Wie lässt sich der Export von Daten nun überhaupt noch datenschutzrechtlich legitimieren? Dieser Frage gehen Joerg Heidrich und Holger Bleich vom c’t Datenschutz Podcast “Auslegungssache” zusammen mit Carola Sieling nach. Auf einige Unternehmen dürfte jetzt eine Menge Arbeit zukommen. Im Podcast erläutert sie, was es mit den sogenannten Standardschutzklauseln auf sich hat, die erst einmal (wieder) als Alternative zum Privacy Shield zum Einsatz kommen werden.
Viele Unternehmen nutzen die Dienste / Tools von U.S. amerikanischen Unternehmen und ermöglichen diesen so Zugriff auf personenbezogene Daten von Kunden, Mitarbeitern, Lieferanten etc. Diese Dienste sind meist so fest im Unternehmensalltag verankert, dass ein Austausch oder Umsatteln auf europäische Dienste aus unterschiedlichen Gründen nicht so einfach möglich ist, weil dies zum Beispiel mit verhältnismäßig hohen Aufwänden verbunden wäre oder es an adäquaten Alternativen schlicht und einfach mangelt.
Aufgrund datenschutzrechtlicher Anforderungen können personenbezogene Daten ab dem 16.07.2020 jedoch aufgrund des am 16.7.2020 gefällten Urteils des EuGH nicht mehr auf Basis des EU-U.S. Privacy Shields an Empfänger in die Vereinigten Staaten übermittelt werden. Der EuGH hat das häufig in der Praxis verwendete EU-U.S. Privacy Shield als Nachfolgeregelung für das Safe Harbor Abkommen für ungültig erklärt.
Wir haben deswegen einen ersten konkreten Maßnahmenplan für Unternehmen erstellt, der die Auswirkungen des Urteils auf das eigene Unternehmen spezifizieren helfen soll sowie die derzeit vorliegenden Stellungnahmen der dt. Aufsichtsbehörden zu dem Urteil für Sie gesammelt. (wird regelmäßig ergänzt)
Was ist grundsätzlich zu beachten, wenn personenbezogene Daten in ein sog. Drittland übermittelt werden?
Zur diesbezüglich in der DSGVO geregelten Systematik können wir Ihnen zur Einführung das sehr informative und strukturierte Kurzpapier Nr. 4 „Datenübermittlung in Drittländer“ der Datenschutzkonferenz empfehlen.
Was hat der EuGH genau entschieden?
Mit Urteil vom 16.07.2020 (dt. Fassung Az: C‑311/18 / Pressemitteilung) hat der EuGH über die Zulässigkeit der EU-Standardvertragsklauseln “Controller-to-Processor” (2010/87/EU) sowie über den Angemessenheitsbeschluss der EU-Kommission zum EU-U.S. Privacy Shield (Durchführungsbeschluss (EU) 2016/1250) entschieden.
Der Grund für die Verwerfung des EU-U.S. Privacy Shields sind mögliche Zugriffe auf personenbezogene Daten von EU-Bürgern durch US-amerikanische Sicherheitsbehörden. Dies stünde nicht im Einklang mit den Grundrechten der EU-Bürger. EU-Bürgern stünden zudem keine ausreichenden Rechtsschutzmöglichkeiten vor den US-Gerichten zur Verfügung. Die EU-Standardvertragsklauseln hingegen bleiben allerdings gültig. Ergeben sich jedoch Hinweise für den Datenexporteur, dass die vereinbarten Standardvertragsklauseln aufgrund der Gesetze im Drittland nicht eingehalten werden können, besteht weitergehender Handlungsbedarf.
Für Unternehmen löst diese Entscheidung akuten Handlungsbedarf aus:
1. Identifizierung der betroffenen Datentransfers nach U.S.
2. Klärung, aufgrund welcher Rechtsgrundlage dies bisher geschah (dokumentierte Verträge)
3. Auf diesem Ergebnis (Ziffer 1. und 2.) basierend dann Prüfung im Einzelnen, welche Maßnahmen erforderlich/möglich sind, um weiterhin Daten exportieren zu können, z.B.:
- gem. Art. 46 DSGVO
- gem. Art. 47 DSGVO
- gem. Art. 49 DSGVO – Sehen Sie diesbezüglich auch die Leitlinien des EDSA (Europäischer Datenschutzausschuss)
4. Informationen identifizieren, die einen Hinweis auf das EU-U.S. Privacy Shield enthalten und korrigieren bzw. ergänzen, z.B.:
- Datenschutzhinweise gem. Art. 13 DSGVO bzw. Art. 14 DSGVO
- Verzeichnis der Verarbeitungstätigkeiten gem. Art. 30 DSGVO
- Verträge, insbesondere Verträge zur Auftragsverarbeitung gem. Art. 28 DSGVO, inkl. Prüfung von eingesetzten Subunternehmern
5. Neubewertung und Ergänzungen zu Datenschutzfolgeabschätzungen gem. Art. 35 DSGVO, auf die das Urteil Auswirkungen haben könnte
6. Verfolgen der weiteren Diskussionen, Stellungnahmen und Reaktionen der Datenschutzaufsichtsbehörden sowie der EU-Kommission.
Die EU-Kommission hat bereits mitgeteilt, an aktualisierten Vertragsklauseln sowie an einer politischen Lösung mit den USA zu arbeiten.
Gern sind wir diesbezüglich behilflich!
Stellungnahmen der dt. Aufsichtsbehörden zum EuGH-Urteil in Sachen Schrems II
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit:
European Data Protection Board
Datenschutzkonferenz
Pressemitteilung Datenschutzkonferenz
Datenschutzaufsichtsbehörden der Länder
- Baden-Württemberg: Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
- Bayern (Öffentlicher Bereich): Der Bayerische Landesbeauftragte für den Datenschutz (noch keine Informationen)
- Bayern (Privater Bereich): Bayerisches Landesamt für Datenschutzaufsicht (noch keine Informationen)
- Berlin: Berliner Beauftragte für Datenschutz und Informationsfreiheit
- Brandenburg: Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (noch keine Informationen)
- Bremen: Die Landesbeauftragte für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen
- Hamburg: Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
- Hessen: Der Hessische Datenschutzbeauftragte
- Mecklenburg-Vorpommern: Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern
- Niedersachsen: Die Landesbeauftragte für den Datenschutz Niedersachsen (noch keine Informationen, bzw. verweist auf die Datenschutzkonferenz)
- Nordrhein-Westfalen: Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
- Rheinland-Pfalz: Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
- Saarland: Unabhängiges Datenschutzzentrum Saarland – Landesbeauftragte für Datenschutz und Informationsfreiheit (noch keine Informationen)
- Sachsen: Sächsischer Datenschutzbeauftragter (noch keine Informationen, bzw. verweist auf die Datenschutzkonferenz)
- Sachsen-Anhalt: Landesbeauftragter für den Datenschutz Sachsen-Anhalt (noch keine Informationen, bzw. verweist auf die Datenschutzkonferenz)
- Schleswig-Holstein: Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (noch keine Informationen)
- Thüringen: Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit