ÜBERMITTLUNG PERSONENBEZOGENER DATEN IN DRITTLÄNDER

Eines der derzeit meist diskutiertesten datenschutzrechtlichen Themen stellt die Übermittlung personenbezogener Daten in Drittländer dar. Als Drittland sind im Sinne der Datenschutz-Grundverordnung (DS-GVO) sämtliche Länder zu verstehen, welche nicht Mitglied der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) sind und somit die Normen der DS-GVO nicht unmittelbar Wirkung entfalten. In den Mittelpunkt rückte die Betrachtung dieses Themas insbesondere durch die Rechtsprechung des Europäischen Gerichtshofes (EuGH), welcher das EU-US-Privacy Shield kippte. Auch wenn aktuelle Ereignisse darauf hindeuten, dass sowohl die EU als auch die USA auch ein Nachfolgeabkommen hinarbeiten, stellen diese keine belastbare Übermittlungsgrundlage dar.


AKTUELLE SITUATION

Für verantwortliche Stellen verspricht die aktuelle Situation einen nicht zu vernachlässigenden Handlungsbedarf. So ist eine Übermittlung personenbezogener Daten in Drittländer nicht ausschließlich bei einer aktiven Übermittlung vorliegend, sondern bereits im Falle der reinen Möglichkeit einer Kenntnisnahme. Diese ist beispielsweise bei der Nutzung von Dienstleistern in datenschutzrechtlichen Drittländern anzunehmen, welche Cloud-Services oder andere Dienstleistungen im Rahmen einer Auftragsverarbeitung zur Verfügung stellen.

Als Übermittlungsgrundlage kommen hierbei fast ausschließlich die sogenannten Standardvertragsklauseln bzw. Standarddatenschutzklauseln zum Einsatz. Diese wurden bereits im vergangenen Jahr durch die Europäische Kommission in einer überarbeiteten Version zur Verfügung gestellt. Sowohl für die verantwortliche Stelle im Anwendungsbereich der DS-GVO als auch für den Dienstleister im datenschutzrechtlichen Drittstaat ergeben sich in diesem Zusammenhang eine Reihe von Pflichten.


DIE NEUEN STANDARDDATENSCHUTZKLAUSELN

Bei Standarddatenschutzklauseln handelt es sich um eine besondere vertragliche Vereinbarung zwischen datenübermittelnder und datenempfangender Stelle, im Rahmen derer datenschutzrechtliche Rechten und Pflichten festgelegt werden. Hierdurch wird eine Vereinheitlichung des hohen Datenschutzniveaus auf beiden Seiten angestrebt. Im Rahmen des „Schrems II“-Urteils konstatierte der EuGH jedoch, dass ein solches Datenschutzniveau nicht allein durch ein Abkommen oder vertragliche Regelungen erreicht werden könne. Es bedürfe darüber hinaus weiterer geeigneter Garantien, welche die weitreichenden Zugriffsmöglichkeiten von Ermittlungsbehörden oder anderer staatlicher Einrichtungen einschränken.

Waren die bisherigen Standardvertragsklauseln für Datenübermittlungen in Drittländer in den Versionen „Verantwortlicher – Auftragsverarbeiter“ und „Verantwortlicher – Verantwortlicher“ verfügbar, erscheinen die neuen Standardvertragsklauseln hingegen nur in einer Version. Dafür bieten diese einen neuen modularen Aufbau, welcher es ermöglicht, dass ein jeweils auf den Einzelfall angepasstes Vertragswerk erstellt werden kann. Neben den bereits genannten Konstellationen finden sich ebenfalls Module für Datenübermittlungen von einem Auftragsverarbeiter an einen weiteren Auftragsverarbeiter sowie von einem Auftragsverarbeiter an einen Verantwortlichen. Weiterhin können von nun an auch Festlegungen hinsichtlich des anwendbaren Rechts sowie hinsichtlich des Gerichtsstandes getroffen und leichter weitere Vertragspartner in die Regelungen aufgenommen werden.

Gänzlich neu ist die Implementierung des risikobasierten Ansatzes, welcher insbesondere den Anforderungen des „Schrems II“-Urteils gerecht werden soll. Hierbei ist vor Vertragsschluss eine Dokumentation („Transferfolgenabschätzung“ / „Transfer Impact Assessment“) vorzunehmen. Darüber hinaus getroffene technische oder organisatorische Garantien müssen geeignet sein, einem möglichen Zugriff auf personenbezogene Daten von staatlichen Behörden entgegenzuwirken.

Sollte eine staatliche Behörde dennoch einen Datenzugriff (erkennbar) beabsichtigen, so hat der Dienstleister im Drittland den beziehungsweise die Vertragspartner hierüber umgehend zu informieren. Darüber hinaus obliegt es dem Dienstleister die Rechtmäßigkeit für einen solchen Zugriff zu überprüfen und gegebenenfalls dagegen rechtlich vorzugehen. Sollten ihm derartige Maßnahmen unmöglich sein, so sind die Vertragspartner hierüber in Kenntnis zu setzen und das jeweilige Vorgehen ist dokumentiert nachzuweisen.

Ergänzend sei erwähnt, dass wie bereits bei den bisherigen Standardvertragsklauseln auch im Rahmen der neuen Version keine Veränderungen, jedoch Ergänzungen von vertraglichen Regelungen vorgenommen werden können. Darüber hinaus ist sicherzustellen, dass die neuen Standardvertragsklauseln bis Dezember 2022 auch in bereits bestehenden Vertragsverhältnissen umzusetzen sind. Es besteht somit nahezu für jeden Verantwortlichen unmittelbarer Handlungsbedarf.


DIE SOGENANNTE TRANSFERFOLGENABSCHÄTZUNG

Die Verpflichtung zur Durchführung einer Transferfolgenabschätzung im Rahmen des Abschlusses von Standardvertragsklauseln ergibt sich aus Klausel 14. Darin heißt es unter anderem: „Die Parteien sichern zu, keinen Grund zu der Annahme zu haben, dass die für die Verarbeitung personenbezogener Daten durch den Datenimporteur geltenden Rechtsvorschriften und Gepflogenheiten im Bestimmungsdrittland, einschließlich Anforderungen zur Offenlegung personenbezogener Daten oder Maßnahmen, die öffentlichen Behörden den Zugang zu diesen Daten gestatten, den Datenimporteur an der Erfüllung seiner Pflichten gemäß diesen [Standardvertrags-]Klauseln hindern.“ Hieraus ergibt sich ebenfalls die Verpflichtung, dass auch der Auftragsverarbeiter im Drittland den Verantwortlichen hierzulande bei der Durchführung der Transferfolgenabschätzung zu unterstützen hat.

Um eine Einschätzung entsprechend der Vorgaben vornehmen zu können, sieht Klausel 14 die Berücksichtigung bestimmter Aspekte als verpflichtend an. Hierzu gehören nach dem Wortlaut der Klausel:

– Die besonderen Umstände der Übermittlung, einschließlich der Länge der Verarbeitungskette, der Anzahl der beteiligten Akteure und der verwendeten Übertragungskanäle, beabsichtigte Datenweiterleitungen, die Art des Empfängers, den Zweck der Verarbeitung, die Kategorien und das Format der übermittelten personenbezogenen Daten, den Wirtschaftszweig, in dem die Übertragung erfolgt, den Speicherort der übermittelten Daten,

– die angesichts der besonderen Umstände der Übermittlung relevanten Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes (einschließlich solcher, die die Offenlegung von Daten gegenüber Behörden vorschreiben oder den Zugang von Behörden zu diesen Daten gestatten) sowie die geltenden Beschränkungen und Garantien,

– alle relevanten vertraglichen, technischen oder organisatorischen Garantien, die zur Ergänzung der Garantien gemäß der Standardvertragsklauseln eingerichtet wurden, einschließlich Maßnahmen, die während der Übermittlung und bei der Verarbeitung personenbezogener Daten im Bestimmungsland angewandt werden.

Darüber hinaus empfehlen wir darzulegen, aus welchen zwingenden Gründen es einer solchen Übermittlung personenbezogener Daten beziehungsweise des Einsatzes des Dienstleisters in dem Drittland bedarf. In diesem Zusammenhang sollte gegebenenfalls auf fehlende gleichwertige Alternativen innerhalb der EU / des EWR verwiesen werden. Unter Berücksichtigung der Rechenschaftspflicht gemäß Art. 5 Abs. 2 DS-GVO sollte auch die Betrachtung und der Ausschluss derartiger Alternativen in die datenschutzrechtliche Dokumentation aufgenommen werden. Die Transferfolgenabschätzung ist auf Anfrage der Aufsichtsbehörde vorzulegen.

Die Durchführung einer Transferfolgenabschätzung ist grundsätzlich nicht an eine bestimmte Form gebunden, soweit eine Nachweisbarkeit der Durchführung möglich ist. In diesem Zusammenhang bietet es sich an, die Transferfolgenabschätzung als Anlage zum jeweiligen Verzeichnis der Verarbeitungstätigkeiten zu nehmen.


FAZIT

Der Beitrag zeigt auf, welche datenschutzrechtlichen Verpflichtungen aktuell mit Übermittlungen personenbezogener Daten in Drittländer im Zusammenhang stehen. Im Rahmen unseres neuen Leitfadens „Drittlandtransfer – Datenschutzrechtliche Grundlagen und Hinweise für verantwortliche Stellen“ geben wir einen thematischen Überblick und stellen Handlungsempfehlungen dar. Die weiteren Entwicklungen, insbesondere hinsichtlich eines Nachfolgeabkommens zwischen der EU und der USA, sind im Blick zu behalten.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

TERMINHINWEIS: DATENSCHUTZSPRECHSTUNDE

Wir sehen es als unsere Aufgabe an, möglichst viele Personen für die Themen Datenschutz und Informationssicherheit begeistern zu können, wichtige Anforderungen zu erläutern und praxistaugliche Umsetzungsmöglichkeiten abzubilden. Da wir uns insbesondere im Rahmen der datenschutzrechtlichen Beratung oft mit Irrtümern und Fehlvorstellungen konfrontiert sehen, wollen wir in unserem neuen Format, der Datenschutzsprechstunde, regelmäßig für alle Interessierten eine Möglichkeit zum Austausch und zur Diskussion bieten. Die nächste Sprechstunde findet am 14. Juni 2022 in der Zeit von 11:00 Uhr bis 12:00 Uhr statt. Zur Anmeldung.

    Tags:
  • Datenübermittlungen
  • Drittlandübermittlung
  • EU-US-Privacy Shield
  • Standardvertragsklauseln
  • Transferfolgenabschätzung
Lesen

IN DER SACKGASSE: INTERNATIONALER DATENSCHUTZ MIT DER DS-GVO

Zunächst ein warnender Hinweis: Es folgen einige grundsätzliche Gedanken zum Konzept der Datenschutz-Grundverordnung (DS-GVO) für den internationalen Datenschutz. Wer Praxis-Tipps sucht, kann diesen Blog-Beitrag also überspringen – Sie finden unsere Vorschläge zum bestmöglichen Umgang mit der Situation in unserem Beitrag vom 17. August 2020.

Die Entscheidung des Europäischen Gerichtshofs gegen den Privacy Shield (Urteil vom 16.07.2020, Az.: C-311/18, „Schrems II“) wird momentan (auch von uns) wegen der kurzfristigen Folgen für die Datenschutz-Praxis untersucht und diskutiert. Sie gibt aber ebenso Anlass, das Konzept der DS-GVO für den internationalen Datenschutz einmal grundsätzlich zu prüfen.

Ergebnis vorab: Für die Übermittlung personenbezogener Daten in Drittstaaten (Staaten außerhalb des Europäischen Wirtschaftsraums / EWR) stellt die DS-GVO Anforderungen, die in der Praxis nicht erfüllbar sind. Notwendig und wünschenswert ist ein vollständig neues Regelungskonzept, dass auch mit Änderungen des Textes der DS-GVO verbunden wäre. Leider wird in absehbarer Zeit sicher nichts dergleichen in Angriff genommen. Es fehlt schon an einer öffentlichen Diskussion des Problems. So schweigt zum Beispiel auch der Evaluierungsbericht der EU-Kommission vom Juni zu diesem Thema. Im Einzelnen:


DATENÜBERMITTLUNGEN IN ANDERE STAATEN

Die DS-GVO regelt den Datenschutz in der gesamten Europäischen Union (darüber hinaus auch in den EWR-Staaten) einheitlich. Bei Datenübermittlungen innerhalb der EU (also auch aus einem Mitgliedstaat in einen anderen Mitgliedstaat) gelten keine zusätzlichen Anforderungen. Der Datenaustausch von Akteuren in verschiedenen Mitgliedstaaten wird behandelt wie der Datenaustausch innerhalb ein und desselben EU-Staats. Etwas ganz anderes gilt bei Datenübermittlungen an einen Verantwortlichen oder Auftragsverarbeiter außerhalb des EWR: Zusätzlich zu den allgemeinen Anforderungen – vor allem: Rechtsgrundlage für den konkreten Datentransfer und datenschutzkonforme Ausgestaltung – verlangt die DS-GVO entweder einen Angemessenheitsbeschluss der Kommission für den Zielstaat (Art. 45 Abs. 3), geeignete Garantien für ein angemessenes Datenschutzniveau im Zielstaat (Art. 46) oder die Voraussetzungen für eine der Ausnahmeregelungen in Art. 49.


AUSNAHMEREGELUNGEN DES ART. 49 DS-GVO

Artikel 49 regelt ausdrücklich „Ausnahmen“. In den Normalfällen nach Art. 45 Abs. 3 und Art. 46 wird verlangt, dass der Datenempfänger im Drittstaat ein „angemessenes Datenschutzniveau“ gewährleistet. Wenn anfangs vielleicht noch zu diesem Begriff verschiedene Vorstellungen existierten, hat der Europäische Gerichtshof (als letztzuständige Institution für die Auslegung des EU-Rechts) in den Entscheidungen Safe Harbour und Privacy Shield eindeutig geklärt: „Angemessenes Datenschutzniveau“ bei einem Datenempfänger bedeutet, dass dort eine Behandlung der Daten nach den Vorschriften der DSGVO garantiert werden muss. Mit anderen Worten: Die DS-GVO-Pflichten werden auf den ausländischen Datenempfänger „projiziert“; nur wenn der Empfänger diese Pflichten erfüllen wird, darf der Verantwortliche die Daten aus der EU übermitteln.

Ein großes Problem: Jeder Akteur in jedem Staat auf dieser Erde – gleichgültig, ob Unternehmen in Brasilien oder Behörden in Indonesien – unterliegt den jeweiligen nationalen Gesetzen. Vereinfacht und auf den Punkt gebracht: Wenn die nationalen Gesetze in einem Drittstaat nicht vollständig den Datenschutzregeln der DS-GVO entsprechen, kann eine Person oder ein Unternehmen in diesem Drittstaat die Einhaltung der Regelungen der DS-GVO auch nicht gewährleisten. Diese – eigentlich offensichtliche – Tatsache wurde bei Ausgestaltung der „Regelfälle“ in Art. 45 Abs. 3 und Art. 46 DSGVO völlig übersehen:


ANGEMESSENHEITSBESCHLUSS DER KOMMISSION

Artikel 45 DS-GVO sieht vor, dass die EU-Kommission unter anderem Drittstaaten durch Beschluss ein angemessenes Datenschutzniveau attestieren kann (Eine Liste der bisherigen Angemessenheitsbeschlüsse finden Sie hier). Auf dieser Grundlage bzw. der Vorgänger-Richtlinie (RL 95/46/EG) erließ die Kommission auch die Beschlüsse zu Safe Harbour und Privacy Shield. In beiden Fällen entschied der EuGH, die Kommission habe das Datenschutzniveau falsch (nämlich zu günstig) beurteilt. Dies wurde u.a. damit begründet, dass weder Safe Harbour noch Privacy Shield gegen einen Datenzugriff US-amerikanischer Sicherheitsbehörden bei dem jeweiligen Datenempfänger in den USA schützen können.

Es liegt auf der Hand, dass die Kommission eigentlich sofort ihren Angemessenheitsbeschluss betreffend Kanada aufheben müsste. Darin hatte sie ausdrücklich nur für den nicht-öffentlichen Bereich Kanadas (hauptsächlich die dortigen Wirtschaftsunternehmen) ein angemessenes Datenschutzniveau bestätigt. Kanadische Behörden gewährleisten in den Augen der EU keinen ausreichenden Datenschutz (u.a. wegen Einbindung der dortigen Geheimdienste in die von Edward Snowden veröffentlichte massenhafte E-Mail-Auswertung). Die Kommissions-Entscheidung zu Kanada beruht offenbar auf der vom EuGH nun eindeutig abgelehnten Ansicht, Unternehmen eines Staates könnten auch dann angemessenen Datenschutz gewährleisten, wenn nach den dort geltenden staatlichen Gesetzen die Sicherheitsbehörden DS-GVO-widrige Datenverarbeitungen durchführen dürfen.

Ob die anderen Angemessenheitsentscheidungen (u.a. zugunsten Israels) unter diesem Aspekt einer Überprüfung Stand halten würden, mag dahinstehen. Viel wichtiger ist: Für gerade einmal zwölf Staaten hat die Kommission ein gleichwertiges Datenschutzniveau anerkannt; davon besitzen nur sechs eine wirtschaftlich nennenswerte Bedeutung. Für den „ganz normalen“ und notwendigen weltweiten Datenaustausch bietet Art. 45 DS-GVO somit keine Grundlage.


VEREINBARUNGEN ZWISCHEN AKTEUREN

Damit bleibt der Blick auf die in Art. 46 DS-GVO gelisteten Wege. Diese bestehen durchweg in Vereinbarungen zwischen den beteiligten Unternehmen, Behörden etc. oder Selbstverpflichtungen der beteiligten Akteure. Ohne, dass man auf die einzelnen Varianten speziell eingehen müsste (z.B. Binding Corporate Rules, Standardvertragsklauseln, Verhaltensregeln) ist spätestens mit den EuGH-Entscheidungen zu Safe Harbour und Privacy Shield klar: Ein „angemessenes Datenschutzniveau“ setzt nach Auffassung des EuGH stets voraus, dass die beteiligten Akteure auch im Stande sind, ihre Vereinbarungen, Selbstverpflichtungen etc. im jeweiligen Drittstaat einzuhalten. Wenn sie nach dort geltenden Gesetzen oder nach den dortigen Machtverhältnissen gar nicht im Stande sind, die auf dem Papier gegebene Zusagen zu erfüllen, dann bewirken die Datenschutzpapiere (natürlich) auch kein „angemessenes Datenschutzniveau“.

Besonders deutlich wird das Dilemma am Beispiel der Sicherheitsbehörden / Geheimdienste: Für die Datenverarbeitung durch Sicherheitsbehörden der EU-Staaten enthält Art. 2 Abs. 2 DSGVO Ausnahmeregelungen. Sie werden also nicht an den Vorschriften der DS-GVO gemessen. Diese Ausnahmen gelten aber nur für EU-Behörden. Mit anderen Worten: Geheimdienste von Drittstaaten müssen die DS-GVO-Vorgaben einhalten, damit diesen Drittstaaten ein angemessenes Datenschutzniveau zugesprochen wird (so auch die Sichtweise des EuGH). Beim Brexit könnte sich dies auswirken: Solange Großbritannien EU-Mitglied war, benötigten Datenübermittlungen in das Vereinigte Königreich keine zusätzliche Prüfung. Wenn nach Jahresende die Übergangsregelungen ohne Ersatz auslaufen sollten („harter Brexit“), könnte ein „angemessenes Datenschutzniveau“ im Vereinigten Königreich mit Hinweis auf die Tätigkeit der britischen Geheimdienste verneint werden.


FAZIT

Das Modell der DS-GVO für den internationalen Datentransfer ist schlicht nicht praxistauglich. Auf EU-Ebene gibt es jedoch keine Anzeichen für ein grundsätzliches Problembewusstsein und Änderungsbereitschaft. Vernünftige Regelungen sind nicht in Sicht. Denkbar wären verschiedene Lösungen – dazu in einem späteren Beitrag mehr; dieser ist bereits viel zu lang geraten.

    Tags:
  • Datenübermittlungen
  • EU-US-Privacy Shield
  • EuGH
  • Internationaler Datenschutz
  • Kommentar
  • Schrems II
Lesen

DAS EUGH-URTEIL ZUM EU-US-PRIVACY SHIELD

… und dessen Auswirkungen für die Praxis. Der Europäische Gerichtshof (EuGH) hat sich mit Urteil vom 16. Juli 2020 (Az.: C-311/18) – sog. „Schrems II“-Entscheidung – zur Übermittlung personenbezogener Daten in Drittländer positioniert. Mittelpunkt der Entscheidung bildet die Unzulässigkeitserklärung des Beschlusses 2916/1250 der Europäischen Kommission in die USA (sog. „EU-US-Privacy-Shield“). Darüber hinaus stellt der EuGH fest, dass die Entscheidung 2010/87/EG der Europäischen Kommission (sog. „Standardvertragsklausel“) grundsätzlich (zunächst) weithin Gültigkeit behalten.


WAS WURDE ENTSCHIEDEN?

Der Österreicher Max Schrems hatte gegen die Facebook Ireland Ltd. geklagt. In der Begründung brachte er vor, dass Daten der Nutzer des Social-Media-Plattform zu großen Teilen auf den Servern in den Vereinigten Staaten gespeichert werden. In den USA könne jedoch u.a. aufgrund der Zugriffsrechte der US-Geheimdienste kein angemessenes Schutzniveau garantiert werden.

Der EuGH stellte nunmehr in seinem Urteil fest, dass die Übermittlung personenbezogener Daten in die USA auf der Grundlage des EU-US-Privacy Shield unzulässig ist und unverzüglich eingestellt werden muss, weil das durch den EuGH bewertete US-Recht kein Schutzniveau bietet, das dem in der EU im Wesentlichen gleichwertig ist. Somit wurde die Hauptgrundlage für einen Datentransfer zwischen der EU und den USA entzogen. Konsequenz ist, dass der Einsatz der meisten US-Unternehmen wie bspw. Cloudflare, Facebook, Google, LinkedIn, MailChimp Twitter, YouTube, etc. torpediert wurde.


IST EINE DATENÜBERMITTLUNG IN DIE USA WEITERHIN MÖGLICH

Das Urteil hebt nicht den kompletten Datentransfer in die USA auf. Eine Datenübermittlung bleibt weiterhin zulässig, sofern die Voraussetzungen der Art. 44 bis Art. 49 DS-GVO erfüllt sind, d.h. eine gültige Rechtsgrundlage für die Übermittlung von personenbezogenen Daten in ein Drittland vorliegt. Bei den USA handelt es sich um ein solches Drittland. Nach dem Wegfall des Privacy-Shields rücken allem voran die Standardvertragsklauseln (nach Art. 46 Abs. 2 lit. c) DS-GVO „Standarddatenschutzklauseln“ genannt) ins Blickfeld. Diese Klauseln können auch nach Ansicht des EuGHs grundsätzlich eine gültige Rechtsgrundlage für die Datenübermittlung darstellen. Voraussetzung ist jedoch, dass das europäische Datenschutzniveau entsprechend eingehalten wird.

Mittlerweile hat der Europäische Datenschutzausschuss diesbezüglich Leitlinien veröffentlicht, welche Verantwortlichen bei der Anwendung der Norm eine Hilfestellung leisten sollen. Als weitere Handlungsmöglichkeit wird immer häufiger in Betracht gezogen, die betroffenen Personen jeweils in die Übertragung ihrer personenbezogenen Daten in die USA einwilligen zu lassen.


WELCHER HANDLUNGSBEDARF ERGIBT SICH FÜR VERANTWORTLICHE IN DER PRAXIS?

Verantwortliche, die weiterhin personenbezogene Daten in die USA übermitteln wollen, müssen alternative Rechtsgrundlagen wie bspw. die Standardvertragsklauseln in Betracht ziehen und diese entsprechend überprüfen. Hierfür ist es ratsam sich zunächst einen Überblick zu verschaffen, welche US-Dienstleister eingesetzte werden und ob eine Übermittlung personenbezogener Daten von Betroffenen an diese Unternehmen erfolgt.

Ergibt sich nach der Überprüfung, dass Sie den US-Unternehmen personenbezogene Daten Ihrer Nutzer übermitteln, bedarf es anschließend einer Regelung zur Legitimation der Datenübermittlung, z.B. Abschluss von Standardvertragsklauseln, Nutzung einer Einwilligungslösung, Verwendung von Servern innerhalb der EU usw. Bei der Verwendung der Standardvertragsklausel sollte bei den US-Unternehmen nachgehakt werden, wie die vertraglichen Garantien eingehalten werden und durch welche geeigneten technischen Maßnahmen sie den Zugriff der US-Behörden unterbinden.

Insbesondere ergibt sich voraussichtlich auch Handlungsbedarf hinsichtlich der meisten Datenschutzinformationen. So enthalten zahlreiche Informationen einen Hinweis auf den EU-US-Privacy-Shield als Rechtsgrundlage für die Datenübermittlung. Diese Formulierungen sind nunmehr entsprechend anzupassen.

Mittlerweile haben die deutschen Datenschutzaufsichtsbehörden angekündigt, bundesweit Webseiten hinsichtlich der rechtkonformen Einbindung von Tracking-Technologien zu überprüfen (hierzu die Pressemitteilung des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg). Gleichzeitig hat auch Max Schrems mit seiner „NGO noyb“ 101 Beschwerden gegen zahlreiche Unternehmen in Europa eingereicht.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.

    Tags:
  • Datenübermittlungen
  • EU-US-Privacy Shield
  • EuGH
  • Schrems II
  • Standardvertragsklauseln
  • USA
Lesen