29. Juli 2020
Mittlerweile liegen die ersten Stellungnahmen der Datenschutzaufsichtsbehörden zum Urteil „Schrems II“ des Europäischen Gerichtshofs (EuGH) vor. Allerdings besteht auch weiterhin große Unsicherheit, wie fortan mit Datenübermittlungen in Drittländer, die kein angemessenes Datenschutzniveau aufweisen, umzugehen ist. Unternehmen sollten gleichwohl nicht untätig bleiben und ihre Datenübermittlungen in Drittländer auf Grundlage der nachfolgenden Handlungsempfehlungen überprüfen. In diesem Zusammenhang ergriffene Maßnahmen sind zu Nachweiszwecken zu dokumentieren.
Stellung dazu bezogen werden, ob diese unter die vom EuGH diskutierten Vorschriften 50 US Code § 1881a (Section 702 des US Foreign Intelligence Surveillance Act [FISA]) fallen oder US-Behörden personenbezogene Daten gemäß Executive Order 12.333 oder sonstiger US-Vorschriften mit vergleichbarer Zielsetzung (z.B. der US Cloud Act) zur Verfügung stellen.
Abhängig von dem Ergebnis der Stellungnahme muss dann entschieden werden, ob die Datenübermittlung
oder
In jedem Fall gilt: Sofern das EU-US Privacy Shield bisher die einzige Grundlage der Datenübermittlung war,ist zwingend eine Umstellung auf eine andere geeignete Garantie gemäß Art. 46 DSGVO erforderlich.
Der EuGH in seinem Urteil „Schrems II“, der Europäische Datenschutzausschuss (EDPB) in seinen FAQ vom 23.07.2020 sowie die Deutsche Datenschutzkonferenz (DSK) in ihrer Pressemitteilung vom 28.07.2020 haben klar zum Ausdruck gebracht, dass ein Datenexporteur in jedem Einzelfall das Datenschutzniveau im Empfängerland überprüfen und ggf. zusätzliche Garantien treffen muss. Diese Anforderung ist nicht auf die USA beschränkt, sondern gilt für alle Drittstaaten, wie z.B. Indien, China und demnächst (ab dem 01.01.2021) auch das Vereinigte Königreich.
Da von Seiten der Datenschutzaufsichtsbehörden wiederholt klargestellt wird, dass es keine Übergangsfrist gibt, sollten die vorstehenden drei Schritte zeitnah umgesetzt werden.
PDF-Version: Erste Handlungsempfehlungen im Anschluss an das EuGH-Urteil Schrems II
von Dr. Nicolai Wiegand, LL.M. (NYU) und Alexander Schmalenberger, LL.B.
von Dr. Nicolai Wiegand, LL.M. (NYU) und Alexander Schmalenberger, LL.B.