Aktuelles, Experten - geschrieben von dp am Freitag, Juli 24, 2020 22:13 - noch keine Kommentare
Schrems II: LfDI RLP wird Einhaltung kontrollieren
Unternehmen müssen laut LfDI RLP Unzulässigkeit des Datenexports auf Basis des „Privacy Shield“ akzeptieren
[datensicherheit.de, 24.07.2020] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) geht in seiner aktuellen Stellungnahme auf seine Konsequenzen aus dem EuGH-Urteil „Schrems II“ ein. Der EuGH hatte Datenübermittlungen in die USA auf der Grundlage des sog. Privacy Shield für unzulässig erklärt. Der „Privacy Shield“ ist demnach ungültig und kann keine Datenübermittlung in die USA mehr rechtfertigen. „Als Konsequenz aus diesem Urteil wird der LfDI Rheinland-Pfalz zeitnah an Unternehmen herantreten, um festzustellen, ob sie in der Vergangenheit ihre Datenübermittlung in die USA auf das Privacy Shield gestützt haben. Da dies ab sofort nicht mehr möglich ist, müssen von dem Verantwortlichen Maßnahmen getroffen und erläutert werden, wie künftig die entsprechenden Datenverarbeitungen gestaltet sein werden.“ Dazu müssten die Unternehmen aussagefähig sein.
FAQ des European Data Protection Board zum EuGH-Urteil „Schrems II“
LfDI RLP: Standardvertragsklauseln ggf. durch weitere Vereinbarungen ergänzen
Die Datenübermittlung in die USA und sonstige Drittstaaten außerhalb der Europäischen Union (EU) auf der Grundlage von „Standardvertragsklauseln“ sei und bleibe möglich. „Sie ist aber voraussetzungsvoll. Die Standardvertragsklauseln müssen ggf. durch weitere Vereinbarungen oder Elemente ergänzt werden, um sicherzustellen, dass bei der Datenübermittlung in den Drittstaat das angemessene Schutzniveau erhalten ist.“
Für Datenübermittlungen in die USA bedeute dies, dass erhebliche Anstrengungen der Verantwortlichen erforderlich seien, die vermutlich nur in seltenen Fällen als ausreichend angesehen werden könnten. Dies sei aber eine Frage des Einzelfalles. Zugleich müssten die Verantwortlichen ihre Datenübermittlungen in andere Drittstaaten, z.B. Indien, China oder Russland daraufhin prüfen, „ob sie dem Datenschutzniveau entsprechen, das die Datenschutz-Grundverordnung verlangt“. Dies sei vorher schon so gewesen und nunmehr erst recht dringend erforderlich – „hier werden einschlägige Nachprüfungen angeraten“. Der LfDI Rheinland-Pfalz werde im Rahmen von Beschwerden oder ansonsten mittelfristig auf Unternehmen zukommen, um entsprechende Darlegungen zu erhalten.
LfDI RLP: Unternehmen sollten europäische Lösungen anstreben
Der LfDI Rheinland-Pfalz weist darauf hin, „dass Verantwortliche ihre Datenübermittlungen aussetzen müssen, wenn diese den Anforderungen der Datenschutz-Grundverordnung, wie sie der EuGH in dem Urteil ,Schrems II‘ konkretisiert hat, nicht entsprechen“. Darüber hinaus müssen die Verantwortlichen die personenbezogenen Daten, die bis dahin auf der Grundlage des „Privacy Shield“ übermittelt wurden, zurückfordern bzw. vernichten lassen und hierüber eine Dokumentation vorhalten. Falls die Verantwortlichen dies nicht tun, werde der LfDI RLP entsprechende Maßnahmen ergreifen. „Im Fall von Untätigkeit oder nachhaltiger Unwilligkeit der Unternehmen, kommen auch weitere Sanktionen in Betracht.“
Der LfDI Rheinland-Pfalz rät zu Prüfungen, „ob und inwieweit Datenübermittlungen in Drittstaaten außerhalb der EU in konkreten Zusammenhängen zwingend erforderlich sind“. Lösungen, die sich innerhalb der EU abspielen, „waren und sind nach wie vor vorzugswürdig und deutlich unproblematischer“. Es könne vermutet werden, dass Wirtschaftsunternehmen mit Hauptsitz in den USA ihre Strukturen daraufhin überprüfen, „ob europäische Lösungen, die keine Datenübermittlung in die USA beinhalten, möglich sind“. Derartige Überlegungen sollten die Geschäftspartner von solchen Unternehmen im Auge behalten.
LfDI RLP: So früh wie möglich Hilfestellungen und Empfehlungen geben
Falls der LfDI Rheinland-Pfalz auf rechtswidrige Datenübermittlungen in Drittstaaten stößt, stünden ihm sämtliche von der DSGVO vorgesehenen Abhilfemaßnahmen zur Verfügung. Konkret kämen insbesondere entsprechende Anordnungen in Frage, „mit denen ein rechtswidriger Zustand abgestellt wird“. Im Fall von anhaltenden und nachhaltigen Verstößen stünden auch Geldbußen im Raum.
Die deutschen und europäischen Datenschutzaufsichtsbehörden arbeiteten an Empfehlungen, wie Datenübermittlungen in Drittstaaten rechtssicher gestaltet werden könnten. Hierbei gehe es etwa um zusätzliche Vorkehrungen, die mit „Standardvertragsklauseln“ zusammen die internationalen Datenübermittlungen weiterhin tragen würden. Angesichts der dynamischen Entwicklung der Materie werde der LfDI Rheinland-Pfalz in Kooperation mit den anderen Datenschutzaufsichtsbehörden die Sachlage beobachten und „so früh wie möglich Hilfestellungen und Empfehlungen geben, um Unternehmen die Aufrechterhaltung von Datenübermittlungen in Drittstaaten zu ermöglichen“.
Weitere Informationen zum Thema:
InfoCuria Rechtsprechung
C-311/18 – Facebook Ireland und Schrems
Der Landesbeauftragte für den DATENSCHUTZ und die INFORMATIONSFREIHEIT Rheinland-Pfalz
Datenübermittlungen in Drittländer
edpb European Data Protection Board, 23.07.2020
Frequently Asked Questionson the judgment of the Court of Justice of the European Union in Case C-311/18 – Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems
datensicherheit.de, 20.07.2020
Privacy Shield: Deutsche Wirtschaft holt Daten zurück
datensicherheit.de, 18.07.2020
Privacy Shield: Ungültigkeit als Vorstoß für mehr Datenschutz / Stärkung für den Datenschutz Europas – Schutz der Privatsphäre und sicherer kommerzieller Datenaustausch
datensicherheit.de, 18.07.2020
Privacy Shield: Tipps für Unternehmen nach EuGH-Urteil
datensicherheit.de, 17.07.2020
BlnBDI fordert digitale Eigenständigkeit für Europa / Nach „Schrems II“ drängt die BlnBDI, Maja Smoltczyk, datenverarbeitende Stellen in Berlin, die in den USA gespeicherte personenbezogene Daten zu verlagern
datensicherheit.de, 16.07.2020
EuGH-Entscheidung: Privacy Shield suspendiert
Aktuelles, Experten, Veranstaltungen - Okt 14, 2024 20:41 - noch keine Kommentare
Politisches Herbstforum der BfDI: Daten im Dienst der Patienten
weitere Beiträge in Experten
- ELITE 2.0 Wanderzirkus: OT-Awareness für KMU am 16. Oktober 2024
- Cyber Resilience Act der EU verabschiedet – Fraunhofer IEM nimmt Stellung
- BigBrotherAwards 2024 an Deutsche Bahn, Karl Lauterbach, Sachsens Innenminister, Shein und Temu sowie Technikpaternalismus
- Berechtigtes Interesse: BfDI begrüßt EDSA-Leitlinien
- Incident Response in Industrie-Unternehmen: Online-Veranstaltung am 16. Oktober 2024
Aktuelles, Branche - Okt 22, 2024 23:01 - noch keine Kommentare
Konzeption einer Cyber-Sicherheitsstrategie – Dr. Martin Krämer zieht Lehren aus Bletchley Park
weitere Beiträge in Branche
- it-sa Expo&Congress 2024 in Nürnberg mit reger Nachfrage gestartet
- Cybersecurity Awareness Month 2024: Imperva gibt 4 Tipps für mehr Sicherheit in der digitale Welt
- Cyber Resilience Act der EU (CRA): Verabschiedung und Konsequenzen für Unternehmen
- NIS-2 Richtlinie: Unternehmen müssen von der Reaktion zur Aktion gelangen
- DACH-Region: Alarmierende Zunahme der DDoS-Angriffe
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren