Schrems II als Dilemma für KMU

Mit dem Urteil des EuGH wächst der Druck auf KMU

[datensicherheit.de, 21.01.2021] Zum „Europäischen Datenschutztag“ am 28. Januar 2021 wirft Mareike Vogt, Fachexpertin für Datenschutz beim TÜV SÜD, einen Blick auf die größten Herausforderungen, welche das Thema Datenschutz im Jahr 2021 für kleine und mittlere Unternehmen (KMU) bereithält. Vor 40 Jahren sei die europäische Datenschutzkonvention unterzeichnet worden, weshalb jährlich am 28. Januar der „Europäische Datenschutztag“ begangen werde. Der Datenschutz stelle nun Unternehmen weiterhin vor große Herausforderungen: Mit dem Urteil des Europäischen Gerichtshof (EuGH) in Sachen „Schrems II“ wachse der Druck auf KMU, ihre Prozesse und Abläufe neu zu evaluieren und den Regularien der EU-DSGVO anzupassen.

Foto: TÜV SÜD

Mareike Vogt: KMU müssen Prozesse sowie Soft- und Hardware schleunigst anpassen

Nachlässigkeit der Politik stellt jetzt besonders KMU vor große Schwierigkeiten

Die EU-DSGVO gebe vor, dass der Transfer personenbezogener Daten an einen Staat außerhalb von EU/EWR unter anderem nur erlaubt sei, wenn die Zielländer oder -organisationen einen gleichwertigen Datenschutz zur EU-DSGVO garantierten. Diese Anforderung erfüllten beispielsweise die USA nicht, weswegen der „EU Privacy Shield“ vom EuGH in der Klage „Schrems II“ gekippt worden sei.
„Laut vieler Experten war dies bereits abzusehen, seit das Abkommen eingeführt wurde.“ Die Nachlässigkeit der Politik stelle jetzt besonders KMU vor große Schwierigkeiten: „Es gilt, die eigenen Prozesse und die dabei genutzte Soft- und Hardware (beispielsweise Rechenzentren) schleunigst anzupassen.“

KMU mit „as-a-Service“-Diensten müssen Verträge überprüfen

KMU griffen in ihrer täglichen Arbeit meist auf Software-Lösungen und „as-a-Service“-Dienste von größeren, etablierten Anbietern zurück oder sie richteten sich nach den Prozessen und Anforderungen ihrer Kunden. Um sicherzugehen, „dass die verarbeiteten personenbezogenen Daten dem Urteil entsprechend geschützt werden, muss dies nun alles überprüft werden“. Sollten KMU nämlich Standardvertragsklauseln als Garantie mit den Anbietern der Dienste abgeschlossen haben, so könne es sein, dass diese ebenfalls durch „Schrems II“ beeinflusst würden.

Oftmals genügten diese Klauseln nicht zum Schutz der personenbezogenen Daten innerhalb der USA und weitere technische Maßnahmen müssten ergriffen werden. „Hinzu kommt, dass enorm viele Daten, auf den ersten Blick hinter Subdienstleistern versteckt, in die USA fließen oder dort auf Servern lagern, obwohl die Anbieter eigentlich ein europäisches Unternehmen sind oder hier Niederlassungen haben.“ Vogt warnt: Sind die Anbieter nicht in der Lage, sich dem Urteil anzupassen, so seien auch die KMU in der Pflicht, sich sofort nach neuen Lösungen umzusehen oder sogar die Dienste selbst zu stellen, beispielsweise „on premise“, also über eigene Server.

KMU, welche DSGVO nicht nachkommen, drohen Bußgelder und Bloßstellung

Viele KMU seien mit großen Herausforderungen durch „Schrems II“ konfrontiert. „Wer es versäumt, der EU-DSGVO nachzukommen, dem drohen empfindliche Bußgelder und die öffentliche Bloßstellung durch zivile Organisationen, wie zum Beispiel ,NOYB‘, die sich dem Datenschutz verschrieben haben.“ Diese schreckten nicht davor zurück, Unternehmen auch einmal an einen „digitalen Pranger“ zu stellen.
Vielen Firmen mangele es außerdem an entsprechenden Fachkräften, um die Forderungen umzusetzen. Es gebe jedoch einen einfachen Ausweg für die KMU aus diesem Dilemma: „Unabhängige Berater und extern benannte Datenschutzbeauftragte sind zugelassen und entlasten nicht nur das Unternehmen selbst, sondern garantieren zudem eine objektive Bewertung der Sachlage.“ Mit deren Hilfe könnten auch kleine und mittlere Betriebe ohne zu großen Aufwand ihre Systeme und Prozesse an die neue Situation anpassen, empfiehlt Vogt.

Weitere Informationen zum Thema:

edpb EUROPEAN DATA PROTECTION BOARD, 10.11.2020
Adopted -version for public consultations1Recommendations01/2020on measuresthat supplement transfer tools to ensure compliance with the EU level of protection of personal data

noyb
EU-US Transfers Complaint Overview

datensicherheit.de, 01.08.2020
Privacy Shield: Gemeinsame Stellungnahme deutscher Datenschützer / Stellungnahme zur Datenübermittlungen in Drittstaaten nach einschlägigem EuGH-Urteil

datensicherheit.de, 20.07.2020
TeleTrusT: Handlungsempfehlungen nach Aus für Privacy Shield / Stellungnahme des Bundesverbandes IT-Sicherheit e.V. (TeleTrusT) zum Urteil des EuGH

datensicherheit.de, 18.07.2020
Privacy Shield: Tipps für Unternehmen nach EuGH-Urteil / Dr. Martin Pflüger und Dr. Christian Tinnefeld geben Empfehlungen für Unternehmen