Was geht trotz „Schrems II“ auch künftig?

Die Entscheidung „Schrems II“ zwingt dazu, alle Datenübermittlungen in die USA auf den rechtlichen Prüfstand zu stellen (siehe Ehmann, Datenschutz PRAXIS 09/2020, Seite 1).

Anforderungen der Rechenschaftspflicht

Das gilt auch dann, wenn sie in der Vergangenheit nicht oder nicht ausschließlich auf die rechtliche Basis des Privacy Shield gestützt waren. Denn „Schrems II“ enthält fundamentale Aussagen, die nicht nur für den Privacy Shield von Bedeutung sind.

Deshalb stellt sich für alle Datenübermittlungen in die USA die akute Frage, ob sie rechtmäßig erfolgen (Art. 5 Abs. 1 Buchst. a DSGVO). Der Verantwortliche muss jederzeit nachweisen können, dass dies der Fall ist (Art. 5 Abs. 2 DSGVO).

Die Konsequenz: iteratives rechtliches Monitoring

Das führt zwangsläufig zu einem umfassenden rechtlichen Monitoring aller Datenübermittlungen in die USA. Eine „einmalige Aktion“ der Bestandsaufnahme und Bewertung genügt dafür nicht.

Angesichts der unklaren rechtlichen Situation werden endgültige Aussagen in vielen Fällen nicht möglich sein.

Angezeigt ist eine Art „iteratives Monitoring“. In geeigneten zeitlichen Abständen von beispielsweise wenigen Monaten sollten Verantwortliche alle Übermittlungsvorgänge jeweils erneut rechtlich überprüfen. Und das auch umfassend dokumentieren.

Idealerweise führt dies nach einer gewissen Zeit zu einer dauerhaft belastbaren rechtlichen Lösung.

Andere Angemessenheits­beschlüsse bleiben wirksam

Der Privacy Shield hatte gemäß einem Beschluss der Europäischen Kommission ein angemessenes Datenschutzniveau bei Datenübermittlungen in die USA…