Was muss eine Kommune im Hinblick auf den Datenschutz beachten, wenn sie Aufgaben aus ihrer eigenen IT-Abteilung an einen externen Dienstleister auslagert? Diese Frage beantwortet ein soeben veröffentlichter Leitfaden des Bayerischen Landesbeauftragten für den Datenschutz.
Der erste Teil zu den ergänzenden technischen Maßnahmen hat ihre Bedeutung betrachtet und Maßnahmen wie Verschlüsselung und Pseudonymisierung in ihren generellen Möglichkeiten hinterfragt. Nun geht es um die Wirksamkeit einzelner Maßnahmen und die Hinweise, die der Europäische Datenschutzausschuss dazu gibt.
Das Vereinigte Königreich Großbritannien und Nordirland (UK) ist seit dem 01.01.2021 nicht mehr Mitglied der EU. Es ist damit nach dem Brexit ein Drittland im Sinne der DSGVO. Das wirkt sich zwar bis spätestens 30.06.2021 noch nicht voll aus. Doch es gilt, vorbereitet zu sein.
Sind ergänzende Maßnahmen für die Datenübermittlung in einen
Drittstaat erforderlich, spielen die technischen Schutzmaßnahmen
eine wesentliche Rolle. Es gibt bisher keine allgemeingültigen Vorgaben, wohl aber Empfehlungen. Wie lassen sie sich in der Praxis umsetzen?
Vom DSGVO-Staat über Nacht zum Drittland! So lauteten die Befürchtungen für die Datenschutz-Folgen des Brexits. So schlimm kam es vorerst nicht, eine Übergangsfrist wurde eingeräumt. Im Interview erklärt Dr. Imke Sommer, die bremische Datenschutzbeauftragte, was für den Datentransfer nach UK gilt und welche Maßnahmen getroffen werden sollten.
Wird es bald Rechtssicherheit für den Datenaustausch mit Ländern außerhalb des Europäischen Wirtschaftsraumes geben? Äußerst zuversichtlich in dieser Sache zeigt sich Professor Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI). Er lobt das Ergebnis des Europäischen Datenschutzausschusses (EDSA) zu Standarddatenschutzklauseln (SDK).
In der Entscheidung „Schrems II“ hält der EuGH Datenübermittlungen in die USA auf Basis der EU-Standardvertragsklauseln weiterhin für möglich. Allerdings fordert er „zusätzliche Maßnahmen“. Der Beitrag diskutiert, was das Gericht damit meinen könnte.
Die EuGH-Entscheidung „Schrems II“ hat den Privacy Shield über Nacht gekippt. Das führt zu der Frage, welche Wege noch offenbleiben, um personenbezogene Daten rechtssicher in die USA zu übermitteln. Die Möglichkeiten hierfür sind recht begrenzt.
In einem Urteil vom 16. Juli hat der Europäische Gerichtshof (EuGH) die Regelungen des Privacy Shield für nicht mehr anwendbar erklärt. Die Verwendung von Standardvertragsklauseln bei der Übermittlung von Daten in Länder außerhalb der EU (also etwa in die USA) knüpft das Gericht an Voraussetzungen, die voraussichtlich kaum zu erfüllen sind.
Brexit mit Deal oder ohne, Privacy Shield, China - Unternehmen müssen bei der Datenübermittlung ins Ausland mit einigen Stolperfallen rechnen. Professor Kugelmann, Landesbeauftragter für den Datenschutz und die Informationsfreiheit in Rheinland-Pfalz, gibt Tipps für die Praxis.
