2023.07: Europäische Kommission erlässt neuen Angemessenheitsbeschluss

Europäische Kommission erlässt neuen Angemessenheitsbeschluss für einen sicheren und vertrauenswürdigen Datenverkehr zwischen der EU und den USA (Link zur Pressemitteilung).

Weitere Informationen:

• Website des Bundesdatenschutzbeauftragten (BfDI)
• Liste ob die betreffende Organisation zertifiziert ist

2022.05: KDSZ FFM KdöR „Datenschutzrechtliche Aspekte von Microsoft 365 (ehem. Office 365).“

Das Kath. Datenschutzzentrum Frankfurt/M. hat weitere Informationen als Arbeitshilfen zu „Microsoft 365“ veröffentlicht.

 Link zum Dokument beim KDSZ FFM (PDF)

2021.09: LfDI-BW Aktualisierte Handreichung „Was jetzt in Sachen internationaler Datentransfer?“

Die wichtigsten Aktualisierungen betreffen die Veröffentlichung der neuen Standarddatenschutzklauseln der EU-Kommission.

 Link zur aktualiserten Handreichung (PDF)

2021.06: Reicht der Abschluss der neuen EU-Standardvertragsklauseln vom Juni 2021 für Datenexporte in Drittländer allein aus?

Der Abschluss der neuen Standardvertragsklauseln für Datenexporte in Drittländer vom Juni 2021 (Link siehe unter "Weitere Informationen...") ohne angemessenes Datenschutzniveau allein genügt nicht automatisch, um personenbezogene Daten rechtmäßig in Länder außerhalb des Europäischen Wirtschaftsraums zu übermitteln. Die neuen Vertragsmuster enthalten zwar hilfreiche neue Garantien, es werden aber weiterhin ergänzende technisch und organisatorische Maßnahmen notwendig sein. Die Problematik der Einzelfallprüfung ist damit nicht gelöst. Hinzu kommt ein Umstellungsaufwand sämtlicher Altverträge.

Welche direkten Auswirkungen hat es, dass der EuGH den Privacy Shield für ungültig erklärt hat?

Datenübermittlungen von personenbezogenen Daten in die USA, welche rechtlich bisher auf Grundlage des jetzt nicht mehr gültigen Datenschutzabkommens vorgenommen wurden, sind jetzt nicht mehr rechtmäßig.

Es muss überprüft werden, inwiefern eine andere Rechtsgrundlage vorliegt und ggf. die Datenübermittlung gestoppt werden.

Bezieht sich das Urteil nur auf Datenübermittlungen in die USA (direkt oder durch dazwischengeschaltete Auftragsverarbeiter)?

Nein. Zwar bezog sich das Datenschutzabkommen nur auf Datenübermittlungen der EU in die USA, jedoch betrifft das Abschließen von Standarddatenschutzklauseln jedes Drittland. Daher ist frühzeitig zu prüfen, inwiefern die Rechte der betroffenen Personen, insbesondere auf einen wirksamen Rechtsbehelf, und der damit verbundene Schutz der personenbezogenen Daten, in dem Drittland eingehalten werden können. Dabei ist - als Folge des Brexit - auch an eine Übermittlung personenbezogener Daten nach Großbritannien/Nordirland zu denken.

Ab wann müssen die Konsequenzen des Urteils beachtet werden?

Mit der Verkündung des Urteils durch den Europäischen Gerichtshof am 16. Juli 2020 sind die Rechtsfolgen eingetreten. Es gibt keine Übergangsfrist.

Standarddatenschutzklauseln sind auch nach dem Urteil des EuGH weiterhin einsetzbar. Ändert sich etwas für Verantwortliche, die sich bei einer Datenübermittlung in Drittländer auf die Standarddatenschutzklauseln berufen?

Auch vor dem 16. Juli 2020 mussten Verantwortliche sich vor einer Datenübermittlung in ein Drittland davon überzeugen, dass die Bestimmungen des KDG in Bezug auf die Übermittlung der Daten im Drittland eingehalten werden können. Dies ist zumindest dann fraglich, wenn die Behörden im Drittland aufgrund dort geltenden Rechts einen relativ unbegrenzten Zugriff auf die Daten haben.

Inwiefern eignen sich Standarddatenschutzklauseln noch für einen Datentransfer in die USA?

Überträgt man die Gründe des Urteils für die Ungültigkeit des Privacy Shield, dürfte es Verantwortlichen schwerlich gelingen, sich davon zu überzeugen und vertraglich wirksam zu vereinbaren, dass das Datenschutzniveau (insbesondere die Rechte betroffener Personen) bezogen auf die übermittelten Daten in den USA, dem der DS-GVO bzw. des KDG entspricht.
Falls das Datenschutzniveau im Drittland nicht dem der DS-GVO bzw. dem KDG entspricht, dürfen auch Standarddatenschutzklauseln nicht verwendet werden. Die Datenübermittlung ist solange auszusetzen bis ein der DS-GVO bzw. dem KDG entsprechendes Datenschutzniveau garantiert werden kann.

Was können Verantwortliche unternehmen, wenn keine rechtmäßige Datenübermittlung in das entsprechende Drittland möglich ist?

Als Alternative zur Übermittlung personenbezogener Daten in ein Drittland sollte überprüft werden, inwiefern eine Verarbeitung personenbezogener Daten bzw. die entsprechende Dienstleistung auch innerhalb der EU oder des EWR erbracht werden kann.

Weitere Information zu Übermittlung personenbezogener Daten an Drittländerin!

Externe Links:

• Neue Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer (06/2021)
  (Durchführungsbeschluss (EU) 2021/914 der EU-Kommission v. 04.06.2021 – Az. C(2021) 3972, ABl. EU Nr. L 199/31 vom 07.06.2021)
• Der LfDI gibt Hinweise und legt sein weiteres Vorgehen fest (25.08.2020)
• Pressemeldung der Konferenz der unabhängigen Datenschutzaufsichtsbehördendes Bundes und der Länder
• Information des LfDI Rheinland-Pfalz
• FAQ-Dokument des EDSA