Um unsere Empfehlung an unsere Leser aus unserem Post vom 18.07.2020, erstmal vorbereitet zu sein und Aktivität zu zeigen, zu unterstreichen, haben wir uns für Sie die bisherigen Reaktionen des Bundesdatenschutzbeauftragten und der Landesdatenschutzbeauftragten überprüft.
Ergänzung zum Post vom 18.07.2020: Unternehmer-Tipps nach dem Aus für das "Privacy Shield" zwischen der EU und den USA.
Das EuGH-Urteil hebt zwar nur den EU-US Privacy Shield auf, aber auch Standardvertragsklauseln sind bei Transfers an Stellen in den USA kritisch, und es muss überprüft werden, ob der Datenimporteur die Auflagen des Vertragswerks einhalten kann.
Hier ein Überblick. Zwei Wochen nach dem Aus für das Privacy Shield am 16.07.2020 gibt es von Seiten der Bundes- und Landesdatenschutzbeauftragten noch nicht viel Anwendbares für die Verantwortlichen der Unternehmen in Deutschland und uns Datenschutzbeauftragte.
Schlimmer noch: Die Aufsichtsbehörden vertreten zur Zeit noch uneinheitliche Auffassungen zur Prüfpflicht der Verantwortlichen. So sieht Rheinland-Pfalz eine Prüfpflicht der Verantwortlichen, Hamburg hingegen sieht die Prüfpflicht eher bei den Aufsichtsbehörden. Thüringen sieht die Prüfpflicht sowohl bei den Verantwortlichen als auch bei den Aufsichtsbehörden.
 |
| Was sagen die Aufsichtsbehörden zum Aus für das Privacy Shield? |
Der Bundesdatenschutzbeauftragte BfDI Dr. Kelber
Der BfDI ist zuständig für die Bundesbehörden in Deutschland.
Bonn, 16.07.2020: BfDI zum Schrems II-Urteil des EuGH
Der BfDI wollte sich bereits am 17.07.2020 mit seinen europäischen Kolleginnen und Kollegen abstimmen: "Der EuGH hat die Rolle der Datenschutzaufsichtsbehörden bestätigt und gestärkt. Sie müssen bei jeder einzelnen Datenverarbeitung prüfen und prüfen können, ob die hohen Anforderungen des EuGH erfüllt werden. Das bedeutet auch, dass sie den Datenaustausch untersagen, wenn die Voraussetzungen nicht erfüllt werden. Sowohl Unternehmen und Behörden als auch die Aufsichtsbehörden haben jetzt die komplexe Aufgabe, das Urteil praktisch anzuwenden. Wir werden auf eine schnelle Umsetzung in besonders relevanten Fällen drängen."
Bonn, 24.07.2020: EDSA beschließt FAQ zu Schrems II
Zudem gibt das Dokument Hinweise zur Zukunft der sogenannten Standardvertragsklauseln. Dazu sagte Professor Kelber: "Standardvertragsklauseln sind weiterhin eine mögliche Grundlage für den Datentransfer. Eine Übermittlung von Daten in die USA kann allerdings nur dann über Standardvertragsklauseln begründet werden, wenn zusätzliche Maßnahmen getroffen werden, die das gleiche Datenschutzniveau wie in der Europäischen Union gewährleisten. Dabei müssen die Umstände der Datentransfers von Fall zu Fall betrachtet werden. Das gilt auch für die Übermittlung in andere Länder."
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden Württemberg LfDI-BW
Überblick EU-U.S. Privacy Shield
Bis heute findet sich die unverändete Seite zum Privacy Shield auf dem Webauftritt des LfDI-BW. Dort findet sich auch noch keine Stellungnahme zum Fall des Privacy Shield. Zum Beleg haben wir Screenshots gemacht.
LfDI-BW am 27.07.2020: "Ich werde keine Alleingänge machen"
Auf die Frage der Badischen Zeitung, ob der LfDI jetzt sofort Daimler und den baden-württembergischen Mittelständlern den Datentransfer in die USA verbieten wird, antwortete dieser: "Ich werde keine Alleingänge machen. Die europäischen Aufsichtsbehörden werden sich im Europäischen Datenschutzausschuss auf eine gemeinsame Linie einigen." Er kritisierte den EuGH im gleichen Interview dafür, dass dieser nichts dazu gesagt hat, "dass die Standard-Datenschutzklauseln im Geschäftsverkehr mit den USA nicht sinnvoll angewandt werden können. Diese unangenehme Botschaft hat er den nationalen Datenschutzbeauftragten überlassen."
Der Landesbeauftragte für den Datenschutz und die Informationssicherheit Rheinland-Pfalz LfDI-RLP
24.07.2020, Konsequenzen des LfDI Rheinland-Pfalz aus dem EuGH-Urteil C-311/18 ("Schrems II")
"Falls der LfDI Rheinland-Pfalz auf rechtswidrige Datenübermittlungen in Drittstaaten stößt, stehen ihm sämtliche von der Datenschutz-Grundverordnung vorgesehenen Abhilfemaßnahmen zur Verfügung. Konkret kommen insbesondere entsprechende Anordnungen in Frage, mit denen ein rechtswidriger Zustand abgestellt wird. Im Fall von anhaltenden und nachhaltigen Verstößen stehen auch Geldbußen im Raum.
Die deutschen und europäischen Datenschutzaufsichtsbehörden arbeiten an Empfehlungen, wie Datenübermittlungen in Drittstaaten rechtssicher gestaltet werden können. Hier geht es etwa um zusätzliche Vorkehrungen, die mit Standardvertragsklauseln zusammen die internationalen Datenübermittlungen weiterhin tragen. Angesichts der dynamischen Entwicklung der Materie wird der LfDI Rheinland-Pfalz in Kooperation mit den anderen Datenschutzaufsichtsbehörden die Sachlage beobachten und so früh wie möglich Hilfestellungen und Empfehlungen geben, um Unternehmen die Aufrechterhaltung von Datenübermittlungen in Drittstaaten zu ermöglichen."
FAQs zum EuGH-Urteil vom 16.7.2020 (C-311/18), Stand: 24.7.2020
Vgl. https://www.datenschutz.rlp.de/de/themenfelder-themen/datenuebermittlung-in-drittlaender/#c3484
"[...] Gibt es eine Übergangsfrist? Nein, Datenübermittlungen auf Grundlage des EU-U.S.-Datenschutzschilds sind seit dem Urteilspruch rechtswidrig. Die Gewährung einer Karenzzeit durch die Aufsichtsbehörden sehen weder das Urteil noch die DS-GVO vor [...]"
Sollte sich bei der alternativen Nutzung von Standardvertragsklauseln herausstellen, dass der "Auftragsverarbeiter im Drittland Gesetzen unterliegt, die ihm die Befolgung der Anweisungen des Datenexporteurs, also des Verantwortlichen in der EU, und die Einhaltung seiner vertraglichen Pflichten unmöglich machen," muss der Verantwortliche die Datenübermittlung aussetzen.
Berliner Beauftragte für Datenschutz und Informationsfreiheit
Berlin, 17. Juli 2020: Nach „Schrems II“: Europa braucht digitale Eigenständigkeit
"Die Berliner Beauftragte für Datenschutz und Informationsfreiheit fordert daher sämtliche ihrer Aufsicht unterliegenden Verantwortlichen auf, die Entscheidung des EuGH zu beachten. Verantwortliche, die – insbesondere bei der Nutzung von Cloud-Diensten – personenbezogene Daten in die USA übermitteln, sind nun angehalten, umgehend zu
Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau zu wechseln."
Die Berliner Datenschutzbeauftragte vertritt bisher die konsequenteste Position. Sie fordert, umgehend Drittland-Übermittlungen einzustellen und zu Nicht-US-Anbietern, bevorzugt zu europäischen Anbietern zu wechseln bzw. in den USA gespeicherte personenbezogene Daten nach Europa zu verlagern.
Dazu folgender Hinweis: Werden personenbezogene Daten von einem US-Unternehmen gehostet, löst eine Verlagerung der Datenhaltung von den USA in einen Mitgliedsstaat der Europäischen Union das Problem nicht, weil nach den Vorschriften des sogenannten CLOUD-Act (Clarifying Lawful Overseas Use of Data Act) vom März 2018 auch die Daten dem Zugriff von US-Stellen unterliegen, die von US-Unternehmen außerhalb der Vereinigten Staaten gespeichert werden. Es spielt deshalb nur eine untergeordnete Rolle, ob z. B. Microsoft die Daten seiner europäischen Kunden in den USA oder in Frankfurt in einem Datacenter speichert. Die US-Geheimdienste dürfen so oder so auf die Daten zugreifen.
Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit (HmbBfDI)
Hamburg, 28.07.2020: Presseerklärung der DSK zum EuGH-Urteil (Schrems II) und Link zur FAQ-Veröffentlichung durch den EDSA
Bisher steht da nichts Eigenes. Nur Verweise auf die Presseerklärung der DSK.
Hamburg, 16.07.2020: Schwere Zeiten für den internationalen Datenaustausch - EuGH suspendiert Privacy Shield und bestätigt Standardvertragsklauseln
Der HmbBfDI äußert hier Kritik am EuGH: "Vor diesem Hintergrund ist die Entscheidung des EuGH, die Standardvertragsklauseln (SCC) als angemessenes Instrument beizubehalten, nicht konsequent. Wenn die Ungültigkeit des Privacy Shield primär mit den ausufernden Geheimdienstaktivitäten in den USA begründet wird, muss dasselbe auch für die Standardvertragsklauseln gelten."
