Schrems II: Microsoft ergänzt Standardvertragsklauseln (SCC)

Im Juli 2020 hat das EuGH mit dem sogenannten Schrems II Urteil die Datenübermittlung in Drittländer, etwa in die USA, sehr eingeschränkt, um dies gelinde auszudrücken. Die Verunsicherung ist seitdem bei Organisationen sehr groß. Wie können, wie vom EuGH gefordert, Anpassungen an den Vertragswerken mit Nicht EU/EWR Auftragsverarbeitern realisiert werden? Die im Regelfall existierende Asymmetrie der Vertragspartner, klein gegen groß, und die Unsicherheit wie die geforderten Garantien der Verarbeitung im Drittland zu gestalten sind, neben dem Recht der Betroffenen auf rechtsstaatliche Mittel im Drittland, hat zur „Schrems II-Starre“ geführt. Nun gibt es den ersten konkreten Ansatz diesem Zustand zu entkommen.

[…]

Prüfschritte DS-GVO konforme Datenübermittlung in Drittländer als Grafik

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Rheinland-Pfalz hat einen grafischen Ablaufplan für die erforderliche Prüfung der DS-GVO konformen Datenübermittlung in Drittländer veröffentlicht. Dieser Ablaufplan stellt strukturiert und übersichtlich die notwendigen Schritte der nach dem EuGH Urteil Schrems II vielerorts beschriebenen Punkte dar. Wir können diese Veröffentlichung nur empfehlen und Ihnen den Link dazu mitteilen:

[…]

Microsoft Office 365 – verschiedene Auffassungen der Deutschen Datenschutzaufsichtsbehörden

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder kommt am 15.07.2020  zum Ergebnis, dass aktuell kein datenschutzkonformer Einsatz von Microsoft Office 365 möglich ist. Die Abstimmung war mit 9 zu 8 Stimmen denkbar knapp.  Die Datenschutzaufsichtsbehörden Baden-Württembergs, Bayerns, Hessens und des Saarlands haben nun in einer eigenen Pressemitteilung am 02.10.2020 erklärt:

[…]

Was ist nach Schrems II zu tun? (Update)

Am 16.07.2020 hat das EuGH im sogenannten Schrems II Urteil der Klage von Max Schrems Recht gegeben und das Privacy Shield für die Datenübermittlung zwischen der EU und den USA für ungültig erklärt. Und zwar ab dem Datum der Urteilsverkündung – ohne Übergangsfristen.  Das Urteil war keine große Überraschung, nachdem der gleiche Max Schrems im Jahre 2015 ebenfalls vor dem EuGH das damalige Safe Harbour Abkommen zwischen der EU und den USA zu Fall gebracht hat (Schrems I). Zudem wurden vom EuGH die von der EU-Kommission im Jahr 2010 auf den Weg gebrachten EU Standardvertragsklauseln für den Datenaustausch mit Dritt-Ländern in Ihrer Anwendbarkeit eingeschränkt. Mit diesem Standardvertrag ist die Datenübermittlung nur dann mehr rechtens, wenn jeder Vertrag im Einzelnen auf Wirksamkeit geprüft und mit eventuell zusätzlichen speziellen Maßnahmen die Sicherheit der Verarbeitung personenbezogener Daten garantiert werden kann. Der Aufschrei in der Presse war groß – was bedeutet dies aber nun konkret?

[…]

EuGH erklärt „Privacy-Shield“ für ungültig

Der Europäische Gerichtshof hat mit dem heute verkündeten Urteil festgestellt, dass der Privacy Shield Beschluss 2016/1250 ungültig ist. Der Beschluss 2010/87 über Standardvertragsklauseln ist davon aber nicht betroffen. Diese sind weiterhin als Garantie für die Übermittlung personenbezogener Daten anwendbar. Das Urteil dazu finden Sie hier.

Dazu später mehr.