Der Lan­des­da­ten­schutz­be­auf­trag­te Baden-Württemberg hat eine Ori­en­tie­rungs­hil­fe zum inter­na­tio­na­len Daten­trans­fer ver­öf­fent­licht. Ent­hal­ten sind Hin­wei­se und eine Emp­feh­lung für das wei­te­re Vor­ge­hen nach dem Urteil des EuGH in Sachen „Schrems II“. Kurz vor­her hat der Datenschutz-Aktivist Max Schrems sei­nen Kampf gegen die Daten­über­mitt­lung in die USA fort­ge­setzt und 101 Beschwer­den gegen EWR-Unternehmen eingereicht.

Ori­en­tie­rungs­hil­fe des LfDI BW

Der Lan­des­be­auf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit Baden-Württemberg (= LfDI BW) hat am 25.08.2020 eine Ori­en­tie­rungs­hil­fe zur Daten­über­mitt­lung in die USA nach dem „Schrems II“-Urteil ver­öf­fent­lich. Unter der Fra­ge „Was jetzt in Sachen inter­na­tio­na­ler Daten­trans­fer?“ gibt der LfDI BW Hin­wei­se und legt sein wei­te­res Vor­ge­hen zum EuGH-Urteil „Schrems II“ fest.

In dem Urteil hat der EuGH das EU-US-Privacy Shield-Abkommen für nich­tig erklärt. Damit ist die häu­figs­te Grund­la­ge für die Über­mitt­lung per­so­nen­be­zo­ge­ner Daten in die USA für ungül­tig erklärt worden.

Dies stellt auch der LfDI BW zu Beginn der Ori­en­tie­rungs­hil­fe fest, mit der Ergän­zung, dass die Ungül­tig­keit ab sofort ein­tritt. Dane­ben wer­den noch wei­te­re grund­sätz­li­che Punk­te fest­ge­hal­ten, wie z.B. dass die Stan­dard­ver­trags­klau­seln wei­ter­hin gül­tig sind, aber nur dann, wenn ein Schutz­ni­veau für die per­so­nen­be­zo­ge­nen Daten sicher­ge­stellt ist, das dem in der Euro­päi­schen Uni­on ent­spricht. Kein ange­mes­se­ner Schutz liegt in Fäl­len vor, in denen die Behör­den nach dem Recht des Dritt­lan­des befugt sind, in die Rech­te der betrof­fe­nen Per­so­nen ohne zusätz­li­che Maß­nah­men der Ver­trags­part­ner ein­zu­grei­fen. Es liegt in der Ver­ant­wort­lich­keit der Daten­ex­po­teu­re für den Ein­zel­fall zu prü­fen, ob das Recht des Dritt­lan­des ein ange­mes­se­nes Schutz­ni­veau bietet.

Unter Punkt II. wird zusam­men­ge­fasst, wen die Ent­schei­dung betrifft. Näm­lich alle öffent­li­chen Stel­len oder Unter­neh­men, die Daten in die USA trans­fe­rie­ren, ins­be­son­de­re, wenn sie die Über­mitt­lung dabei bis­her auf das Pri­va­cy Shield gestützt haben, aber auch, wenn sie dafür Stan­dard­ver­trags­klau­seln genutzt haben. Bei­spiel­haft ange­führt sind die Nut­zung eines Video­kon­fe­renz­sys­tems eines US-Anbieters der Daten der Teil­neh­men­den erhebt und in die USA über­mit­telt oder das spei­chern von Daten in eine Cloud, die in den USA gehos­tet wird.

Dass das Urteil enor­me Aus­wir­kun­gen hat, haben wir bereits in unse­rem Bei­trag „EuGH kippt EU-US-Privacy Shield“ geahnt, nun stellt aber auch der LfDI BW fest: Die Aus­wir­kun­gen der Gerichts­ent­schei­dung sind denk­bar umfas­send.

Die nächs­ten Sei­ten der ins­ge­samt 10-seitigen Ori­en­tie­rungs­hil­fe geben Ant­wor­ten auf die Fra­ge „Was ist zu tun?“ und ent­hal­ten eine detail­lier­te Check­lis­te für das wei­te­re Vor­ge­hen inklu­si­ve Ände­rungs­vor­schlä­ge für Bestim­mun­gen in den Standardvertragsklauseln.

Die Ori­en­tie­rungs­hil­fe dient wort­wört­lich als Ori­en­tie­rung für all die Unter­neh­men, die nun vor der Her­aus­for­de­rung ste­hen, schnellst­mög­lich auf das „Schrems II“-Urteil zu reagieren.

101 Beschwer­den an EWR-Unternehmen

Kurz vor­her, am 17.08.2020 hat die Nicht­re­gie­rungs­or­ga­ni­sa­ti­on „NOYB“ („Non of your Busi­ness“), zu der auch der Datenschutz-Aktivist Max Schrems als Ehren­vor­stand gehört, bekannt gege­ben, 101 Beschwer­den gegen EWR-Unternehmen ein­ge­reicht zu haben. Ver­ant­wort­lich hier­für war eben­falls Max Schrems.

Die Beschwer­den rich­ten sich gegen 101 euro­päi­sche Unter­neh­men in allen 30 EU- und EWR-Mitgliedsstaaten. Die jewei­li­gen Web­sei­ten der Unter­neh­men lei­ten Daten über Besucher*innen an Goog­le und Face­book wei­ter. Die Beschwer­den rich­ten sich aber auch gegen Goog­le und Face­book in den USA, weil sie die­se Daten unter Ver­let­zung der DSGVO wei­ter­hin akzeptieren.

Not­wen­dig waren die Beschwer­den, weil Unter­neh­men, vor allem die Glo­bal Play­er wie Face­book, Goog­le und Micro­soft, das Urteil nach wie vor weit­ge­hend igno­rie­ren. Sie beru­fen sich immer noch auf die nicht ange­pass­ten Stan­dard­ver­trags­klau­seln und „es scheint, dass US-Unternehmen immer noch ver­su­chen, ihre EU-Kunden vom Gegen­teil zu über­zeu­gen“, so Schrems. Zudem plant NOYB, den Druck auf Unter­neh­men aus der EU und den USA schritt­wei­se zu erhö­hen, damit sie ihre Daten­trans­fers über­prü­fen und sich an die kla­re Ent­schei­dung des EuGH halten.

Fazit

Das „Schrems II“-Urteil des EuGH hat den digi­ta­len Daten­aus­tausch eines gro­ßen Teils aller Unter­neh­men völ­lig ver­än­dert. Nach und nach reagie­ren nun auch die Auf­sichts­be­hör­den mit Klar­stel­lun­gen und ers­ten Weg­wei­sun­gen (Stel­lung­nah­men der Daten­schutz­auf­sich­ten katho­li­schen und evan­ge­li­schen Kir­chen fin­den Sie in unse­rem Bei­trag „Kir­chen reagie­ren auf Pri­va­cy Shield Beschluss des EuGH“). Soweit noch nicht erfolgt, ist es für die Ver­ant­wort­li­chen in den Unter­neh­men und deren Daten­schutz­be­auf­trag­ten und Bera­ter nun drin­gend an der Zeit, die bestehen­den Daten­ver­ar­bei­tun­gen und ‑über­mitt­lun­gen zu prü­fen und gege­be­nen­falls auf neue Rechts­grund­la­gen zu stützen.

Was Sie noch interessieren könnte:

Autorin des Artikels:

Eileen Binder

Wirtschaftsjuristin LL.B. & Beraterin im Datenschutz
MEHR ZUR AUTORIN