Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Betriebsrat ChatGPT Checklisten Cookies Data Privacy Framework EuGH Fotos HinSchG Homeoffice Hybrid Work KI Rechenschaftspflicht TTDSG Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 10/23

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat ChatGPT Checklisten Cookies Data Privacy Framework EuGH Fotos HinSchG Homeoffice Hybrid Work KI Rechenschaftspflicht TTDSG Urteil Vorlagen
15. September 2020

Internationaler Datentransfer: Orientierungshilfe veröffentlicht

Privacy Shield ungültig: Zukunft des Internationalen Datenverkehrs
Bild: GettyImages / iStock / donfiore
0,00 (0)
drucken
Schrems-II-Urteil
Wie geht es nach dem so genannten „Schrems II“-Urteil des Europäischen Gerichtshofs (EuGH) mit dem internationalen Datentransfer weiter? Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BaWü) hat eine Orientierungshilfe herausgegeben.

„Uns ist bewusst, dass mit dem Urteil des EuGH unter Umständen extreme Belastungen für einzelne Unternehmen einhergehen können.“, schreibt Dr. Stefan Brink am Ende der Orientierungshilfe.

Der LfDI stellt in Aussicht sein weiteres Vorgehen am Grundsatz der Verhältnismäßigkeit auszurichten. Vorher gibt seine Behörde ausführliche Tipps, worauf Unternehmen jetzt achten müssen.

Das Schrems-II-Urteil

Mit dem „Schrems II-Urteil“ vom 16. Juli 2020 erklärte der EuGH das „Privacy Shield“-Abkommen zwischen den USA und Europa zum internationalen Datentransfer für ungültig.

Die Entscheidung betrifft alle öffentlichen Stellen und alle dem EU-Recht unterworfenen Unternehmen, die Daten in die USA transferieren. An das Urteil des EuGH sind Gerichte und Behörden in allen Mitgliedstaaten gebunden.

Was die Entscheidung konkret bedeutet

Bußgelder bei Übermittlung über Privacy Shield

„Das ‚Privacy Shield‘-Abkommen stellt keine gültige Rechtsgrundlage mehr für die Übermittlung von Daten dar. Trotzdem durchgeführte Datentransfers sind rechtswidrig und können Bußgelder und Schadensersatzforderungen nach sich ziehen“ – darauf weist der LfDI BaWü in der Orientierungshilfe ausdrücklich hin.

Standardvertragsklauseln brauchen zusätzliche Garantien

Eine Übermittlung auf Grundlage von Standardvertragsklauseln hält Brink zwar für machbar. Doch diese „wird die Anforderungen, die der EuGH an ein wirksames Schutzniveau gestellt hat, […] nur in seltenen Fällen erfüllen“.

Der Verantwortliche müsse zusätzliche Garantien bieten, die einen Zugriff durch die US-amerikanischen Geheimdienste effektiv verhindern, so der Landesbeauftragte.

Denkbar sei eine Verschlüsselung, bei der nur der Datenexporteur den Schlüssel habe – oder die Anonymisierung aller personenbezogenen Daten.

So sollten Sie jetzt handeln

Wo und wie Unternehmen jetzt konkret anfangen sollten, führt die Orientierungshilfe auf fünf Seiten aus – inklusive Links zu rechtlichen Grundlagen.

Die Tipps reichen von einer Bestandsaufnahme bis zur Dokumentation aller Änderungen.

Bestandsaufnahme machen

„Sie sollten jetzt unverzüglich eine Bestandsaufnahme (Inventur) machen, in welchen Fällen Ihr Unternehmen/Ihre Behörde personenbezogene Daten in Drittländer exportiert“, empfiehlt der LfDI BaWü.

Darüber hinaus sollten alle Dienstleister und Vertragspartner in Drittländern über die Entscheidung des EuGH und die Konsequenzen informiert werden.

Auch eine Prüfung und Anpassung der Datenschutzerklärung empfiehlt der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg dringend.

Auftragsverarbeiter einbeziehen

Unternehmen sollten – so die Orientierungshilfe weiter – auch alle Auftragsverarbeiter, die personenbezogene Daten nach dem „Privacy Shield“-Abkommen in die USA übermitteln oder dort verarbeiten, kontaktieren.

Der Verantwortliche solle diese umgehend schriftlich oder per E-Mail anweisen, dies mit sofortiger Wirkung auszusetzen.

Alternativen prüfen

Können wir den Transfer von Daten in Drittländer vermeiden? Auch diese Frage sollten sich Unternehmen nach den Vorstellungen des LfDI BaWü stellen. Sie könnten zum Beispiel

  • ausschließlich Dienste nutzen, die keine Daten in ein Drittland übertragen,
  • die vertragliche Vereinbarung treffen, keine Daten in ein Drittland zu übermitteln,
  • die Daten verschlüsseln und allein Zugriff auf den Schlüssel haben,
  • überprüfen, ob sie die von der Kommission beschlossenen Standardvertragsklauseln für das jeweilige Land nutzen könnten: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32010D0087

Guten Willen zeigen

Wer für die Datenübermittlung auf Standardvertragsklauseln setzt, braucht ergänzende Garantien zur Verschlüsselung und Anonymisierung – das stellt der LfDI klar.

„Fehlt es an wirksamen zusätzlichen Garantien sollten Sie, um wenigstens Ihren Willen zu rechtskonformem Handeln zu demonstrieren und zu dokumentieren, Kontakt mit dem jeweiligen Empfänger der Daten aufnehmen“, empfiehlt Dr. Stefan Brink.

Gemeinsam sollen sich Sender und Empfänger vertraglich über Ergänzungen zu den Standardvertragsklauseln verständigen.

Die Vorschläge des Landesbeauftragten für vertragliche Änderungen reichen von der

  • Information der betroffenen Person über
  • die Verpflichtung des Datenimporteurs bis zu einer
  • Entschädigungsklausel.

Alle Schritte dokumentieren

Damit Unternehmen auf der sicheren Seite sind sollten sie aus Sicht des baden-württembergischen LfDI alle Schritte und Folgerungen lückenlos dokumentieren und so ihrer Nachweispflicht laut Artikel 5 der Europäischen Datenschutz-Grundverordnung nachkommen.

Mehr Informationen:

Elke Zapf

Elke Zapf
zu den Kommentaren
Wie nützlich war dieser Beitrag für Sie?
Jetzt teilen:
Privacy Shield Schrems II
drucken
Verfasst von
Elke Zapf
Elke Zapf
ist freiberufliche Kommunikationsexpertin und Journalistin. Ihre Schwerpunkte sind Wissenschaft, Forschung, nachhaltiger Tourismus und Datenschutz.
Verwandte Beiträge
21. August 2023
DP+
Der Angemessenheitsbeschluss der EU-Kommission macht die SCC für die Datenübermittlung in die USA nicht zwingend überflüssig
Bild: iStock.com / mixetto

Die künftige Bedeutung der Standardvertragsklauseln

Analyse
Data Privacy Framework Drittland Schrems II
19. Dezember 2022
DP+
Worauf müssen private und öffentliche Auftraggeber sowie IT-Dienstleister bei der Auftragsverarbeitung achten?
Bild: iStock.com / Just_Super

Cloud- und IT-Serviceprovider: Die Krux mit dem Drittland

Ratgeber
Drittland Privacy Shield Schrems II
15. Dezember 2022
DP+

Angemessenheitsbeschluss zum EU-US Data Privacy Framework: eine deutsche Übersetzung

Downloads
Data Privacy Framework Privacy Shield Schrems II
08. November 2022
DP+
Was kommt nach Privacy Shield? Unternehmen in den USA und der EU warten dringend auf ein nachfolgendes Datenschutzabkommen.
Bild: Oleksii Liskonih / iStock / Getty Images Plus

Neues „Privacy Shield“: Die Executive Order des US-Präsidenten

Hintergrund
EuGH Privacy Shield
11. Oktober 2022
US-Präsident Joe Biden hat ein Dekret unterzeichnet und den Weg freigemacht für einen Privacy Shield 2.0. Datenschützer äußern sich bereits kritisch.
Bild: Marc Bruxelle / iStock / Getty Images Plus

Privacy Shield 2.0: Kommt bald ein neues Datenschutzabkommen?

News
Drittland Privacy Shield
weitere Beiträge laden
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.