Montag, 3. August 2020

Was sagen die Aufsichtsbehörden zum Aus für das Privacy Shield? Ein erster Überblick...

Um unsere Empfehlung an unsere Leser aus unserem Post vom 18.07.2020, erstmal vorbereitet zu sein und Aktivität zu zeigen, zu unterstreichen, haben wir uns für Sie die bisherigen Reaktionen des Bundesdatenschutzbeauftragten und der Landesdatenschutzbeauftragten überprüft.

Ergänzung zum Post vom 18.07.2020: Unternehmer-Tipps nach dem Aus für das "Privacy Shield" zwischen der EU und den USA.

Das EuGH-Urteil hebt zwar nur den EU-US Privacy Shield auf, aber auch Standardvertragsklauseln sind bei Transfers an Stellen in den USA kritisch, und es muss überprüft werden, ob der Datenimporteur die Auflagen des Vertragswerks einhalten kann.

Hier ein Überblick. Zwei Wochen nach dem Aus für das Privacy Shield am 16.07.2020 gibt es von Seiten der Bundes- und Landesdatenschutzbeauftragten noch nicht viel Anwendbares für die Verantwortlichen der Unternehmen in Deutschland und uns Datenschutzbeauftragte.

Schlimmer noch: Die Aufsichtsbehörden vertreten zur Zeit noch uneinheitliche Auffassungen zur Prüfpflicht der Verantwortlichen. So sieht Rheinland-Pfalz eine Prüfpflicht der Verantwortlichen, Hamburg hingegen sieht die Prüfpflicht eher bei den Aufsichtsbehörden. Thüringen sieht die Prüfpflicht sowohl bei den Verantwortlichen als auch bei den Aufsichtsbehörden.

Was sagen die Aufsichtsbehörden zum Aus für das Privacy Shield?

Der Bundesdatenschutzbeauftragte BfDI Dr. Kelber

Der BfDI ist zuständig für die Bundesbehörden in Deutschland.

Bonn, 16.07.2020: BfDI zum Schrems II-Urteil des EuGH


Der BfDI wollte sich bereits am 17.07.2020 mit seinen europäischen Kolleginnen und Kollegen abstimmen: "Der EuGH hat die Rolle der Datenschutzaufsichtsbehörden bestätigt und gestärkt. Sie müssen bei jeder einzelnen Datenverarbeitung prüfen und prüfen können, ob die hohen Anforderungen des EuGH erfüllt werden. Das bedeutet auch, dass sie den Datenaustausch untersagen, wenn die Voraussetzungen nicht erfüllt werden. Sowohl Unternehmen und Behörden als auch die Aufsichtsbehörden haben jetzt die komplexe Aufgabe, das Urteil praktisch anzuwenden. Wir werden auf eine schnelle Umsetzung in besonders relevanten Fällen drängen."

Bonn, 24.07.2020: EDSA beschließt FAQ zu Schrems II

Zudem gibt das Dokument Hinweise zur Zukunft der sogenannten Standardvertragsklauseln. Dazu sagte Professor Kelber: "Standardvertragsklauseln sind weiterhin eine mögliche Grundlage für den Datentransfer. Eine Übermittlung von Daten in die USA kann allerdings nur dann über Standardvertragsklauseln begründet werden, wenn zusätzliche Maßnahmen getroffen werden, die das gleiche Datenschutzniveau wie in der Europäischen Union gewährleisten. Dabei müssen die Umstände der Datentransfers von Fall zu Fall betrachtet werden. Das gilt auch für die Übermittlung in andere Länder."

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden Württemberg LfDI-BW

Überblick EU-U.S. Privacy Shield


Bis heute findet sich die unverändete Seite zum Privacy Shield auf dem Webauftritt des LfDI-BW.  Dort findet sich auch noch keine Stellungnahme zum Fall des Privacy Shield. Zum Beleg haben wir Screenshots gemacht.

LfDI-BW am 27.07.2020: "Ich werde keine Alleingänge machen"


Auf die Frage der Badischen Zeitung, ob der LfDI jetzt sofort Daimler und den baden-württembergischen Mittelständlern den Datentransfer in die USA verbieten wird, antwortete dieser: "Ich werde keine Alleingänge machen. Die europäischen Aufsichtsbehörden werden sich im Europäischen Datenschutzausschuss auf eine gemeinsame Linie einigen." Er kritisierte den EuGH im gleichen Interview dafür, dass dieser nichts dazu gesagt hat, "dass die Standard-Datenschutzklauseln im Geschäftsverkehr mit den USA nicht sinnvoll angewandt werden können. Diese unangenehme Botschaft hat er den nationalen Datenschutzbeauftragten überlassen."

Der Landesbeauftragte für den Datenschutz und die Informationssicherheit Rheinland-Pfalz LfDI-RLP

24.07.2020, Konsequenzen des LfDI Rheinland-Pfalz aus dem EuGH-Urteil C-311/18 ("Schrems II")


"Falls der LfDI Rheinland-Pfalz auf rechtswidrige Datenübermittlungen in Drittstaaten stößt, stehen ihm sämtliche von der Datenschutz-Grundverordnung vorgesehenen Abhilfemaßnahmen zur Verfügung. Konkret kommen insbesondere entsprechende Anordnungen in Frage, mit denen ein rechtswidriger Zustand abgestellt wird. Im Fall von anhaltenden und nachhaltigen Verstößen stehen auch Geldbußen im Raum. 

Die deutschen und europäischen Datenschutzaufsichtsbehörden arbeiten an Empfehlungen, wie Datenübermittlungen in Drittstaaten rechtssicher gestaltet werden können. Hier geht es etwa um zusätzliche Vorkehrungen, die mit Standardvertragsklauseln zusammen die internationalen Datenübermittlungen weiterhin tragen. Angesichts der dynamischen Entwicklung der Materie wird der LfDI Rheinland-Pfalz in Kooperation mit den anderen Datenschutzaufsichtsbehörden die Sachlage beobachten und so früh wie möglich Hilfestellungen und Empfehlungen geben, um Unternehmen die Aufrechterhaltung von Datenübermittlungen in Drittstaaten zu ermöglichen."

FAQs zum EuGH-Urteil vom 16.7.2020 (C-311/18), Stand: 24.7.2020


"[...] Gibt es eine Übergangsfrist? Nein, Datenübermittlungen auf Grundlage des EU-U.S.-Datenschutzschilds sind seit dem Urteilspruch rechtswidrig. Die Gewährung einer Karenzzeit durch die Aufsichtsbehörden sehen weder das Urteil noch die DS-GVO  vor [...]"

Sollte sich bei der alternativen Nutzung von Standardvertragsklauseln herausstellen, dass der "Auftragsverarbeiter im Drittland Gesetzen unterliegt, die ihm die Befolgung der Anweisungen des Datenexporteurs, also des Verantwortlichen in der EU, und die Einhaltung seiner vertraglichen Pflichten unmöglich machen," muss der Verantwortliche die Datenübermittlung aussetzen. 

Berliner Beauftragte für Datenschutz und Informationsfreiheit

Berlin, 17. Juli 2020: Nach „Schrems II“: Europa braucht digitale Eigenständigkeit


"Die Berliner Beauftragte für Datenschutz und Informationsfreiheit fordert daher sämtliche ihrer Aufsicht unterliegenden Verantwortlichen auf, die Entscheidung des EuGH zu beachten. Verantwortliche, die – insbesondere bei der Nutzung von Cloud-Diensten – personenbezogene Daten in die USA übermitteln, sind nun angehalten, umgehend zu
Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau zu wechseln."

Die Berliner Datenschutzbeauftragte vertritt bisher die konsequenteste Position. Sie fordert, umgehend Drittland-Übermittlungen einzustellen und zu Nicht-US-Anbietern, bevorzugt zu europäischen Anbietern zu wechseln bzw. in den USA gespeicherte personenbezogene Daten nach Europa zu verlagern.

Dazu folgender Hinweis: Werden personenbezogene Daten von einem US-Unternehmen gehostet, löst eine Verlagerung der Datenhaltung von den USA in einen Mitgliedsstaat der Europäischen Union das Problem nicht, weil nach den Vorschriften des sogenannten CLOUD-Act (Clarifying Lawful Overseas Use of Data Act) vom März 2018 auch die Daten dem Zugriff von US-Stellen unterliegen, die von US-Unternehmen außerhalb der Vereinigten Staaten gespeichert werden. Es spielt deshalb nur eine untergeordnete Rolle, ob z. B. Microsoft die Daten seiner europäischen Kunden in den USA oder in Frankfurt in einem Datacenter speichert. Die US-Geheimdienste dürfen so oder so auf die Daten zugreifen.

Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit (HmbBfDI)

Hamburg, 28.07.2020: Presseerklärung der DSK zum EuGH-Urteil (Schrems II) und Link zur FAQ-Veröffentlichung durch den EDSA


Bisher steht da nichts Eigenes. Nur Verweise auf die Presseerklärung der DSK.

Hamburg, 16.07.2020: Schwere Zeiten für den internationalen Datenaustausch - EuGH suspendiert Privacy Shield und bestätigt Standard­vertrags­klauseln

Der HmbBfDI äußert hier Kritik am EuGH: "Vor diesem Hintergrund ist die Entscheidung des EuGH, die Standardvertragsklauseln (SCC) als angemessenes Instrument beizubehalten, nicht konsequent. Wenn die Ungültigkeit des Privacy Shield primär mit den ausufernden Geheimdienstaktivitäten in den USA begründet wird, muss dasselbe auch für die Standardvertragsklauseln gelten."

Jetzt Kontakt aufnehmen


Das könnte Sie auch interessieren:


Datenschutz-Dienstag, 13. Juli 2021
In der Cloud ist alles besser? Eine Geschichte über E-Mail-Server nach dem HAFNIUM-Angriff

Datenschutz-Dienstag, 06. Juli 2021
Internationale Datentransfers - Das How-To

Datenschutz-Dienstag, 29. Juni 2021
Internationale Datentransfers - Dokumentieren statt abschaffen! Am Beispiel Mailchimp

Datenschutz-Dienstag, 22. Juni 2021
Microsoft 365 rechtskonform einsetzen - auf die Konfiguration kommt es an!

Datenschutz-Dienstag, 15. Juni 2021
Datentransfer in die USA – eine Dauerbaustelle? Oder ein akuter Flächenbrand?!

Freitag, 4. Juni 2021
Achtung Kontrolle - Landesdatenschutzbeauftragte verschicken Fragebögen zu internationalen Datentransfers

Donnerstag, 8. April 2021
Office 365: Was sagt der Datenschutz?

Montag, 3. August 2020
Was sagen die Aufsichtsbehörden zum Aus für das Privacy Shield? Ein erster Überblick...

Samstag, 18. Juli 2020
Unternehmer-Tipps nach dem Aus für das "Privacy Shield" zwischen der EU und den USA

Freitag, 14. Juni 2019
EU-DSGVO - Das sollten Unternehmen bei der Nutzung von Public-Cloud-Diensten aus den USA beachten

Donnerstag, 9. Februar 2017
Was ist der Privacy Shield?