Update Datenschutz Nr. 91
Datenschutzbehörden kontrollieren Umsetzung des „Schrems II“-Urteils
Bisherige Entwicklung
Das „Schrems II“-Urteil des Europäischen Gerichtshofs (EuGH, Urteil vom 16. Juli 2020, C-311/18) hat die Rechtslage bei internationalen Datentransfers erheblich verändert (siehe dazu Update Datenschutz Nr. 82). Das Privacy-Shield-Abkommen zwischen den USA und der EU ist unwirksam, aber auch die Standardvertragsklauseln (Standard Contractual Clauses, SCCs) können nicht mehr ohne Weiteres genutzt werden, um die Übermittlung personenbezogener Daten ins Ausland rechtlich abzusichern. Die EU-Kommission hat zwar neue SCCs erarbeitet, allerdings sind diese noch nicht endgültig verabschiedet. Zudem wurde bereits Kritik am Entwurf der EU-Kommission geäußert (siehe Update Datenschutz Nr. 87). Die Verabschiedung der neuen SCCs wird für Ende des 1., Anfang des 2. Quartals 2021 erwartet.
Datenschutzbehörden beginnen Kontrolle
Die deutschen Datenschutzbehörden haben nun angekündigt, die Umsetzung der Vorgaben des EuGH-Urteils zu kontrollieren. Laut Protokoll der letzten DSK-Sitzung und aktuellen Presseberichten wurde von einer Taskforce unter Leitung der Aufsichtsbehörden aus Hamburg und Berlin ein Fragebogen erarbeitet, der ausgewählten Unternehmen in ganz Deutschland übersandt werden soll. Darin wird gezielt abfragt, welche zusätzlichen Maßnahmen von den Verantwortlichen ergriffen wurden, um internationale Datentransfers entsprechend der neuen Vorgaben des EuGH abzusichern. Neben diesem Fragenbogen ist es immer möglich, dass eine Behörde aufgrund einer konkreten Beschwerde eines Betroffenen gegenüber einem Unternehmen tätig wird. Mit anderen Worten ist das Risiko, dass eine Aufsichtsbehörde ein Unternehmen und dessen internationale Datentransfers unter die Lupe nimmt und eventuelle Verstöße ahndet, erheblich gestiegen.
Handlungsempfehlung
Unternehmen müssen ihre Datentransfers ins Ausland überprüfen und den neuen Vorgaben entsprechend anpassen (siehe dazu auch Update Datenschutz Nr. 89). Das betrifft konzerninterne Übermittlungen gleichermaßen wie Übermittlungen an Dienstleister außerhalb der EU.
Datenübermittlungen in die USA können auf Grundlage des Privacy Shields nicht mehr stattfinden. Datenübermittlungen auf Grundlage der bisherigen SCCs müssen ebenfalls kritisch überprüft werden. Die Rechtslage in den USA muss im Hinblick auf konkrete Risiken für die übermittelten Daten (beispielsweise aufgrund von Zugriffsrechten von US-Behörden) überprüft werden. Diese Prüfung und Bewertung muss dokumentiert werden. Regelmäßig ist es zudem erforderlich, Ergänzungsvereinbarungen mit den Datenempfängern zu schließen. Auch zusätzliche technische und organisatorische Maßnahmen müssen gegebenenfalls ergriffen werden.
Die Prüfung und Bewertung der Risiken sowie ggf. das Ergreifen von zusätzlichen Maßnahmen betreffen nicht nur Datentransfers in die USA, sondern jegliche Datentransfers in Länder außerhalb der EU. Die Vorgaben, die der EuGH aufgestellt hat, gelten für alle internationalen Datentransfers.
Auf keinen Fall sollte abgewartet werden, bis eine Aufsichtsbehörde mit einer konkreten Anfrage an das Unternehmen herantritt. Dann drohen empfindliche Bußgelder. Spätestens jetzt muss proaktiv gehandelt werden.
Ausblick
Unternehmen, die Privacy Shield für Transfers in die USA nutzbar und die dafür verwendeten Grundlagen noch nicht angestellt haben, müssen spätestens jetzt aktiv werden. Die Gefahr von Bußgeldern hat sich durch die Ankündigung der Datenschutzkonferenz erheblich erhöht. Die neuen SCCs abzuwarten ist keine Alternative.
Ein Lichtblick: Es wird erwartet, dass die Europäische Kommission das Vereinigte Königreich kurzfristig zu einem Land mit adäquatem Datenschutzniveau erklärt. Dann entsteht dort wenigstens kein zusätzlicher Aufwand.