Privacy Shield Urteil

Erste Konsequenzen der Aufsichtsbehörden aufgrund des Verbots des Privacy Shields

Die Datenschutzaufsichtsbehörden fordern aufgrund des Verbots des Privacy Shields Auskunft darüber, wie künftig die Datenübermittlungen in die USA gestaltet werden. Außerdem hat sich der Europäische Datenschutzausschuss (EDSA) auf Antworten zu den wichtigsten Fragen zu den Konsequenzen aus dem Urteil des Europäischen Gerichtshofs geeinigt.

Der EDSA hat sich am 23. Juli 2020 auf Antworten zu den wichtigsten Fragen zu den Konsequenzen aus dem Schrems II – Urteil des Europäischen Gerichtshofs zum Datentransfer in Länder außerhalb der EU geeinigt.

Nach Ansicht des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) Professor Ulrich Kelber hat der EDSA mit der Veröffentlichung dieser Frequently Asked Questions (FAQ) entscheidende Fragen geklärt, die sich nach dem Urteil stellen. So stellt der EDSA beispielsweise fest, dass es keine ‚Gnadenfrist‘ für Datenverarbeitungen auf Grundlage des vom Europäischen Gerichtshof für ungültig erklärten „Privacy Shield“ geben wird. Die Umstellung muss ohne Verzögerung begonnen werden.

Zudem gibt das Dokument Hinweise zur Zukunft der sogenannten Standardvertragsklauseln. Dazu sagte Professor Kelber: „Standardvertragsklauseln sind weiterhin eine mögliche Grundlage für den Datentransfer. Eine Übermittlung von Daten in die USA kann allerdings nur dann über Standardvertragsklauseln begründet werden, wenn zusätzliche Maßnahmen getroffen werden, die das gleiche Datenschutzniveau wie in der Europäischen Union gewährleisten. Dabei müssen die Umstände der Datentransfers von Fall zu Fall betrachtet werden. Das gilt auch für die Übermittlung in andere Länder.“

Der EDSA erklärt außerdem, welche Maßnahmen ergriffen werden müssen, wenn die Datenverarbeitung von Unternehmen und Behörden über einen externen Dienstleister läuft: „Wer nicht weiß, ob bei der Datenverarbeitung auch Daten in ein Drittland gesendet werden, muss jetzt seine Verträge mit den Dienstleistern prüfen.“

Das Dokument sei aber nicht abschließend. Der EDSA werde weitere Antworten ergänzen. Jetzt komme es darauf an, dass die europäischen Datenschutzaufsichtsbehörden ihre beaufsichtigten Stellen intensiv zu alternativen Grundlagen für den internationalen Datenaustausch beziehungsweise Umstellungen beraten.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz hebt in einer Pressemittelung vom 24.07.2020 hervor, dass der Privacy Shield ungültig sei und keine Datenübermittlung in die USA rechtfertige könne. Als Konsequenz aus diesem Urteil werde der LfDI Rheinland-Pfalz zeitnah an Unternehmen herantreten, um festzustellen, ob sie in der Vergangenheit ihre Datenübermittlung in die USA auf das Privacy Shield gestützt haben. Da dies ab sofort nicht mehr möglich sei, müssten von dem Verantwortlichen Maßnahmen getroffen und erläutert werden, wie künftig die entsprechenden Datenverarbeitungen gestaltet sein werden.

Datenübermittlung in die USA und sonstige Drittstaaten außerhalb der Europäischen Union seien auf der Grundlage von Standardvertragsklauseln weiterhin möglich, sie müssten aber ggf. durch weitere Vereinbarungen oder Elemente ergänzt werden, um sicherzustellen, dass bei der Datenübermittlung in den Drittstaat das angemessene Schutzniveau erhalten ist. Für Datenübermittlungen in die USA bedeute dies, dass erhebliche Anstrengungen der Verantwortlichen erforderlich seien, die vermutlich nur in seltenen Fällen als ausreichend angesehen werden könnten. Dies sei eine Frage des Einzelfalles. Zugleich müssten die Verantwortlichen ihre Datenübermittlungen in andere Drittstaaten, z.B. Indien, China oder Russland daraufhin prüfen, ob sie dem Datenschutzniveau entsprechen, das die Datenschutz-Grundverordnung verlangt.

Der LfDI Rheinland-Pfalz weist darauf hin, dass Verantwortliche ihre Datenübermittlungen aussetzen müssen, wenn diese den Anforderungen der Datenschutz-Grundverordnung, wie sie der EuGH in dem Urteil Schrems II konkretisiert hat, nicht entsprechen. Darüber hinaus müssten die Verantwortlichen die personenbezogenen Daten, die bis dahin auf der Grundlage des Privacy Shield übermittelt wurden, zurückfordern bzw. vernichten lassen und hierüber eine Dokumentation vorhalten. Falls die Verantwortlichen dies nicht tun, werde der LfDI Rheinland-Pfalz entsprechende Maßnahmen ergreifen. Im Fall von Untätigkeit oder nachhaltiger Unwilligkeit der Unternehmen, kämen auch weitere Sanktionen in Betracht: „Falls der LfDI Rheinland-Pfalz auf rechtswidrige Datenübermittlungen in Drittstaaten stößt, stehen ihm sämtliche von der Datenschutz-Grundverordnung vorgesehenen Abhilfemaßnahmen zur Verfügung. Konkret kommen insbesondere entsprechende Anordnungen in Frage, mit denen ein rechtswidriger Zustand abgestellt wird. Im Fall von anhaltenden und nachhaltigen Verstößen stehen auch Geldbußen im Raum.“

Fundstellen: