Der Landesdatenschutzbeauftragte Baden-Württemberg hat eine Orientierungshilfe zum internationalen Datentransfer veröffentlicht. Enthalten sind Hinweise und eine Empfehlung für das weitere Vorgehen nach dem Urteil des EuGH in Sachen „Schrems II“. Kurz vorher hat der Datenschutz-Aktivist Max Schrems seinen Kampf gegen die Datenübermittlung in die USA fortgesetzt und 101 Beschwerden gegen EWR-Unternehmen eingereicht.
Orientierungshilfe des LfDI BW
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (= LfDI BW) hat am 25.08.2020 eine Orientierungshilfe zur Datenübermittlung in die USA nach dem „Schrems II“-Urteil veröffentlich. Unter der Frage „Was jetzt in Sachen internationaler Datentransfer?“ gibt der LfDI BW Hinweise und legt sein weiteres Vorgehen zum EuGH-Urteil „Schrems II“ fest.
In dem Urteil hat der EuGH das EU-US-Privacy Shield-Abkommen für nichtig erklärt. Damit ist die häufigste Grundlage für die Übermittlung personenbezogener Daten in die USA für ungültig erklärt worden.
Dies stellt auch der LfDI BW zu Beginn der Orientierungshilfe fest, mit der Ergänzung, dass die Ungültigkeit ab sofort eintritt. Daneben werden noch weitere grundsätzliche Punkte festgehalten, wie z.B. dass die Standardvertragsklauseln weiterhin gültig sind, aber nur dann, wenn ein Schutzniveau für die personenbezogenen Daten sichergestellt ist, das dem in der Europäischen Union entspricht. Kein angemessener Schutz liegt in Fällen vor, in denen die Behörden nach dem Recht des Drittlandes befugt sind, in die Rechte der betroffenen Personen ohne zusätzliche Maßnahmen der Vertragspartner einzugreifen. Es liegt in der Verantwortlichkeit der Datenexpoteure für den Einzelfall zu prüfen, ob das Recht des Drittlandes ein angemessenes Schutzniveau bietet.
Unter Punkt II. wird zusammengefasst, wen die Entscheidung betrifft. Nämlich alle öffentlichen Stellen oder Unternehmen, die Daten in die USA transferieren, insbesondere, wenn sie die Übermittlung dabei bisher auf das Privacy Shield gestützt haben, aber auch, wenn sie dafür Standardvertragsklauseln genutzt haben. Beispielhaft angeführt sind die Nutzung eines Videokonferenzsystems eines US-Anbieters der Daten der Teilnehmenden erhebt und in die USA übermittelt oder das speichern von Daten in eine Cloud, die in den USA gehostet wird.
Dass das Urteil enorme Auswirkungen hat, haben wir bereits in unserem Beitrag „EuGH kippt EU-US-Privacy Shield“ geahnt, nun stellt aber auch der LfDI BW fest: Die Auswirkungen der Gerichtsentscheidung sind denkbar umfassend.
Die nächsten Seiten der insgesamt 10-seitigen Orientierungshilfe geben Antworten auf die Frage „Was ist zu tun?“ und enthalten eine detaillierte Checkliste für das weitere Vorgehen inklusive Änderungsvorschläge für Bestimmungen in den Standardvertragsklauseln.
Die Orientierungshilfe dient wortwörtlich als Orientierung für all die Unternehmen, die nun vor der Herausforderung stehen, schnellstmöglich auf das „Schrems II“-Urteil zu reagieren.
101 Beschwerden an EWR-Unternehmen
Kurz vorher, am 17.08.2020 hat die Nichtregierungsorganisation „NOYB“ („Non of your Business“), zu der auch der Datenschutz-Aktivist Max Schrems als Ehrenvorstand gehört, bekannt gegeben, 101 Beschwerden gegen EWR-Unternehmen eingereicht zu haben. Verantwortlich hierfür war ebenfalls Max Schrems.
Die Beschwerden richten sich gegen 101 europäische Unternehmen in allen 30 EU- und EWR-Mitgliedsstaaten. Die jeweiligen Webseiten der Unternehmen leiten Daten über Besucher*innen an Google und Facebook weiter. Die Beschwerden richten sich aber auch gegen Google und Facebook in den USA, weil sie diese Daten unter Verletzung der DSGVO weiterhin akzeptieren.
Notwendig waren die Beschwerden, weil Unternehmen, vor allem die Global Player wie Facebook, Google und Microsoft, das Urteil nach wie vor weitgehend ignorieren. Sie berufen sich immer noch auf die nicht angepassten Standardvertragsklauseln und „es scheint, dass US-Unternehmen immer noch versuchen, ihre EU-Kunden vom Gegenteil zu überzeugen“, so Schrems. Zudem plant NOYB, den Druck auf Unternehmen aus der EU und den USA schrittweise zu erhöhen, damit sie ihre Datentransfers überprüfen und sich an die klare Entscheidung des EuGH halten.
Fazit
Das „Schrems II“-Urteil des EuGH hat den digitalen Datenaustausch eines großen Teils aller Unternehmen völlig verändert. Nach und nach reagieren nun auch die Aufsichtsbehörden mit Klarstellungen und ersten Wegweisungen (Stellungnahmen der Datenschutzaufsichten katholischen und evangelischen Kirchen finden Sie in unserem Beitrag „Kirchen reagieren auf Privacy Shield Beschluss des EuGH“). Soweit noch nicht erfolgt, ist es für die Verantwortlichen in den Unternehmen und deren Datenschutzbeauftragten und Berater nun dringend an der Zeit, die bestehenden Datenverarbeitungen und ‑übermittlungen zu prüfen und gegebenenfalls auf neue Rechtsgrundlagen zu stützen.
Was Sie noch interessieren könnte:
Die Erstellung eines Löschkonzepts – das gilt es zu beachten!
In der DSGVO finden sich an einigen Stellen Verpflichtungen zur Löschung personenbezogener Daten. Darunter beispielsweise das Recht auf Löschung in […]
Künstliche Intelligenz und Datenschutz – woran Verantwortliche im Unternehmen denken sollten
Laut dem statistischen Bundesamt nutzen Unternehmen Künstliche Intelligenz (KI) am häufigsten zur Spracherkennung, gefolgt von der Automatisierung von Arbeitsabläufen oder […]
AI-Act – ein Überblick
Der sog. Artificial Intelligence Act (AI-Act, KI-Gesetz) wurde am 13. März 2024 vom Europäischen Parlament beschlossen und am 21. […]