Webinar: Datentransfer in Drittländer nach Schrems II – was zukünftig beachtet werden muss
So lautet der Titel des Webinars, welches am Mittwoch, den 23. September 2020 von 16.00 – 17.00 Uhr stattfindet. Die Teilnahme ist kostenlos.
Die Schwerpunktthemen im Webinar werden sein:
- Die Auswirkungen der EuGH-Entscheidungen auf die Praxis
- Erste Übersicht der verschiedenen Reaktionen der Datenschutzaufsichtsbehörden zu dieser Entscheidung
- Möglichkeiten, wie ein Datentransfer in Drittstaaten gestaltet werden kann und was Unternehmen dabei beachten müssen
„Am 24. August 2020 trat nun die Landesbehörde in Baden-Württemberg mit Handlungsvorschlägen an die Öffentlichkeit. In ihrer Orientierungshilfe gibt die Behörde konkrete Anleitungen zur Umsetzung der neuen EuGH-Vorgaben. Hier die wichtigsten Aussagen:
- Ein Datentransfer in die USA allein auf Grundlage des (nun ungültigen) Privacy-Shield kann Bußgelder nach sich ziehen. Das gilt jedenfalls dann, wenn das Zielunternehmen dem FISA Act, dem Cloud Act oder der Presidential Policy Directive 28 unterliegt.
- Wird der US-Datentransfer auf EU-Standardvertragsklauseln gestützt (die der betreffende US-Provider natürlich unterzeichnet haben muss), dann reicht dies nur aus, wenn zusätzliche Garantien geschaffen wurden, etwa a) Einsatz von Verschlüsselungstechnik, b) Anonymisierung oder Pseudonymisierung (wenn nur das EU-Unternehmen die Zuordnung vornehmen kann) oder c) Vereinbarung mit den US-Providern, dass die Daten ausschließlich auf EU-Territorium gespeichert und verarbeitet werden („EU-Option“). Verarbeitung auf EU-Territorium bedeutet, dass auch der Fernzugriff aus Drittstaaten (wie den USA) entsprechend beschränkt sein muss.
- Die Ausnahmevorschrift des Art. 49 DSGVO ist nur sehr restriktiv anzuwenden; insoweit kann etwa die Einwilligung oder Vertragserforderlichkeit nur begrenzt dauerhaft als Rechtsgrundlage für den US-Datentransfer Verwendung finden.
- Zum Nachweis eines Willens zum rechtkonformen Handeln gegenüber den Aufsichtsbehörden ist die individuelle Kontaktaufnahme zu den betreffenden US-Providern zu belegen; diese sollte sich insbesondere auf eine einvernehmliche Änderung der EU-Standardvertragsklauseln beziehen (die in der Orientierungshilfe konkret beschrieben wird).
- Nachzuweisen gegenüber den Aufsichtsbehörden ist auf Anfrage auch, ob zumutbare Alternativangebote ohne Transferproblematik bestehen (z. B. von deutschen Providern) und zu begründen, weshalb diese ggf. nicht in Anspruch genommen wurden.
Handlungsempfehlungen
Die Vorschläge der Landesbehörde in Baden-Württemberg sind damit bereits sehr viel konkreter, als bisher von den anderen Behörden wahrgenommen. Unternehmen sollten sich daher auf Grundlage der neuen Orientierungshilfe Nachweise zurechtlegen, die im Falle eines behördlichen Audits vorgelegt werden können. Im Hinblick auf den ungültigen EU-US-Privacy-Shield sollte zudem die eigene Datenschutzerklärung der Website daraufhin überprüft werden, ob dort noch bestimmte Verarbeitungen (z. B. Google Analytics) auf diese Rechtsgrundlage gestützt werden; ggf. sind die Verarbeitungen entsprechend umzustellen und alle Hinweise auf das EU-US-Privacy-Shield zu löschen.“ (Heuking Kühn Lüer Wojtek, Newsletter, August 2020)
Weitere Informationen und Anmeldemöglichkeiten zum Webinar finden Sie hier.