Sicht des baden-württembergischen LfDI alle Schritte und Folgerungen lückenlos dokumentieren und so ihrer Nachweispflicht laut Artikel 5 der Europäischen Datenschutz-Grundverordnung nachkommen.

Mehr Informationen:

Elke Zapf