Mittlerweile liegen die ersten Stellungnahmen der Datenschutzaufsichtsbehörden zum Urteil „Schrems II“ des Europäischen Gerichtshofs (EuGH) vor. Allerdings besteht auch weiterhin große Unsicherheit, wie fortan mit Datenübermittlungen in Drittländer, die kein angemessenes Datenschutzniveau aufweisen, umzugehen ist. Unternehmen sollten gleichwohl nicht untätig bleiben und ihre Datenübermittlungen in Drittländer auf Grundlage der nachfolgenden Handlungsempfehlungen überprüfen. In diesem Zusammenhang ergriffene Maßnahmen sind zu Nachweiszwecken zu dokumentieren.
- Im ersten Schritt sollte geprüft werden, welche US-Datenimporteure sich auf das nun ungültige EU-US Privacy Shield stützen. Hierfür wird man im Wesentlichen in die Verträge zur Auftragsverarbeitung gemäß Art. 28 DSGVO (nachstehend „AV-Verträge“) mit den entsprechenden Vertragspartnern (Auftragsverarbeiter gemäß Art. 4 Nr. 8) schauen müssen. Betroffen kann aber auch die Verarbeitung von personenbezogenen Daten zwischen zwei datenschutzrechtlich Verantwortlichen (Art. 4 Nr. 7 DSGVO) sein. Schließlich sollte auch geprüft werden, ob Auftragsverarbeiter, die ihren Sitz in Deutschland bzw. Europa haben, wiederum Unterauftragsverarbeiter in den USA beauftragt haben. Auch hier sollte geprüft werden, ob sich diese Unterauftragsverarbeiter auf das EU-US Privacy Shield stützen.
- Im zweiten Schritt sollten die US-Datenimporteure (Auftragsverarbeiter und Verantwortliche) identifiziert werden, bei denen die Datenübermittlung auf einer anderen Garantie gemäß Art. 46 DSGVO beruht, wie z.B. EU-Standardvertragsklauseln und verbindliche interne Datenschutzvorschriften (sog. Binding Corporate Rules).
- Im dritten Schritt sollten die unter Schritt 1 und 2 identifizierten US-Datenimporteure mit der Aufforderung angeschrieben werden, zu erläutern, inwieweit US-Behörden auf die übermittelten personenbezogenen Daten zugreifen können. Dabei sollte insbesondere seitens der USDatenimporteure
Stellung dazu bezogen werden, ob diese unter die vom EuGH diskutierten Vorschriften 50 US Code § 1881a (Section 702 des US Foreign Intelligence Surveillance Act [FISA]) fallen oder US-Behörden personenbezogene Daten gemäß Executive Order 12.333 oder sonstiger US-Vorschriften mit vergleichbarer Zielsetzung (z.B. der US Cloud Act) zur Verfügung stellen.
Abhängig von dem Ergebnis der Stellungnahme muss dann entschieden werden, ob die Datenübermittlung
- in der gegenwärtigen Form aufrechterhalten werden kann;
- durch zusätzliche Garantien abgesichert werden kann, wobei es sich dabei wohl um technische Maßnahmen
handeln wird, wie z.B. eine wirksame Verschlüsselung im Gegensatz zu bloß vertraglichen Regelungen;
oder
- ob die personenbezogenen Daten zurückgeholt werden müssen.
In jedem Fall gilt: Sofern das EU-US Privacy Shield bisher die einzige Grundlage der Datenübermittlung war,ist zwingend eine Umstellung auf eine andere geeignete Garantie gemäß Art. 46 DSGVO erforderlich.
ACHTUNG:
Der EuGH in seinem Urteil „Schrems II“, der Europäische Datenschutzausschuss (EDPB) in seinen FAQ vom 23.07.2020 sowie die Deutsche Datenschutzkonferenz (DSK) in ihrer Pressemitteilung vom 28.07.2020 haben klar zum Ausdruck gebracht, dass ein Datenexporteur in jedem Einzelfall das Datenschutzniveau im Empfängerland überprüfen und ggf. zusätzliche Garantien treffen muss. Diese Anforderung ist nicht auf die USA beschränkt, sondern gilt für alle Drittstaaten, wie z.B. Indien, China und demnächst (ab dem 01.01.2021) auch das Vereinigte Königreich.
Da von Seiten der Datenschutzaufsichtsbehörden wiederholt klargestellt wird, dass es keine Übergangsfrist gibt, sollten die vorstehenden drei Schritte zeitnah umgesetzt werden.
PDF-Version: Erste Handlungsempfehlungen im Anschluss an das EuGH-Urteil Schrems II
