Internationale Datentransfers: Aktuelle Handlungsempfehlungen
In der vergangenen Woche haben wir bereits über die Entscheidung des Europäischen Gerichtshofs (EuGH) in der Sache „Schrems II“ berichtet: Das Privacy Shield ist nicht mehr gültig, die EU-Standardvertragsklauseln sind zwar weiterhin gültig, aber müssen – je nach Zielland – um spezifische Maßnahmen ergänzt werden. Dasselbe gilt für Binding Corporate Rules (BCR). Hierfür bedarf es einer Einzelfallanalyse der Datentransfers und der staatlichen Überwachungsaktivitäten.
Von äußerster Priorität ist, bestehende Übermittlungen auf Basis des EU-U.S. Privacy Shield umzustellen. Diese können Sie entweder Ihrem Verzeichnis der Verarbeitungstätigkeiten entnehmen oder die Liste der US-Unternehmen, die sich dem Privacy Shield unterworfen haben, mit den Vendoren in Ihrem ERP-System abgleichen lassen.
Daneben müssen sie alle Transfers auf Basis von Standardvertragsklauseln in Länder mit erhöhtem Überwachungsnormen mit zusätzlichen Maßnahmen versehen werden. In Frage kommen:
- zusätzliche vertragliche Maßnahmen: z.B. die Verpflichtung, bei Kenntnis von behördlichen Eingriffen hiergegen mit Widerspruch oder gerichtlichen Maßnahmen vorzugehen, Geltendmachung von Rechten durch Datenexporteur, weitergehende Informationspflichten des Datenimporteurs…
- technische Lösungen: z.B. Verschlüsselung bei reinen Cloud-Services, Zugriffsbeschränkung bei Non-EU Remote Access, Pseudonymisierung von Daten…
Das Urteil haben wir Ihnen in einer Broschüre zusammengefasst. Die Folien enthalten auch ein Entscheidungsdiagramm, welche Prüfungsschritte Sie jetzt vornehmen müssen:
Betroffen von dieser wegweisenden Entscheidung des EuGH sind insoweit nicht nur Datentransfers in die Vereinigten Staaten, sondern auch in andere Drittländer. Zudem haben die Datenschutzaufsichtsbehörden verlauten lassen, Unternehmen keine Schonfrist zu gewähren. Unternehmen, die nicht unverzüglich auf EU-Standardvertragsklauseln umstellen und diese um risikoangemessene Maßnahmen ergänzen, müssen internationale Datentransfers aussetzen. So heißt es etwa in der jüngsten Veröffentlichung des Europäischen Datenschutzausschusses:
“Kommt diese Beurteilung zu dem Ergebnis, dass das Land des Importeurs kein im Wesentlichen gleichwertiges Schutzniveau bietet, muss der Exporteur unter Umständen die Einführung zusätzlicher Maßnahmen zu den in den Standardvertragsklauseln vorgesehenen Maßnahmen in Betracht ziehen. […] Wenn diese vertraglichen Verpflichtungen nicht erfüllt werden oder nicht erfüllt werden können, ist der Exporteur durch die Standardvertragsklauseln verpflichtet, die Übermittlung auszusetzen oder die Standardvertragsklauseln zu beenden oder seine zuständige Aufsichtsbehörde zu benachrichtigen, wenn er beabsichtigt, die Übermittlung von Daten fortzusetzen.”
Auch die Datenschutzkonferenz, das Gremium der deutschen Datenschutzaufsichtsbehörden, hat angekündigt, eine Stellungnahme zu dem Thema abgeben. Aus Kreisen der Aufsicht wurde allerdings verlautet, dass Unternehmen sofort aktiv werden. Ebenso arbeite die deutsche Datenschutzaufsicht an einem Konzept für eine Enforcement-Strategie, die sicherstellen soll, dass Unternehmen die Anforderungen an Drittlandtransfers einhalten.
In unserer Broschüre „Schrems II – Bewertung und PwC Unterstützung“ bieten wir Ihnen Hinweise und Hilfestellung zum möglichen Vorgehen, damit Ihr Unternehmen schnellstmöglich auf die neuen Anforderungen reagieren und die Einhaltung der datenschutzrechtlichen Vorschriften an Drittlandtransfers sicherstellen kann. Sprechen Sie uns gerne an, wenn wir Sie bei der Umstellung unterstützen können.