[datensicherheit.de, 29.11.2022] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) geht in seiner aktuellen Stellungnahme auf die Lage des Datenschutzes in den USA ein. Mit der „Executive Order“ vom 7. Oktober 2022 habe der US-Präsident eine Antwort auf die „Schrems-II“-Entscheidung des Europäischen Gerichtshofs (EuGH) gegeben. Dieser Rechtsakt adressiere erkennbar die wesentlichen Kritikpunkte des Gerichts an der Rechtslage der USA. Ziel sei ein sogenannter Angemessenheitsbeschluss der Europäischen Kommission. Transatlantische Datenübermittlungen würden damit sehr viel einfacher möglich als bislang. In den kommenden Monaten sei mit einem Entwurf der Kommissionsentscheidung zu rechnen. Vor dessen Finalisierung werde der Europäische Datenschutzausschuss eine in die Bewertung einfließende Stellungnahme abgeben.

Die aktuellen Auswirkungen der Executive Order

„Zum aktuellen Zeitpunkt hat sich an der Rechtslage in den USA noch nichts Entscheidendes geändert“, stellt der HmbBfDI fest. Die „Executive Order“ sehe eine Übergangsfrist von bis zu einem Jahr vor – so lange hätten die achtzehn Geheimdienste der USA Zeit, die im Rechtsakt vorgesehenen Garantien in die praktische Arbeit zu integrieren. Nach Informationen des HmbBfDI würden zahlreiche dieser Dienste für die Umsetzung noch mehrere Monate brauchen: „Dies betrifft insbesondere die neue Anforderung, Datenzugriffe auf das verhältnismäßige Maß einzugrenzen. Solange die Verhältnismäßigkeit nicht Einzug in die Geheimdienstpraxis gefunden hat, ist weiterhin von einer Datenauswertung auszugehen, die den Wesensgehalt des Datenschutzgrundrechts verletzt.“

Dasselbe gelte für die institutionellen Garantien durch Schaffung einer Beschwerdestelle und eines Datenschutzgerichts. Diese Gremien befänden sich noch im Aufbau. Die Arbeitsfähigkeit werde erst in mehreren Monaten gewährleistet sein. Derzeit verfasste „Transfer Impact Assessments“ müssten deshalb nach wie vor zu dem vom EuGH vorgezeichneten Ergebnis kommen. Die staatlichen Zugriffsbefugnisse in den USA gingen weiterhin über das in einer demokratischen Gesellschaft erforderliche Maß hinaus.

Inhalt der Executive Order – Garantien für europäischen Bürger

Die „Executive Order“ schafft demnach Garantien für europäischen Bürger gegenüber den US-amerikanischen Geheimdiensten. Die USA hätten sich damit weit auf die europäische Grundrechtstradition zubewegt. Die bisweilen zu lesende eher reflexartige und pauschale Kritik sei daher unangebracht. Ob der Rechtsakt letztlich den Anforderungen des EuGH genügt, werde von zahlreichen Details sowie der Umsetzung in der Praxis abhängen. Deswegen sei es jetzt wichtig, im dafür vorgesehenen Verfahren die rechtlichen Garantien gründlich zu prüfen. Zunächst sei der Entwurf der EU-Kommission für einen Angemessenheitsbeschluss abzuwarten. Zu diesem werde sich der Europäische Datenschutzausschuss dann äußern.

„Positiv ist hervorzuheben, dass erstmals geheimdienstliche Aktivitäten unter einen Verhältnismäßigkeitsvorbehalt gestellt werden.“ Hier zeigten die USA Bereitschaft, den Umfang staatlicher Datenerhebungen zumindest einzugrenzen. „Der häufig zu lesende Einwand, dass die ,Proportionality’ nicht 1:1 der deutschen ,Verhältnismäßigkeit’ entspricht, wird der Bedeutung des Themas nicht gerecht.“ Die Begriffsdefinition in der „Executive Order“ lehne sich erkennbar an das europäische Verfassungsrecht an. Das einzelfallbezogene und überprüfbare Dokumentationserfordernis zwinge zudem zu einer jeweils sorgfältigen Abwägung. Ein Angemessenheitsbeschluss erfordere keine vollständig kongruenten Rechtssysteme, sondern lediglich ein dem Wesen nach gleiches Niveau. „Schon im Vorfeld zu unterstellen, dass Rechtsbegriffe in der Umsetzungspraxis unzureichend ausgelegt werden könnten, ist spekulativ.“

Problematisch sei hingegen, dass am Instrument der Massenüberwachung (bulk collection) ausdrücklich festgehalten werde. „Inwieweit die neue Verhältnismäßigkeitsanforderung konkret die Massenüberwachung verändert, ist dem Text der ,Executive Order’ daher nicht eindeutig zu entnehmen.“ Wichtig seien deshalb engmaschige Überprüfungen der künftigen Anwendung im Hinblick auf etwaige Fehlentwicklungen.

Erfreulich sei auch, dass ein weiterer wesentlicher Kritikpunkt des Gerichtshofs aufgegriffen worden sei, nämlich ein effektiver Rechtsschutz europäischer Bürger gegen sie betreffende geheimdienstliche Aktivitäten durch ein Gremium mit verbindlichen Entscheidungsbefugnissen: Der neu eingerichtete „Data Protection Review Court“ genieße eine Stellung wie ein Gericht, werde mit unabhängigen Richtern von außerhalb der Exekutive besetzt und könne unter anderem Datenlöschungen und Verarbeitungseinschränkungen anordnen. „Werden im Rechtsschutzverfahren rechtswidrige Verarbeitungen ermittelt, verpflichtet die ,Executive Order’, diese zu beseitigen.“

Zu beachten sei jedoch, dass für die Kläger das Rechtsschutzverfahren in der Sache vielleicht effektiv, aber kaum transparent und nachvollziehbar sei. „So ist nicht vorgesehen, in den Urteilen darüber zu informieren, ob und welche Maßnahmen ergriffen wurden.“ Diese Handhabung des Spannungsfelds zwischen staatlichem Geheimhaltungsinteresse und Rechtsschutzinteressen der Betroffenen würden die Kommission und der Datenschutzausschuss gründlich zu beleuchten haben.

Die Rechtsform als „Executive Order“ sei das probate Regelungsinstrument in den USA für extraterritoriale Anordnungen – es handele sich nicht um ein Gesetz zweiter Klasse. Sie sei insofern nicht mit der eher schwachen deutschen „Verordnung“ zu vergleichen. Robuste Eingriffe wie Wirtschaftssanktionen und Terrorismusbekämpfung würden seit Jahrzehnten wirksam per Präsidentenanordnung durchgesetzt. „Dass sie z.B. nach einem Regierungswechsel zügig zurückgenommen werden kann, ist richtig. Dies gilt für parlamentarische Gesetze jedoch ebenfalls.“ Die EU werde darauf mit sofortiger Aberkennung des Angemessenheitsstatus reagieren können.

Executive Order hat fundierte, ergebnisoffene Prüfung verdient

Die „Executive Order“ habe eine fundierte, ergebnisoffene Prüfung verdient. Die Kommission werde bei der Prüfung der Angemessenheit vor der Herausforderung stehen, einen abstrakten, noch nicht in der Praxis gelebten Rechtstext zu bewerten. „Entscheidende Punkte wie die Interpretation der Verhältnismäßigkeit durch die Geheimdienste oder die Funktionsfähigkeit des Datenschutzgerichts werden von der tatsächlichen Anwendung abhängen.“

Vor diesem Hintergrund sei zu raten, die künftige Entwicklung vor Ort im Blick zu halten. Dies erfordere von europäischer Seite einzufordernde Transparenz. Entsprechende Bedingungen und Vorbehalte könnten in den Beschluss mit aufgenommen werden.

Weitere Informationen zum Thema:

THE WHITE HOUSE, 07.10.2022
Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities

datensicherheit.de, 02.06.2021
Schrems II: Koordinierte Prüfung internationaler Datentransfers gestartet / Länderübergreifende Kontrolle der Datenübermittlungen von Unternehmen in Staaten außerhalb der EU im Kontext des EuGH-Urteils Schrems II

datensicherheit.de, 21.01.2021
Schrems II als Dilemma für KMU / Mit dem Urteil des EuGH wächst der Druck auf KMU

datensicherheit.de, 24.07.2020
Schrems II: LfDI RLP wird Einhaltung kontrollieren / Unternehmen müssen laut LfDI RLP Unzulässigkeit des Datenexports auf Basis des „Privacy Shield“ akzeptieren

[datensicherheit.de, 02.06.2021] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) geht in seiner aktuellen Stellungnahme auf die länderübergreifende Kontrolle der Datenschutzaufsichtsbehörden von Unternehmen zur Umsetzung der „Schrems II“-Entscheidung des Europäischen Gerichtshofs (EuGH) ein. Angesichts der Betroffenheit vieler Unternehmen lasse sich ein einheitlicher Vollzug dabei nur sehr schwer herstellen – aber die Augen zu verschließen sei keine Lösung.

HmbBfDI

Prof. Dr. Johannes Caspar: Schlüssel für Grundrecht Informationeller Selbstbestimmung in den Empfängerstaaten

Anforderungen laut EuGH-Entscheidung Schrems II vom 16. Juli 2020

Im Rahmen einer länderübergreifenden Kontrolle werden demnach Datenübermittlungen durch Unternehmen in Staaten außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (Drittstaaten) überprüft. Das Ziel sei die breite Durchsetzung der Anforderungen des EuGH in seiner „Schrems II“-Entscheidung vom 16. Juli 2020 (Rs. C-311/18).
Darin habe das Gericht festgestellt, dass Übermittlungen in die USA nicht länger auf Basis des sogenannten „Privacy Shield“ erfolgen könnten. Der Einsatz der sogenannten Standarddatenschutzklauseln für Datenübermittlungen in Drittstaaten sei ferner nur noch unter Verwendung wirksamer zusätzlicher Maßnahmen ausreichend, „wenn die Prüfung des Verantwortlichen ergeben hat, dass im Empfängerstaat kein gleichwertiges Schutzniveau für die personenbezogenen Daten gewährleistet werden kann“.

Behörden müssen nach Schrems II unzulässige Transfers aussetzen oder verbieten

Dieses Urteil des EuGH erfordere in vielen Fällen eine grundlegende Umstellung lange praktizierter Geschäftsmodelle und -abläufe. „Die an der Kontrolle teilnehmenden Behörden schreiben nun die jeweils ausgewählten Unternehmen auf der Basis eines gemeinsamen Fragenkatalogs an.“ Dabei werde es unter anderem um den Einsatz von Dienstleistern zum E-Mail-Versand, zum Hosting von Internetseiten, zum Webtracking, zur Verwaltung von Bewerberdaten und um den konzerninternen Austausch von Kundendaten und Daten der Beschäftigten gehen.
Jede Aufsichtsbehörde entscheide individuell, in welchen dieser Themenfelder sie tätig wird. Der Gerichtshof habe seine Erwartung klar formuliert, dass die Behörden unzulässige Transfers „aussetzen oder verbieten“. Das Aussetzen einer Übermittlung könne voraussichtlich in vielen Fällen im kooperativen Dialog mit den Unternehmen gelingen. „Wo dies nicht möglich ist, wird mit den zur Verfügung stehenden aufsichtsbehördlichen Maßnahmen reagiert.“

Schrems II und Umsetzung des Grundsatzes der Digitalen Souveränität

Die Aufsichtsbehörden seien sich der „besonderen Herausforderungen, die das EuGH-Urteil zu ,Schrems II‘ für die Unternehmen in Deutschland und Europa mit sich bringt“, bewusst. Sie stehen laut HmbBfDI für Verständnisfragen auch im weiteren Verlauf des Prüfungsverfahrens zur Verfügung, „soweit dies nach Maßgabe der vorhandenen Kapazitäten möglich ist“. Angesichts der Betroffenheit vieler Unternehmen lasse sich ein einheitlicher Vollzug hier nur sehr schwer herstellen. „Aber die Augen zu verschließen ist keine Lösung“, betont Prof. Dr. Johannes Caspar, der HmbBfDI.
Häufig werde ein grenzüberschreitender Datenverkehr bereits durch die Nutzung von handelsüblichen Diensten zur Bürokommunikation ausgelöst, ohne dass ein direkter internationaler Austausch der Daten im Geschäftsverkehr durch die jeweiligen Unternehmen überhaupt bezweckt werde. Gerade zur Bürokommunikation oder der Datenspeicherung könne gewöhnlich auf Dienste ohne unzulässige Drittstaatenübermittlung zurückgegriffen werden. Die Umsetzung des Grundsatzes der Digitalen Souveränität werde diese Möglichkeiten in Europa künftig weiter erleichtern.

Schrems II setzt für viele Unternehmen nicht selbst zu verantwortende Hürden

Die Fragebogenaktion solle nun insoweit vor allem dazu beitragen, den Unternehmen Lösungen mit angemessenem Datenschutzniveau zu unterbreiten. Das „Schrems II“-Urteil setze für viele Unternehmen Hürden, aus Gründen, für die sie letztlich nicht selbst verantwortlich seien. Es sei daher immer wieder daran zu erinnern, „dass der Schlüssel für das Grundrecht der Informationellen Selbstbestimmung in den Empfängerstaaten liegt“.
Gerade die Politik in den USA sollte laut HmbBfDI erkennen: „Geeignete Garantien gegenüber dem Zugriff der US-Sicherheitsbehörden zum Schutz der übermittelten Daten sowie ein wirksamer Rechtsschutz für Menschen aus der EU sind zentrale Voraussetzung für einen freien Datenverkehr. Eine Lösung liegt im beiderseitigen Interesse.“

Weitere Informationen zum Thema:

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Koordinierte Prüfung internationaler Datentransfers

datensicherheit.de, 13.05.2021
Schrems II: Informationsoffensive in Rheinland-Pfalz / Wer bei Datenübermittlungen in Drittländer noch nicht auf Rechtslage nach dem Urteil Schrems II reagiert hat, sollte umgehend handeln

datensicherheit.de, 21.01.2021
Schrems II als Dilemma für KMU / Mit dem Urteil des EuGH wächst der Druck auf KMU

datensicherheit.de, 24.07.2020
Schrems II: LfDI RLP wird Einhaltung kontrollieren / Unternehmen müssen laut LfDI RLP Unzulässigkeit des Datenexports auf Basis des „Privacy Shield“ akzeptieren

[datensicherheit.de, 13.05.2021] Der Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) geht in seiner aktuellen Stellungnahme auf seine Informationsoffensive zur Datenübermittlung in Drittländer ein und rät dringend: „Wer bis jetzt noch nicht auf die neue Rechtslage reagiert hat, sollte umgehend aktiv werden!“ Nach den nun erfolgten Informationsschreiben werde es stichprobenartige Kontrollen geben.

Datenschutzverstöße im Kontext von Schrems IIschnellstmöglich abzustellen bzw. verhindern!

Im Rahmen seiner Informationsoffensive hat der LfDI RLP nach eigenen Angaben Dutzende Unternehmen, Verbände und staatliche Stellen in Rheinland-Pfalz angeschrieben, „um Verstößen bei der Übermittlung von Daten ins außereuropäische Ausland vorzubeugen“. Nach dem Urteil des Europäischen Gerichtshofs (EuGH) im letzten Jahr – 2020 – seien Datenübermittlungen zum Teil auf eine neue Rechtsgrundlage zu stellen.
Der LfDI RLP, Prof. Dieter Kugelmann, weist in dem nun versandten Schreiben darauf hin: „Ich rate dringend dazu, alle in ihrem Unternehmen stattfindenden Datenverarbeitungsvorgänge im Zusammenhang mit Drittländern anhand des von meiner Behörde bereitgestellten Prüfschemas auf ihre Zulässigkeit hin zu überprüfen und eventuellen Handlungsbedarf zu identifizieren, um Datenschutzverstöße schnellstmöglich abzustellen oder zu verhindern.“

EuGH-Grundsatzurteil Schrems II betrifft fast jedes Unternehmen, jede Behörde, Kommune, Schule, Organisation oder Arztpraxis

Professor Kugelmann erläutert: „Das Grundsatzurteil des Europäischen Gerichtshofs, das sogenannte ,Schrems II‘-Urteil, betrifft fast jedes Unternehmen, jede Behörde, Kommune, Schule, Organisation oder Arztpraxis. Denn sie verarbeiten automatisiert personenbezogene Daten, übermitteln diese dabei – oft unbewusst – in Länder außerhalb der Europäischen Union beziehungsweise des Europäischen Wirtschaftsraums.“
Diese bewegten sich damit datenschutzrechtlich auf dünnem Eis. Im Laufe des Jahres 2021 sei es Aufgabe des LfDI RLP zu prüfen, ob gegebenenfalls Datenschutzvergehen vorliegen und Sanktionen verhängt werden müssen. „Zuvor wollen meine Mitarbeiterinnen und Mitarbeiter nochmals die Unternehmen und Behörden sensibilisieren. Wer bis jetzt noch nicht auf die neue Rechtslage reagiert hat, muss umgehend aktiv werden, sofern dies denn nötig ist“, so Professor Kugelmann.

Datenschutzrechte der betroffenen Personen sind mit Blick auf Schrems II zu stärken

Ziel der Informationsoffensive sei es, „das Bewusstsein der datenverarbeitenden Stellen zu schärfen und damit die Datenschutzrechte der betroffenen Personen, also aller Bürgerinnen und Bürger, mit Blick auf das ,Schrems II‘-Urteil zu stärken“. In der Entscheidung vom 16. Juli 2020 habe das Gericht festgestellt, dass Übermittlungen in die USA nicht länger auf Basis des sogenannten „Privacy Shield“ erfolgen könnten.
Der Einsatz der „Standarddatenschutzklauseln“ für Datenübermittlungen in Drittstaaten sei ferner generell nur noch unter Verwendung wirksamer zusätzlicher Maßnahmen ausreichend, „wenn die Prüfung des Verantwortlichen ergeben hat, dass im Empfängerstaat kein gleichwertiges Schutzniveau für die personenbezogenen Daten gewährleistet werden kann“. Dieses Urteil des EuGH erfordere in vielen Fällen eine grundlegende Umstellung lange praktizierter Geschäftsmodelle und -abläufe.

Nach Schrems II: EuGH erwartet, dass unzulässige Transfers ausgesetzt oder verboten werden

Der Gerichtshof habe überdies seine Erwartung klar formuliert, dass die Behörden unzulässige Transfers „aussetzen oder verbieten“. Das Aussetzen einer Übermittlung könne voraussichtlich in vielen Fällen im kooperativen Dialog mit den Unternehmen gelingen. „Wo dies nicht möglich ist, wird mit den zur Verfügung stehenden aufsichtsbehördlichen Maßnahmen reagiert.“
Nach den nun erfolgten Informationsschreiben werde es stichprobenartige Kontrollen geben: „Kommt der Verantwortliche oder Auftragsverarbeiter zu dem Schluss, dass eine Umstellung seiner Verträge oder Prozesse nicht erforderlich sei, sollte er dies sowie die Gründe für die Entscheidung dokumentieren.“ Dies könne sanktionsmildernd wirken, sollte der LfDI RLP zu dem Ergebnis kommen, „dass sehr wohl Anpassungen zu treffen waren und sind“, sagt Professor Kugelmann.

Weitere Informationen zum Thema:

Der Landesbeauftragte für den DATENSCHUTZ und die INFORMATIONSFREIHEIT Rheinland-Pfalz
Schrems II

datensicherheit.de, 21.01.2021
Schrems II als Dilemma für KMU / Mit dem Urteil des EuGH wächst der Druck auf KMU

datensicherheit.de, 24.07.2020
Schrems II: LfDI RLP wird Einhaltung kontrollieren / Unternehmen müssen laut LfDI RLP Unzulässigkeit des Datenexports auf Basis des „Privacy Shield“ akzeptieren

[datensicherheit.de, 21.01.2021] Zum „Europäischen Datenschutztag“ am 28. Januar 2021 wirft Mareike Vogt, Fachexpertin für Datenschutz beim TÜV SÜD, einen Blick auf die größten Herausforderungen, welche das Thema Datenschutz im Jahr 2021 für kleine und mittlere Unternehmen (KMU) bereithält. Vor 40 Jahren sei die europäische Datenschutzkonvention unterzeichnet worden, weshalb jährlich am 28. Januar der „Europäische Datenschutztag“ begangen werde. Der Datenschutz stelle nun Unternehmen weiterhin vor große Herausforderungen: Mit dem Urteil des Europäischen Gerichtshof (EuGH) in Sachen „Schrems II“ wachse der Druck auf KMU, ihre Prozesse und Abläufe neu zu evaluieren und den Regularien der EU-DSGVO anzupassen.

Foto: TÜV SÜD

Mareike Vogt: KMU müssen Prozesse sowie Soft- und Hardware schleunigst anpassen

Nachlässigkeit der Politik stellt jetzt besonders KMU vor große Schwierigkeiten

Die EU-DSGVO gebe vor, dass der Transfer personenbezogener Daten an einen Staat außerhalb von EU/EWR unter anderem nur erlaubt sei, wenn die Zielländer oder -organisationen einen gleichwertigen Datenschutz zur EU-DSGVO garantierten. Diese Anforderung erfüllten beispielsweise die USA nicht, weswegen der „EU Privacy Shield“ vom EuGH in der Klage „Schrems II“ gekippt worden sei.
„Laut vieler Experten war dies bereits abzusehen, seit das Abkommen eingeführt wurde.“ Die Nachlässigkeit der Politik stelle jetzt besonders KMU vor große Schwierigkeiten: „Es gilt, die eigenen Prozesse und die dabei genutzte Soft- und Hardware (beispielsweise Rechenzentren) schleunigst anzupassen.“

KMU mit „as-a-Service“-Diensten müssen Verträge überprüfen

KMU griffen in ihrer täglichen Arbeit meist auf Software-Lösungen und „as-a-Service“-Dienste von größeren, etablierten Anbietern zurück oder sie richteten sich nach den Prozessen und Anforderungen ihrer Kunden. Um sicherzugehen, „dass die verarbeiteten personenbezogenen Daten dem Urteil entsprechend geschützt werden, muss dies nun alles überprüft werden“. Sollten KMU nämlich Standardvertragsklauseln als Garantie mit den Anbietern der Dienste abgeschlossen haben, so könne es sein, dass diese ebenfalls durch „Schrems II“ beeinflusst würden.

Oftmals genügten diese Klauseln nicht zum Schutz der personenbezogenen Daten innerhalb der USA und weitere technische Maßnahmen müssten ergriffen werden. „Hinzu kommt, dass enorm viele Daten, auf den ersten Blick hinter Subdienstleistern versteckt, in die USA fließen oder dort auf Servern lagern, obwohl die Anbieter eigentlich ein europäisches Unternehmen sind oder hier Niederlassungen haben.“ Vogt warnt: Sind die Anbieter nicht in der Lage, sich dem Urteil anzupassen, so seien auch die KMU in der Pflicht, sich sofort nach neuen Lösungen umzusehen oder sogar die Dienste selbst zu stellen, beispielsweise „on premise“, also über eigene Server.

KMU, welche DSGVO nicht nachkommen, drohen Bußgelder und Bloßstellung

Viele KMU seien mit großen Herausforderungen durch „Schrems II“ konfrontiert. „Wer es versäumt, der EU-DSGVO nachzukommen, dem drohen empfindliche Bußgelder und die öffentliche Bloßstellung durch zivile Organisationen, wie zum Beispiel ,NOYB‘, die sich dem Datenschutz verschrieben haben.“ Diese schreckten nicht davor zurück, Unternehmen auch einmal an einen „digitalen Pranger“ zu stellen.
Vielen Firmen mangele es außerdem an entsprechenden Fachkräften, um die Forderungen umzusetzen. Es gebe jedoch einen einfachen Ausweg für die KMU aus diesem Dilemma: „Unabhängige Berater und extern benannte Datenschutzbeauftragte sind zugelassen und entlasten nicht nur das Unternehmen selbst, sondern garantieren zudem eine objektive Bewertung der Sachlage.“ Mit deren Hilfe könnten auch kleine und mittlere Betriebe ohne zu großen Aufwand ihre Systeme und Prozesse an die neue Situation anpassen, empfiehlt Vogt.

Weitere Informationen zum Thema:

edpb EUROPEAN DATA PROTECTION BOARD, 10.11.2020
Adopted -version for public consultations1Recommendations01/2020on measuresthat supplement transfer tools to ensure compliance with the EU level of protection of personal data

noyb
EU-US Transfers Complaint Overview

datensicherheit.de, 01.08.2020
Privacy Shield: Gemeinsame Stellungnahme deutscher Datenschützer / Stellungnahme zur Datenübermittlungen in Drittstaaten nach einschlägigem EuGH-Urteil

datensicherheit.de, 20.07.2020
TeleTrusT: Handlungsempfehlungen nach Aus für Privacy Shield / Stellungnahme des Bundesverbandes IT-Sicherheit e.V. (TeleTrusT) zum Urteil des EuGH

datensicherheit.de, 18.07.2020
Privacy Shield: Tipps für Unternehmen nach EuGH-Urteil / Dr. Martin Pflüger und Dr. Christian Tinnefeld geben Empfehlungen für Unternehmen

[datensicherheit.de, 03.11.2020] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI RLP) – in Kooperation mit großen rheinland-pfälzischen Unternehmen – veranstaltet eine Informationsveranstaltung zu dem wichtigen europäischen Urteil „Schrems II“. Diese Online-Kooperationsveranstaltung des LfDI RLP mit den Datenschutzbeauftragten von BASF SE, SCHOTT AG, Birkenstock Group und Boehringer Ingelheim steht demnach unter dem Titel „Internationale Datentransfers nach der EuGH-Entscheidung Schrems II: Wo stehen wir?“ und richtet sich „insbesondere an kleinere und mittlere Unternehmen, an Institutionen und an Verbände“.

Internationale Datentransfers nach der EuGH-Entscheidung Schrems II: Wo stehen wir?

Abbildung: LfDI RLP

Online-Veranstaltung am Dienstag, dem 10. November 2020, 14 bis 16 Uhr
U.A.w.g. per E-Mail-Adresse an datenschutz [at] boehringer-ingelheim [dot] com – „nach erfolgreicher Anmeldung erhalten Sie zu einem späteren Zeitpunkt die Einwähldaten per E-Mail“.

Informationen über EuGH-Entscheidung zum EU-US Privacy Shield und zu EU Standard-Datenschutzklauseln

Es werde über die Entscheidung des Europäischen Gerichtshofs (EuGH) zum „EU-US Privacy Shield“ und zu den „EU Standard-Datenschutzklauseln“ informiert und die Tragweite des Urteils beleuchtet. Das als „Schrems II“ bezeichnete Urteil des EuGH habe mit sofortiger Wirkung den „Privacy Shield“ für Datentransfers in die USA als unwirksam erklärt. Zudem habe der EuGH geurteilt, dass Unternehmen sehr genau prüfen müssten, ob und unter welchen gegebenenfalls zusätzlichen Maßnahmen weiterhin Datentransfers auf Basis der Standarddatenschutzklauseln möglich seien.

[datensicherheit.de, 24.07.2020] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) geht in seiner aktuellen Stellungnahme auf seine Konsequenzen aus dem EuGH-Urteil „Schrems II“ ein. Der EuGH hatte Datenübermittlungen in die USA auf der Grundlage des sog. Privacy Shield für unzulässig erklärt. Der „Privacy Shield“ ist demnach ungültig und kann keine Datenübermittlung in die USA mehr rechtfertigen. „Als Konsequenz aus diesem Urteil wird der LfDI Rheinland-Pfalz zeitnah an Unternehmen herantreten, um festzustellen, ob sie in der Vergangenheit ihre Datenübermittlung in die USA auf das Privacy Shield gestützt haben. Da dies ab sofort nicht mehr möglich ist, müssen von dem Verantwortlichen Maßnahmen getroffen und erläutert werden, wie künftig die entsprechenden Datenverarbeitungen gestaltet sein werden.“ Dazu müssten die Unternehmen aussagefähig sein.

Abbildung: epbd

FAQ des European Data Protection Board zum EuGH-Urteil „Schrems II“

LfDI RLP: Standardvertragsklauseln ggf. durch weitere Vereinbarungen ergänzen

Die Datenübermittlung in die USA und sonstige Drittstaaten außerhalb der Europäischen Union (EU) auf der Grundlage von „Standardvertragsklauseln“ sei und bleibe möglich. „Sie ist aber voraussetzungsvoll. Die Standardvertragsklauseln müssen ggf. durch weitere Vereinbarungen oder Elemente ergänzt werden, um sicherzustellen, dass bei der Datenübermittlung in den Drittstaat das angemessene Schutzniveau erhalten ist.“
Für Datenübermittlungen in die USA bedeute dies, dass erhebliche Anstrengungen der Verantwortlichen erforderlich seien, die vermutlich nur in seltenen Fällen als ausreichend angesehen werden könnten. Dies sei aber eine Frage des Einzelfalles. Zugleich müssten die Verantwortlichen ihre Datenübermittlungen in andere Drittstaaten, z.B. Indien, China oder Russland daraufhin prüfen, „ob sie dem Datenschutzniveau entsprechen, das die Datenschutz-Grundverordnung verlangt“. Dies sei vorher schon so gewesen und nunmehr erst recht dringend erforderlich – „hier werden einschlägige Nachprüfungen angeraten“. Der LfDI Rheinland-Pfalz werde im Rahmen von Beschwerden oder ansonsten mittelfristig auf Unternehmen zukommen, um entsprechende Darlegungen zu erhalten.

LfDI RLP: Unternehmen sollten europäische Lösungen anstreben

Der LfDI Rheinland-Pfalz weist darauf hin, „dass Verantwortliche ihre Datenübermittlungen aussetzen müssen, wenn diese den Anforderungen der Datenschutz-Grundverordnung, wie sie der EuGH in dem Urteil ,Schrems II‘ konkretisiert hat, nicht entsprechen“. Darüber hinaus müssen die Verantwortlichen die personenbezogenen Daten, die bis dahin auf der Grundlage des „Privacy Shield“ übermittelt wurden, zurückfordern bzw. vernichten lassen und hierüber eine Dokumentation vorhalten. Falls die Verantwortlichen dies nicht tun, werde der LfDI RLP entsprechende Maßnahmen ergreifen. „Im Fall von Untätigkeit oder nachhaltiger Unwilligkeit der Unternehmen, kommen auch weitere Sanktionen in Betracht.“
Der LfDI Rheinland-Pfalz rät zu Prüfungen, „ob und inwieweit Datenübermittlungen in Drittstaaten außerhalb der EU in konkreten Zusammenhängen zwingend erforderlich sind“. Lösungen, die sich innerhalb der EU abspielen, „waren und sind nach wie vor vorzugswürdig und deutlich unproblematischer“. Es könne vermutet werden, dass Wirtschaftsunternehmen mit Hauptsitz in den USA ihre Strukturen daraufhin überprüfen, „ob europäische Lösungen, die keine Datenübermittlung in die USA beinhalten, möglich sind“. Derartige Überlegungen sollten die Geschäftspartner von solchen Unternehmen im Auge behalten.

LfDI RLP: So früh wie möglich Hilfestellungen und Empfehlungen geben

Falls der LfDI Rheinland-Pfalz auf rechtswidrige Datenübermittlungen in Drittstaaten stößt, stünden ihm sämtliche von der DSGVO vorgesehenen Abhilfemaßnahmen zur Verfügung. Konkret kämen insbesondere entsprechende Anordnungen in Frage, „mit denen ein rechtswidriger Zustand abgestellt wird“. Im Fall von anhaltenden und nachhaltigen Verstößen stünden auch Geldbußen im Raum.
Die deutschen und europäischen Datenschutzaufsichtsbehörden arbeiteten an Empfehlungen, wie Datenübermittlungen in Drittstaaten rechtssicher gestaltet werden könnten. Hierbei gehe es etwa um zusätzliche Vorkehrungen, die mit „Standardvertragsklauseln“ zusammen die internationalen Datenübermittlungen weiterhin tragen würden. Angesichts der dynamischen Entwicklung der Materie werde der LfDI Rheinland-Pfalz in Kooperation mit den anderen Datenschutzaufsichtsbehörden die Sachlage beobachten und „so früh wie möglich Hilfestellungen und Empfehlungen geben, um Unternehmen die Aufrechterhaltung von Datenübermittlungen in Drittstaaten zu ermöglichen“.

Weitere Informationen zum Thema:

InfoCuria Rechtsprechung
C-311/18 – Facebook Ireland und Schrems

Der Landesbeauftragte für den DATENSCHUTZ und die INFORMATIONSFREIHEIT Rheinland-Pfalz
Datenübermittlungen in Drittländer

edpb European Data Protection Board, 23.07.2020
Frequently Asked Questionson the judgment of the Court of Justice of the European Union in Case C-311/18 – Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems

datensicherheit.de, 20.07.2020
Privacy Shield: Deutsche Wirtschaft holt Daten zurück

datensicherheit.de, 18.07.2020
Privacy Shield: Ungültigkeit als Vorstoß für mehr Datenschutz / Stärkung für den Datenschutz Europas – Schutz der Privatsphäre und sicherer kommerzieller Datenaustausch

datensicherheit.de, 18.07.2020
Privacy Shield: Tipps für Unternehmen nach EuGH-Urteil

datensicherheit.de, 17.07.2020
BlnBDI fordert digitale Eigenständigkeit für Europa / Nach „Schrems II“ drängt die BlnBDI, Maja Smoltczyk, datenverarbeitende Stellen in Berlin, die in den USA gespeicherte personenbezogene Daten zu verlagern

datensicherheit.de, 16.07.2020
EuGH-Entscheidung: Privacy Shield suspendiert