Aktuelles, Experten - geschrieben von dp am Freitag, Juli 24, 2020 22:13 - noch keine Kommentare
Schrems II: LfDI RLP wird Einhaltung kontrollieren
Unternehmen müssen laut LfDI RLP Unzulässigkeit des Datenexports auf Basis des „Privacy Shield“ akzeptieren
[datensicherheit.de, 24.07.2020] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) geht in seiner aktuellen Stellungnahme auf seine Konsequenzen aus dem EuGH-Urteil „Schrems II“ ein. Der EuGH hatte Datenübermittlungen in die USA auf der Grundlage des sog. Privacy Shield für unzulässig erklärt. Der „Privacy Shield“ ist demnach ungültig und kann keine Datenübermittlung in die USA mehr rechtfertigen. „Als Konsequenz aus diesem Urteil wird der LfDI Rheinland-Pfalz zeitnah an Unternehmen herantreten, um festzustellen, ob sie in der Vergangenheit ihre Datenübermittlung in die USA auf das Privacy Shield gestützt haben. Da dies ab sofort nicht mehr möglich ist, müssen von dem Verantwortlichen Maßnahmen getroffen und erläutert werden, wie künftig die entsprechenden Datenverarbeitungen gestaltet sein werden.“ Dazu müssten die Unternehmen aussagefähig sein.
FAQ des European Data Protection Board zum EuGH-Urteil „Schrems II“
LfDI RLP: Standardvertragsklauseln ggf. durch weitere Vereinbarungen ergänzen
Die Datenübermittlung in die USA und sonstige Drittstaaten außerhalb der Europäischen Union (EU) auf der Grundlage von „Standardvertragsklauseln“ sei und bleibe möglich. „Sie ist aber voraussetzungsvoll. Die Standardvertragsklauseln müssen ggf. durch weitere Vereinbarungen oder Elemente ergänzt werden, um sicherzustellen, dass bei der Datenübermittlung in den Drittstaat das angemessene Schutzniveau erhalten ist.“
Für Datenübermittlungen in die USA bedeute dies, dass erhebliche Anstrengungen der Verantwortlichen erforderlich seien, die vermutlich nur in seltenen Fällen als ausreichend angesehen werden könnten. Dies sei aber eine Frage des Einzelfalles. Zugleich müssten die Verantwortlichen ihre Datenübermittlungen in andere Drittstaaten, z.B. Indien, China oder Russland daraufhin prüfen, „ob sie dem Datenschutzniveau entsprechen, das die Datenschutz-Grundverordnung verlangt“. Dies sei vorher schon so gewesen und nunmehr erst recht dringend erforderlich – „hier werden einschlägige Nachprüfungen angeraten“. Der LfDI Rheinland-Pfalz werde im Rahmen von Beschwerden oder ansonsten mittelfristig auf Unternehmen zukommen, um entsprechende Darlegungen zu erhalten.
LfDI RLP: Unternehmen sollten europäische Lösungen anstreben
Der LfDI Rheinland-Pfalz weist darauf hin, „dass Verantwortliche ihre Datenübermittlungen aussetzen müssen, wenn diese den Anforderungen der Datenschutz-Grundverordnung, wie sie der EuGH in dem Urteil ,Schrems II‘ konkretisiert hat, nicht entsprechen“. Darüber hinaus müssen die Verantwortlichen die personenbezogenen Daten, die bis dahin auf der Grundlage des „Privacy Shield“ übermittelt wurden, zurückfordern bzw. vernichten lassen und hierüber eine Dokumentation vorhalten. Falls die Verantwortlichen dies nicht tun, werde der LfDI RLP entsprechende Maßnahmen ergreifen. „Im Fall von Untätigkeit oder nachhaltiger Unwilligkeit der Unternehmen, kommen auch weitere Sanktionen in Betracht.“
Der LfDI Rheinland-Pfalz rät zu Prüfungen, „ob und inwieweit Datenübermittlungen in Drittstaaten außerhalb der EU in konkreten Zusammenhängen zwingend erforderlich sind“. Lösungen, die sich innerhalb der EU abspielen, „waren und sind nach wie vor vorzugswürdig und deutlich unproblematischer“. Es könne vermutet werden, dass Wirtschaftsunternehmen mit Hauptsitz in den USA ihre Strukturen daraufhin überprüfen, „ob europäische Lösungen, die keine Datenübermittlung in die USA beinhalten, möglich sind“. Derartige Überlegungen sollten die Geschäftspartner von solchen Unternehmen im Auge behalten.
LfDI RLP: So früh wie möglich Hilfestellungen und Empfehlungen geben
Falls der LfDI Rheinland-Pfalz auf rechtswidrige Datenübermittlungen in Drittstaaten stößt, stünden ihm sämtliche von der DSGVO vorgesehenen Abhilfemaßnahmen zur Verfügung. Konkret kämen insbesondere entsprechende Anordnungen in Frage, „mit denen ein rechtswidriger Zustand abgestellt wird“. Im Fall von anhaltenden und nachhaltigen Verstößen stünden auch Geldbußen im Raum.
Die deutschen und europäischen Datenschutzaufsichtsbehörden arbeiteten an Empfehlungen, wie Datenübermittlungen in Drittstaaten rechtssicher gestaltet werden könnten. Hierbei gehe es etwa um zusätzliche Vorkehrungen, die mit „Standardvertragsklauseln“ zusammen die internationalen Datenübermittlungen weiterhin tragen würden. Angesichts der dynamischen Entwicklung der Materie werde der LfDI Rheinland-Pfalz in Kooperation mit den anderen Datenschutzaufsichtsbehörden die Sachlage beobachten und „so früh wie möglich Hilfestellungen und Empfehlungen geben, um Unternehmen die Aufrechterhaltung von Datenübermittlungen in Drittstaaten zu ermöglichen“.
Weitere Informationen zum Thema:
InfoCuria Rechtsprechung
C-311/18 – Facebook Ireland und Schrems
Der Landesbeauftragte für den DATENSCHUTZ und die INFORMATIONSFREIHEIT Rheinland-Pfalz
Datenübermittlungen in Drittländer
edpb European Data Protection Board, 23.07.2020
Frequently Asked Questionson the judgment of the Court of Justice of the European Union in Case C-311/18 – Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems
datensicherheit.de, 20.07.2020
Privacy Shield: Deutsche Wirtschaft holt Daten zurück
datensicherheit.de, 18.07.2020
Privacy Shield: Ungültigkeit als Vorstoß für mehr Datenschutz / Stärkung für den Datenschutz Europas – Schutz der Privatsphäre und sicherer kommerzieller Datenaustausch
datensicherheit.de, 18.07.2020
Privacy Shield: Tipps für Unternehmen nach EuGH-Urteil
datensicherheit.de, 17.07.2020
BlnBDI fordert digitale Eigenständigkeit für Europa / Nach „Schrems II“ drängt die BlnBDI, Maja Smoltczyk, datenverarbeitende Stellen in Berlin, die in den USA gespeicherte personenbezogene Daten zu verlagern
datensicherheit.de, 16.07.2020
EuGH-Entscheidung: Privacy Shield suspendiert
Aktuelles, Experten - Nov 22, 2024 18:30 - noch keine Kommentare
Mal wieder IP-Datenspeicherung angestrebt: DAV fordert nachdrücklich, Überwachungsphantasien abzustellen
weitere Beiträge in Experten
- ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
Aktuelles, Branche - Nov 23, 2024 11:35 - noch keine Kommentare
Black Friday: 89 Prozent mehr ominöse Shopping-Websites als 2023
weitere Beiträge in Branche
- PyPI-Lieferkette im Visier: Kaspersky deckte Cyber-Angriff auf
- Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle
- Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren