Schrems II: Informationsoffensive in Rheinland-Pfalz

Wer bei Datenübermittlungen in Drittländer noch nicht auf Rechtslage nach dem Urteil Schrems II reagiert hat, sollte umgehend handeln

[datensicherheit.de, 13.05.2021] Der Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) geht in seiner aktuellen Stellungnahme auf seine Informationsoffensive zur Datenübermittlung in Drittländer ein und rät dringend: „Wer bis jetzt noch nicht auf die neue Rechtslage reagiert hat, sollte umgehend aktiv werden!“ Nach den nun erfolgten Informationsschreiben werde es stichprobenartige Kontrollen geben.

Datenschutzverstöße im Kontext von Schrems IIschnellstmöglich abzustellen bzw. verhindern!

Im Rahmen seiner Informationsoffensive hat der LfDI RLP nach eigenen Angaben Dutzende Unternehmen, Verbände und staatliche Stellen in Rheinland-Pfalz angeschrieben, „um Verstößen bei der Übermittlung von Daten ins außereuropäische Ausland vorzubeugen“. Nach dem Urteil des Europäischen Gerichtshofs (EuGH) im letzten Jahr – 2020 – seien Datenübermittlungen zum Teil auf eine neue Rechtsgrundlage zu stellen.
Der LfDI RLP, Prof. Dieter Kugelmann, weist in dem nun versandten Schreiben darauf hin: „Ich rate dringend dazu, alle in ihrem Unternehmen stattfindenden Datenverarbeitungsvorgänge im Zusammenhang mit Drittländern anhand des von meiner Behörde bereitgestellten Prüfschemas auf ihre Zulässigkeit hin zu überprüfen und eventuellen Handlungsbedarf zu identifizieren, um Datenschutzverstöße schnellstmöglich abzustellen oder zu verhindern.“

EuGH-Grundsatzurteil Schrems II betrifft fast jedes Unternehmen, jede Behörde, Kommune, Schule, Organisation oder Arztpraxis

Professor Kugelmann erläutert: „Das Grundsatzurteil des Europäischen Gerichtshofs, das sogenannte ,Schrems II‘-Urteil, betrifft fast jedes Unternehmen, jede Behörde, Kommune, Schule, Organisation oder Arztpraxis. Denn sie verarbeiten automatisiert personenbezogene Daten, übermitteln diese dabei – oft unbewusst – in Länder außerhalb der Europäischen Union beziehungsweise des Europäischen Wirtschaftsraums.“
Diese bewegten sich damit datenschutzrechtlich auf dünnem Eis. Im Laufe des Jahres 2021 sei es Aufgabe des LfDI RLP zu prüfen, ob gegebenenfalls Datenschutzvergehen vorliegen und Sanktionen verhängt werden müssen. „Zuvor wollen meine Mitarbeiterinnen und Mitarbeiter nochmals die Unternehmen und Behörden sensibilisieren. Wer bis jetzt noch nicht auf die neue Rechtslage reagiert hat, muss umgehend aktiv werden, sofern dies denn nötig ist“, so Professor Kugelmann.

Datenschutzrechte der betroffenen Personen sind mit Blick auf Schrems II zu stärken

Ziel der Informationsoffensive sei es, „das Bewusstsein der datenverarbeitenden Stellen zu schärfen und damit die Datenschutzrechte der betroffenen Personen, also aller Bürgerinnen und Bürger, mit Blick auf das ,Schrems II‘-Urteil zu stärken“. In der Entscheidung vom 16. Juli 2020 habe das Gericht festgestellt, dass Übermittlungen in die USA nicht länger auf Basis des sogenannten „Privacy Shield“ erfolgen könnten.
Der Einsatz der „Standarddatenschutzklauseln“ für Datenübermittlungen in Drittstaaten sei ferner generell nur noch unter Verwendung wirksamer zusätzlicher Maßnahmen ausreichend, „wenn die Prüfung des Verantwortlichen ergeben hat, dass im Empfängerstaat kein gleichwertiges Schutzniveau für die personenbezogenen Daten gewährleistet werden kann“. Dieses Urteil des EuGH erfordere in vielen Fällen eine grundlegende Umstellung lange praktizierter Geschäftsmodelle und -abläufe.

Nach Schrems II: EuGH erwartet, dass unzulässige Transfers ausgesetzt oder verboten werden

Der Gerichtshof habe überdies seine Erwartung klar formuliert, dass die Behörden unzulässige Transfers „aussetzen oder verbieten“. Das Aussetzen einer Übermittlung könne voraussichtlich in vielen Fällen im kooperativen Dialog mit den Unternehmen gelingen. „Wo dies nicht möglich ist, wird mit den zur Verfügung stehenden aufsichtsbehördlichen Maßnahmen reagiert.“
Nach den nun erfolgten Informationsschreiben werde es stichprobenartige Kontrollen geben: „Kommt der Verantwortliche oder Auftragsverarbeiter zu dem Schluss, dass eine Umstellung seiner Verträge oder Prozesse nicht erforderlich sei, sollte er dies sowie die Gründe für die Entscheidung dokumentieren.“ Dies könne sanktionsmildernd wirken, sollte der LfDI RLP zu dem Ergebnis kommen, „dass sehr wohl Anpassungen zu treffen waren und sind“, sagt Professor Kugelmann.

Weitere Informationen zum Thema:

Der Landesbeauftragte für den DATENSCHUTZ und die INFORMATIONSFREIHEIT Rheinland-Pfalz
Schrems II

datensicherheit.de, 21.01.2021
Schrems II als Dilemma für KMU / Mit dem Urteil des EuGH wächst der Druck auf KMU

datensicherheit.de, 24.07.2020
Schrems II: LfDI RLP wird Einhaltung kontrollieren / Unternehmen müssen laut LfDI RLP Unzulässigkeit des Datenexports auf Basis des „Privacy Shield“ akzeptieren