Schrems II: LfDI RLP wird Einhaltung kontrollieren

Unternehmen müssen laut LfDI RLP Unzulässigkeit des Datenexports auf Basis des „Privacy Shield“ akzeptieren

[datensicherheit.de, 24.07.2020] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) geht in seiner aktuellen Stellungnahme auf seine Konsequenzen aus dem EuGH-Urteil „Schrems II“ ein. Der EuGH hatte Datenübermittlungen in die USA auf der Grundlage des sog. Privacy Shield für unzulässig erklärt. Der „Privacy Shield“ ist demnach ungültig und kann keine Datenübermittlung in die USA mehr rechtfertigen. „Als Konsequenz aus diesem Urteil wird der LfDI Rheinland-Pfalz zeitnah an Unternehmen herantreten, um festzustellen, ob sie in der Vergangenheit ihre Datenübermittlung in die USA auf das Privacy Shield gestützt haben. Da dies ab sofort nicht mehr möglich ist, müssen von dem Verantwortlichen Maßnahmen getroffen und erläutert werden, wie künftig die entsprechenden Datenverarbeitungen gestaltet sein werden.“ Dazu müssten die Unternehmen aussagefähig sein.

Abbildung: epbd

FAQ des European Data Protection Board zum EuGH-Urteil „Schrems II“

LfDI RLP: Standardvertragsklauseln ggf. durch weitere Vereinbarungen ergänzen

Die Datenübermittlung in die USA und sonstige Drittstaaten außerhalb der Europäischen Union (EU) auf der Grundlage von „Standardvertragsklauseln“ sei und bleibe möglich. „Sie ist aber voraussetzungsvoll. Die Standardvertragsklauseln müssen ggf. durch weitere Vereinbarungen oder Elemente ergänzt werden, um sicherzustellen, dass bei der Datenübermittlung in den Drittstaat das angemessene Schutzniveau erhalten ist.“
Für Datenübermittlungen in die USA bedeute dies, dass erhebliche Anstrengungen der Verantwortlichen erforderlich seien, die vermutlich nur in seltenen Fällen als ausreichend angesehen werden könnten. Dies sei aber eine Frage des Einzelfalles. Zugleich müssten die Verantwortlichen ihre Datenübermittlungen in andere Drittstaaten, z.B. Indien, China oder Russland daraufhin prüfen, „ob sie dem Datenschutzniveau entsprechen, das die Datenschutz-Grundverordnung verlangt“. Dies sei vorher schon so gewesen und nunmehr erst recht dringend erforderlich – „hier werden einschlägige Nachprüfungen angeraten“. Der LfDI Rheinland-Pfalz werde im Rahmen von Beschwerden oder ansonsten mittelfristig auf Unternehmen zukommen, um entsprechende Darlegungen zu erhalten.

LfDI RLP: Unternehmen sollten europäische Lösungen anstreben

Der LfDI Rheinland-Pfalz weist darauf hin, „dass Verantwortliche ihre Datenübermittlungen aussetzen müssen, wenn diese den Anforderungen der Datenschutz-Grundverordnung, wie sie der EuGH in dem Urteil ,Schrems II‘ konkretisiert hat, nicht entsprechen“. Darüber hinaus müssen die Verantwortlichen die personenbezogenen Daten, die bis dahin auf der Grundlage des „Privacy Shield“ übermittelt wurden, zurückfordern bzw. vernichten lassen und hierüber eine Dokumentation vorhalten. Falls die Verantwortlichen dies nicht tun, werde der LfDI RLP entsprechende Maßnahmen ergreifen. „Im Fall von Untätigkeit oder nachhaltiger Unwilligkeit der Unternehmen, kommen auch weitere Sanktionen in Betracht.“
Der LfDI Rheinland-Pfalz rät zu Prüfungen, „ob und inwieweit Datenübermittlungen in Drittstaaten außerhalb der EU in konkreten Zusammenhängen zwingend erforderlich sind“. Lösungen, die sich innerhalb der EU abspielen, „waren und sind nach wie vor vorzugswürdig und deutlich unproblematischer“. Es könne vermutet werden, dass Wirtschaftsunternehmen mit Hauptsitz in den USA ihre Strukturen daraufhin überprüfen, „ob europäische Lösungen, die keine Datenübermittlung in die USA beinhalten, möglich sind“. Derartige Überlegungen sollten die Geschäftspartner von solchen Unternehmen im Auge behalten.

LfDI RLP: So früh wie möglich Hilfestellungen und Empfehlungen geben

Falls der LfDI Rheinland-Pfalz auf rechtswidrige Datenübermittlungen in Drittstaaten stößt, stünden ihm sämtliche von der DSGVO vorgesehenen Abhilfemaßnahmen zur Verfügung. Konkret kämen insbesondere entsprechende Anordnungen in Frage, „mit denen ein rechtswidriger Zustand abgestellt wird“. Im Fall von anhaltenden und nachhaltigen Verstößen stünden auch Geldbußen im Raum.
Die deutschen und europäischen Datenschutzaufsichtsbehörden arbeiteten an Empfehlungen, wie Datenübermittlungen in Drittstaaten rechtssicher gestaltet werden könnten. Hierbei gehe es etwa um zusätzliche Vorkehrungen, die mit „Standardvertragsklauseln“ zusammen die internationalen Datenübermittlungen weiterhin tragen würden. Angesichts der dynamischen Entwicklung der Materie werde der LfDI Rheinland-Pfalz in Kooperation mit den anderen Datenschutzaufsichtsbehörden die Sachlage beobachten und „so früh wie möglich Hilfestellungen und Empfehlungen geben, um Unternehmen die Aufrechterhaltung von Datenübermittlungen in Drittstaaten zu ermöglichen“.

Weitere Informationen zum Thema:

InfoCuria Rechtsprechung
C-311/18 – Facebook Ireland und Schrems

Der Landesbeauftragte für den DATENSCHUTZ und die INFORMATIONSFREIHEIT Rheinland-Pfalz
Datenübermittlungen in Drittländer

edpb European Data Protection Board, 23.07.2020
Frequently Asked Questionson the judgment of the Court of Justice of the European Union in Case C-311/18 – Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems

datensicherheit.de, 20.07.2020
Privacy Shield: Deutsche Wirtschaft holt Daten zurück

datensicherheit.de, 18.07.2020
Privacy Shield: Ungültigkeit als Vorstoß für mehr Datenschutz / Stärkung für den Datenschutz Europas – Schutz der Privatsphäre und sicherer kommerzieller Datenaustausch

datensicherheit.de, 18.07.2020
Privacy Shield: Tipps für Unternehmen nach EuGH-Urteil

datensicherheit.de, 17.07.2020
BlnBDI fordert digitale Eigenständigkeit für Europa / Nach „Schrems II“ drängt die BlnBDI, Maja Smoltczyk, datenverarbeitende Stellen in Berlin, die in den USA gespeicherte personenbezogene Daten zu verlagern

datensicherheit.de, 16.07.2020
EuGH-Entscheidung: Privacy Shield suspendiert