Wird diese Nachricht nicht richtig dargestellt, klicken Sie bitte hier.

Heuking Kühn Lüer Wojtek

Update Datenschutz
IP, Media & Technology

Nr. 91 | 22.02.2021


Datenschutzbehörden kontrollieren Umsetzung des „Schrems II“-Urteils
Dr. Philip Kempermann, LL.M.


Bisherige Entwicklung

Das „Schrems II“-Urteil des Europäischen Gerichtshofs (EuGH, Urteil vom 16. Juli 2020, C-311/18) hat die Rechtslage bei internationalen Datentransfers erheblich verändert (siehe dazu Update Datenschutz Nr. 82). Das Privacy-Shield-Abkommen zwischen den USA und der EU ist unwirksam, aber auch die Standardvertragsklauseln (Standard Contractual Clauses, SCCs) können nicht mehr ohne Weiteres genutzt werden, um die Übermittlung personenbezogener Daten ins Ausland rechtlich abzusichern. Die EU-Kommission hat zwar neue SCCs erarbeitet, allerdings sind diese noch nicht endgültig verabschiedet. Zudem wurde bereits Kritik am Entwurf der EU-Kommission geäußert (siehe Update Datenschutz Nr. 87). Die Verabschiedung der neuen SCCs wird für Ende des 1., Anfang des 2. Quartals 2021 erwartet.

Datenschutzbehörden beginnen Kontrolle

Die deutschen Datenschutzbehörden haben nun angekündigt, die Umsetzung der Vorgaben des EuGH-Urteils zu kontrollieren. Laut Protokoll der letzten DSK-Sitzung und aktuellen Presseberichten wurde von einer Taskforce unter Leitung der Aufsichtsbehörden aus Hamburg und Berlin ein Fragebogen erarbeitet, der ausgewählten Unternehmen in ganz Deutschland übersandt werden soll. Darin wird gezielt abfragt, welche zusätzlichen Maßnahmen von den Verantwortlichen ergriffen wurden, um internationale Datentransfers entsprechend der neuen Vorgaben des EuGH abzusichern. Neben diesem Fragenbogen ist es immer möglich, dass eine Behörde aufgrund einer konkreten Beschwerde eines Betroffenen gegenüber einem Unternehmen tätig wird. Mit anderen Worten ist das Risiko, dass eine Aufsichtsbehörde ein Unternehmen und dessen internationale Datentransfers unter die Lupe nimmt und eventuelle Verstöße ahndet, erheblich gestiegen.

Handlungsempfehlung

Unternehmen müssen ihre Datentransfers ins Ausland überprüfen und den neuen Vorgaben entsprechend anpassen (siehe dazu auch Update Datenschutz Nr. 89). Das betrifft konzerninterne Übermittlungen gleichermaßen wie Übermittlungen an Dienstleister außerhalb der EU.

Datenübermittlungen in die USA können auf Grundlage des Privacy Shields nicht mehr stattfinden. Datenübermittlungen auf Grundlage der bisherigen SCCs müssen ebenfalls kritisch überprüft werden. Die Rechtslage in den USA muss im Hinblick auf konkrete Risiken für die übermittelten Daten (beispielsweise aufgrund von Zugriffsrechten von US-Behörden) überprüft werden. Diese Prüfung und Bewertung muss dokumentiert werden. Regelmäßig ist es zudem erforderlich, Ergänzungsvereinbarungen mit den Datenempfängern zu schließen. Auch zusätzliche technische und organisatorische Maßnahmen müssen gegebenenfalls ergriffen werden.

Die Prüfung und Bewertung der Risiken sowie ggf. das Ergreifen von zusätzlichen Maßnahmen betreffen nicht nur Datentransfers in die USA, sondern jegliche Datentransfers in Länder außerhalb der EU. Die Vorgaben, die der EuGH aufgestellt hat, gelten für alle internationalen Datentransfers.
 
Auf keinen Fall sollte abgewartet werden, bis eine Aufsichtsbehörde mit einer konkreten Anfrage an das Unternehmen herantritt. Dann drohen empfindliche Bußgelder. Spätestens jetzt muss proaktiv gehandelt werden.

Ausblick

Unternehmen, die Privacy Shield für Transfers in die USA nutzbar und die dafür verwendeten Grundlagen noch nicht angestellt haben, müssen spätestens jetzt aktiv werden. Die Gefahr von Bußgeldern hat sich durch die Ankündigung der Datenschutzkonferenz erheblich erhöht. Die neuen SCCs abzuwarten ist keine Alternative.

Ein Lichtblick: Es wird erwartet, dass die Europäische Kommission das Vereinigte Königreich kurzfristig zu einem Land mit adäquatem Datenschutzniveau erklärt. Dann entsteht dort wenigstens kein zusätzlicher Aufwand.

Autor


Dr. Philip Kempermann, LL.M., ist Rechtsanwalt und Partner bei Heuking Kühn Lüer Wojtek und Mitglied der Praxisgruppe IP, Media & Technology.

Kontakt
T +49 211 600 55-168
F +49 211 600 55-160
E datenschutz@heuking.de

Besuchen Sie auch unsere Themenseite zum Datenschutzrecht:
Microsite Datenschutz
Task-Force-Datenschutz
Heuking Kühn Lüer Wojtek
Dr. Christian Appelbaum
Heuking Kühn Lüer Wojtek
Dr. Felix Drefs
Heuking Kühn Lüer Wojtek
Alexa Finke, LL.M.
Heuking Kühn Lüer Wojtek
Regina Glaser, LL.M.
Heuking Kühn Lüer Wojtek
Torsten Groß, LL.M.
Heuking Kühn Lüer Wojtek
Maike Katharina Hinz
Heuking Kühn Lüer Wojtek
Britta Hinzpeter, LL.M.
Heuking Kühn Lüer Wojtek
Dr. Thomas Jansen
Heuking Kühn Lüer Wojtek
Dr. Philip Kempermann, LL.M.
Heuking Kühn Lüer Wojtek
Dr. Lutz Martin Keppeler
Heuking Kühn Lüer Wojtek
Dr. Markus Klinger
Heuking Kühn Lüer Wojtek
Michael Kuska, LL.M., LL.M.
Heuking Kühn Lüer Wojtek
Astrid Luedtke
Heuking Kühn Lüer Wojtek
Marcel Maybaum
Heuking Kühn Lüer Wojtek
Antje Münch, LL.M.
Heuking Kühn Lüer Wojtek
Dr. Søren Pietzcker, LL.M.
Heuking Kühn Lüer Wojtek
Dr. Wolfgang G. Renner, LL.M.
Heuking Kühn Lüer Wojtek
Dr. Frederik Wiemer
Heuking Kühn Lüer Wojtek
Dr. Hans Markus Wulf





Ich möchte den Newsletter
> abbestellen

> bestellen









Heuking Kühn Lüer Wojtek
© 2021 Heuking Kühn Lüer Wojtek

PartGmbB von Rechtsanwälten und Steuerberatern*
Georg-Glock-Str. 4, 40474 Düsseldorf

* Datenschutzinformationen / Registerangaben / Liste der Partner

Informationen darüber, wie Heuking Kühn Lüer Wojtek mit Ihren personenbezogenen Daten umgeht,
zu welchen Zwecken Ihre Daten verarbeitet werden, die Rechtsgrundlagen der Verarbeitung und
welche Rechte Sie haben, können Sie hier nachlesen.

datenschutz@heuking.de