Was ist nach Schrems II zu tun? (Update)

Am 16.07.2020 hat das EuGH im sogenannten Schrems II Urteil der Klage von Max Schrems Recht gegeben und das Privacy Shield für die Datenübermittlung zwischen der EU und den USA für ungültig erklärt. Und zwar ab dem Datum der Urteilsverkündung – ohne Übergangsfristen.  Das Urteil war keine große Überraschung, nachdem der gleiche Max Schrems im Jahre 2015 ebenfalls vor dem EuGH das damalige Safe Harbour Abkommen zwischen der EU und den USA zu Fall gebracht hat (Schrems I). Zudem wurden vom EuGH die von der EU-Kommission im Jahr 2010 auf den Weg gebrachten EU Standardvertragsklauseln für den Datenaustausch mit Dritt-Ländern in Ihrer Anwendbarkeit eingeschränkt. Mit diesem Standardvertrag ist die Datenübermittlung nur dann mehr rechtens, wenn jeder Vertrag im Einzelnen auf Wirksamkeit geprüft und mit eventuell zusätzlichen speziellen Maßnahmen die Sicherheit der Verarbeitung personenbezogener Daten garantiert werden kann. Der Aufschrei in der Presse war groß – was bedeutet dies aber nun konkret?

Wie können nun personenbezogene Daten in Drittländer datenschutzkonform nach dem Schrems II Urteil des EuGH übermittelt werden? Hierzu ist zuerst eine Neubewertung der Verarbeitung der Daten in einem Drittland erforderlich:
a) Welche Daten-Art wird verarbeitet (Art. 9 DS-GVO)?
b) Wie ist es um die Sicherheit der Verarbeitung dieser Daten gestellt in dem Drittland? Können staatliche Stellen auf diese Daten im geheimen zugreifen (China, Russland, USA …)? Entspricht das Sicherheitsniveau der DS-GVO? Müssen weitere Sicherheitsmaßnahmen mit dem Auftragsverarbeiter  (Daten-Importeur) vereinbart werde

Um es kurz zu machen, es sind aktuell nur wenige realisierbare Handlungsoptionen vorhanden. Im wesentlichen sind dies:

  1. Die erste Empfehlung der Datenschutzaufsichtsbehörden ist die Verarbeitung bzw. Übermittlung personenbezogener Daten innerhalb der EU/EWR -also zu europäischen Anbietern. Die praktische Umsetzbarkeit ist hier aktuell nur sehr beschränkt.
  2. Die Datenübermittlung und Verarbeitung in Ländern zu betreiben, die von der EU-Kommission als „sicher“ eingestuft werden (Angemssenheitsbeschluss). Die praktische Umsetzbarkeit ist hier sehr beschränkt.
  3. Es können weiterhin die sogenannten EU Standardvertragsklauseln (Standard Contractual Clauses, SCC) zwischen Daten-Exporteur/Controller – Daten-Importeur/Processor verwendet werden. Allerdings hat das EuGH gefordert, dass der Verantwortliche für die Sicherheit der Verarbeitung der personenbezogener Daten garantieren muss. Dies ist je nach Land und politische Lage nur mit besonderen Zusatzmaßnahmen möglich. Verschlüsselung der Daten (Transport, Speicherung und Verarbeitung) wäre so eine Maßnahme. Reine Standardverträge sind nicht ausreichend.

Fazit:
Was ist zu tun? Besser, was kann getan werden. Nach dem EuGH-Urteil ist die von Datenschützern seit längerer Zeit vertretene Meinung manifestiert worden, dass das Privacy Shield Abkommen keine Sicherheit und Garantien für die Daten europäischer Bürger sicherstellt. Die politische Situation in Ländern wie China, Russland, USA u. a.  erfordern eine politische Lösung auf globaler Ebene. Das Urteil Schrems II war notwendig bringt jedoch Unternehmen, Datenschutzbeauftragte und Datenschutzaufsichtsbehörden in einer schier unlösbare Situation. Der EDSA (Europäische Datenschutz Ausschuss) ist nun gefordert die Politik von der Dringlichkeit einer globalen Lösung in diesem Feld zu überzeugen. Gelingt dies nicht verliert die DS-GVO ein großes Stück an Glaubwürdigkeit.

Weitere Informationen finden Sie hier:

Orientierungshilfe: Was jetzt in Sachen internationaler Datentransfer? LfDI Baden Württemberg 

Überblick über die Ansichten und Handlungsempfehlungen der Aufsichtsbehörden und internationaler Organisationen zum Urteil des EuGH, GDD