Wie geht es nach \u201eSchrems II\u201c weiter mit internationalen Datentransfers? Mit dem \u201eSchrems-II\u201c-Urteil vom 16. Juli 2020 (Az. C-311\/18) erkl\u00e4rte der Europ\u00e4ische Gerichtshof (EuGH) die \u00dcbermittlung personenbezogener Daten in die USA auf der Grundlage des \u201ePrivacy Shield\u201c-Abkommens f\u00fcr rechtswidrig. Dieses Urteil hatte weit reichende Folgen f\u00fcr internationale Datentransfers, die weit \u00fcber die zu entscheidenden Fragen in Bezug auf das \u201ePrivacy Shield\u201c hinausgehen.<\/p>\n\n\n\n
In der Folge des Urteils herrschte zun\u00e4chst gro\u00dfe Rechtsunsicherheit in Bezug auf die Nutzung von Online-Diensten aller Art. Denn das Urteil warf auch die Frage auf, inwiefern Datentransfers, nicht nur in die USA, sondern in jeden Drittstaat, f\u00fcr den kein Angemessenheitsbeschluss vorliegt, auf die so genannten Standardvertragsklauseln gest\u00fctzt werden k\u00f6nnen. Erfasst sind davon auch Staaten wie die T\u00fcrkei, China oder ab dem 1. Januar 2021 auch Gro\u00dfbritannien. <\/p>\n\n\n\n
Der EuGH stellte klar, dass f\u00fcr Datentransfers in Drittl\u00e4nder die Garantien aus den Standardvertragsklauseln nicht mehr gen\u00fcgen, um ein ausreichendes Schutzniveau f\u00fcr personenbezogene Daten sicherzustellen. Es seien zus\u00e4tzliche technische und vertragliche Schutzma\u00dfnahmen sowie eine Absch\u00e4tzung des Risikos f\u00fcr die Betroffenen erforderlich, um eine Daten\u00fcbertragung rechtfertigen zu k\u00f6nnen. Wie diese zus\u00e4tzlichen Schutzma\u00dfnahmen genau auszusehen haben, blieb jedoch lange offen. Klar war nur, dass die erforderlichen zus\u00e4tzlichen Schutzma\u00dfnahmen im Einzelnen von den Umst\u00e4nden der konkreten Daten\u00fcbertragung abh\u00e4ngig sind. <\/p>\n\n\n\n
Als Erster \u00e4u\u00dferte sich der LfDI Baden-W\u00fcrttemberg mit einer Orientierungshilfe und schlug eine Reihe von m\u00f6glichen zus\u00e4tzlichen Schutzma\u00dfnahmen vor.<\/p>\n\n\n\n
Im November hat jetzt auch der Europ\u00e4ische Datenschutzausschuss (EDPB) einen Entwurf von Umsetzungsempfehlungen ver\u00f6ffentlicht. Als m\u00f6gliche zus\u00e4tzliche Schutzma\u00dfnahmen wurden dabei genannt:<\/p>\n\n\n\n
D\u200boch auch nach der Ver\u00f6ffentlichung des Entwurfs der Empfehlungen des EDPB sind noch eine Vielzahl von Fragen ungekl\u00e4rt, die sich aus dem \u201eSchrems II\u201c-Urteil ergeben. So ist etwa offen, wie mit Onlinediensten zu verfahren ist, welche von europ\u00e4ischen Tochtergesellschaften US-amerikanischer Konzerne wie Google oder Microsoft angeboten werden. Ist bei diesen auf den tats\u00e4chlichen Verbleib der Daten (EU) oder auf den Sitz der Muttergesellschaft (Drittland) aufgrund der M\u00f6glichkeit, dass diese von ausl\u00e4ndischen Beh\u00f6rden auf Datenoffenlegung in Anspruch genommen werden k\u00f6nnten, abzustellen? In jedem Fall m\u00fcssen Unternehmen, die Daten an ausl\u00e4ndische Dienstleister und Partner \u00fcbertragen, mit der Ver\u00f6ffentlichung des Entwurfs der Empfehlungen des EDPB allersp\u00e4testens jetzt handeln.<\/p>\n\n\n\n
Was ist dabei konkret zu tun?<\/p>\n\n\n\n
1. internationale Datentransfers identifizieren<\/strong><\/p>\n\n\n\n Zun\u00e4chst ist zu pr\u00fcfen, in welchen F\u00e4llen Daten an Dienstleister und Partner mit Sitz au\u00dferhalb der EU \u00fcbertragen werden. Hierbei sind auch Weiter\u00fcbermittlungen zu ber\u00fccksichtigen, wenn beispielsweise ein Auftragsverarbeiter in der EU personenbezogene Daten an einen Unter- Auftragsverarbeiter in einem Drittstaat weitergibt. Auch der Fernzugriff aus einem Drittland (z.B. beim Support) und die Speicherung in einer au\u00dferhalb des EWR gelegenen Cloud gilt als \u00dcbertragung im Sinne der DSGVO. <\/p>\n\n\n\n 2. Einf\u00fchrung und Vereinbarung zus\u00e4tzlicher Schutzma\u00dfnahmen (\u201eSCC Plus\u201c)<\/strong> <\/p>\n\n\n\n Dar\u00fcber hinaus sind zus\u00e4tzliche Schutzma\u00dfnahmen zu treffen, deren Inhalt und Umfang vom konkreten Einzelfall abh\u00e4ngig ist. Sie k\u00f6nnen vertraglicher, technischer oder organisatorischer Art sein. Vertragliche und organisatorische Ma\u00dfnahmen allein werden in der Regel jedoch nicht ausreichen, um den Zugriff auf die personenbezogenen Daten durch die Beh\u00f6rden des Drittlandes zu verhindern oder in ausreichender Weise einzuschr\u00e4nken. <\/p>\n\n\n\n 3. interne Risikoabw\u00e4gung, ob die Schutzma\u00dfnahmen gen\u00fcgen, um ein vergleichbares Schutzniveau sicherzustellen<\/strong><\/p>\n\n\n\n Schlie\u00dflich ist eine umfassende Abw\u00e4gung der Risiken vorzunehmen, welche mit der konkreten Datenverarbeitung f\u00fcr die betroffenen Nutzer oder Kunden einhergehen. Ein besonderes Augenmerk ist dabei auf die folgenden Punkte zu legen: <\/p>\n\n\n\n Gerne unterst\u00fctzen wir Sie bei dieser Pr\u00fcfung und der Erstellung der erforderlichen Dokumente.<\/p>\n","protected":false},"excerpt":{"rendered":" Wie geht es nach \u201eSchrems II\u201c weiter mit internationalen Datentransfers? Mit dem \u201eSchrems-II\u201c-Urteil vom 16. Juli 2020 (Az. C-311\/18) erkl\u00e4rte der Europ\u00e4ische<\/p>\n