Aktuelles, Experten - geschrieben von dp am Mittwoch, Juni 2, 2021 20:39 - noch keine Kommentare
Schrems II: Koordinierte Prüfung internationaler Datentransfers gestartet
Länderübergreifende Kontrolle der Datenübermittlungen von Unternehmen in Staaten außerhalb der EU im Kontext des EuGH-Urteils Schrems II
[datensicherheit.de, 02.06.2021] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) geht in seiner aktuellen Stellungnahme auf die länderübergreifende Kontrolle der Datenschutzaufsichtsbehörden von Unternehmen zur Umsetzung der „Schrems II“-Entscheidung des Europäischen Gerichtshofs (EuGH) ein. Angesichts der Betroffenheit vieler Unternehmen lasse sich ein einheitlicher Vollzug dabei nur sehr schwer herstellen – aber die Augen zu verschließen sei keine Lösung.
Prof. Dr. Johannes Caspar: Schlüssel für Grundrecht Informationeller Selbstbestimmung in den Empfängerstaaten
Anforderungen laut EuGH-Entscheidung Schrems II vom 16. Juli 2020
Im Rahmen einer länderübergreifenden Kontrolle werden demnach Datenübermittlungen durch Unternehmen in Staaten außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (Drittstaaten) überprüft. Das Ziel sei die breite Durchsetzung der Anforderungen des EuGH in seiner „Schrems II“-Entscheidung vom 16. Juli 2020 (Rs. C-311/18).
Darin habe das Gericht festgestellt, dass Übermittlungen in die USA nicht länger auf Basis des sogenannten „Privacy Shield“ erfolgen könnten. Der Einsatz der sogenannten Standarddatenschutzklauseln für Datenübermittlungen in Drittstaaten sei ferner nur noch unter Verwendung wirksamer zusätzlicher Maßnahmen ausreichend, „wenn die Prüfung des Verantwortlichen ergeben hat, dass im Empfängerstaat kein gleichwertiges Schutzniveau für die personenbezogenen Daten gewährleistet werden kann“.
Behörden müssen nach Schrems II unzulässige Transfers aussetzen oder verbieten
Dieses Urteil des EuGH erfordere in vielen Fällen eine grundlegende Umstellung lange praktizierter Geschäftsmodelle und -abläufe. „Die an der Kontrolle teilnehmenden Behörden schreiben nun die jeweils ausgewählten Unternehmen auf der Basis eines gemeinsamen Fragenkatalogs an.“ Dabei werde es unter anderem um den Einsatz von Dienstleistern zum E-Mail-Versand, zum Hosting von Internetseiten, zum Webtracking, zur Verwaltung von Bewerberdaten und um den konzerninternen Austausch von Kundendaten und Daten der Beschäftigten gehen.
Jede Aufsichtsbehörde entscheide individuell, in welchen dieser Themenfelder sie tätig wird. Der Gerichtshof habe seine Erwartung klar formuliert, dass die Behörden unzulässige Transfers „aussetzen oder verbieten“. Das Aussetzen einer Übermittlung könne voraussichtlich in vielen Fällen im kooperativen Dialog mit den Unternehmen gelingen. „Wo dies nicht möglich ist, wird mit den zur Verfügung stehenden aufsichtsbehördlichen Maßnahmen reagiert.“
Schrems II und Umsetzung des Grundsatzes der Digitalen Souveränität
Die Aufsichtsbehörden seien sich der „besonderen Herausforderungen, die das EuGH-Urteil zu ,Schrems II‘ für die Unternehmen in Deutschland und Europa mit sich bringt“, bewusst. Sie stehen laut HmbBfDI für Verständnisfragen auch im weiteren Verlauf des Prüfungsverfahrens zur Verfügung, „soweit dies nach Maßgabe der vorhandenen Kapazitäten möglich ist“. Angesichts der Betroffenheit vieler Unternehmen lasse sich ein einheitlicher Vollzug hier nur sehr schwer herstellen. „Aber die Augen zu verschließen ist keine Lösung“, betont Prof. Dr. Johannes Caspar, der HmbBfDI.
Häufig werde ein grenzüberschreitender Datenverkehr bereits durch die Nutzung von handelsüblichen Diensten zur Bürokommunikation ausgelöst, ohne dass ein direkter internationaler Austausch der Daten im Geschäftsverkehr durch die jeweiligen Unternehmen überhaupt bezweckt werde. Gerade zur Bürokommunikation oder der Datenspeicherung könne gewöhnlich auf Dienste ohne unzulässige Drittstaatenübermittlung zurückgegriffen werden. Die Umsetzung des Grundsatzes der Digitalen Souveränität werde diese Möglichkeiten in Europa künftig weiter erleichtern.
Schrems II setzt für viele Unternehmen nicht selbst zu verantwortende Hürden
Die Fragebogenaktion solle nun insoweit vor allem dazu beitragen, den Unternehmen Lösungen mit angemessenem Datenschutzniveau zu unterbreiten. Das „Schrems II“-Urteil setze für viele Unternehmen Hürden, aus Gründen, für die sie letztlich nicht selbst verantwortlich seien. Es sei daher immer wieder daran zu erinnern, „dass der Schlüssel für das Grundrecht der Informationellen Selbstbestimmung in den Empfängerstaaten liegt“.
Gerade die Politik in den USA sollte laut HmbBfDI erkennen: „Geeignete Garantien gegenüber dem Zugriff der US-Sicherheitsbehörden zum Schutz der übermittelten Daten sowie ein wirksamer Rechtsschutz für Menschen aus der EU sind zentrale Voraussetzung für einen freien Datenverkehr. Eine Lösung liegt im beiderseitigen Interesse.“
Weitere Informationen zum Thema:
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Koordinierte Prüfung internationaler Datentransfers
datensicherheit.de, 13.05.2021
Schrems II: Informationsoffensive in Rheinland-Pfalz / Wer bei Datenübermittlungen in Drittländer noch nicht auf Rechtslage nach dem Urteil Schrems II reagiert hat, sollte umgehend handeln
datensicherheit.de, 21.01.2021
Schrems II als Dilemma für KMU / Mit dem Urteil des EuGH wächst der Druck auf KMU
datensicherheit.de, 24.07.2020
Schrems II: LfDI RLP wird Einhaltung kontrollieren / Unternehmen müssen laut LfDI RLP Unzulässigkeit des Datenexports auf Basis des „Privacy Shield“ akzeptieren
Aktuelles, Experten - Nov 22, 2024 18:30 - noch keine Kommentare
Mal wieder IP-Datenspeicherung angestrebt: DAV fordert nachdrücklich, Überwachungsphantasien abzustellen
weitere Beiträge in Experten
- ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
Aktuelles, Branche - Nov 23, 2024 11:35 - noch keine Kommentare
Black Friday: 89 Prozent mehr ominöse Shopping-Websites als 2023
weitere Beiträge in Branche
- PyPI-Lieferkette im Visier: Kaspersky deckte Cyber-Angriff auf
- Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle
- Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren