Privacy Shield gekippt – Landesbeauftragter für Datenschutz und Informationsfreiheit Rheinland-Pfalz (LdDI RLP) will Schrems II-Urteil härter durchsetzen
Der Europäische Gerichtshof hat das EU-US-„Privacy Shield“– Abkommen in seinem Schrems II-Urteil vor gut einem Jahr für ungültig erklärt. Das Urteil bringt erhebliche Konsequenzen mit sich – vor allem viele Unternehmen und staatliche Stellen sind verunsichert, was die Rechtssicherheit der Versendung von personenbezogenen Daten in Drittstaaten betrifft. Auch der LdDI Rheinland-Pfalz-Prof. Dieter Kugelmann sieht künftige Probleme für Unternehmen mit Bezug ins Drittland, die das Urteil nach sich zieht. Vor allem aufgrund „digitalisierter Geschäftsprozesse und einer global vernetzten Wirtschaft“ werden es Unternehmen durch das Verbot des Privacy-Shields nicht leichter haben. (ZD-Aktuell 2020, 07403, beck-online). Nun will auch Kugelmann das Schrems II-Urteil vor allem aus pfälzischer Sicht strenger durchsetzen. Er sieht es als seine Aufgabe, die datenverarbeitenden Stellen hinsichtlich des Bewusstseins der neu entstandenen Rechtslage zu schärfen und die Unternehmen diesbezüglich aufzuklären.
Das vergangene Schrems II-Urteil betrifft laut Kugelmann „fast jedes Unternehmen, jede Behörde, Kommune, Schule, Organisation oder Arztpraxis, denn sie verarbeiten automatisiert personenbezogene Daten, übermitteln diese dabei – oft unbewusst – in Länder außerhalb der Europäischen Union beziehungsweise des Europäischen Wirtschaftsraums. Sie bewegen sich damit datenschutzrechtlich auf dünnem Eis“.( vgl. Informationsoffensive zur Datenübermittlung in Drittländer – Kugelmann: Wer bis jetzt noch nicht auf die neue Rechtslage reagiert hat, sollte umgehend aktiv werden (rlp.de)). Er zeigt auf, welche Schritte betroffene Unternehmen in die Wege leiten müssen, um rechtssicher agieren zu können. Das Bundesland Rheinland-Pfalz rät diesen dabei, sofern möglich, den Vertragspartner zu wechseln und auf europäischer Ebene zu bleiben, damit Datenübermittlungsprobleme in die USA eventuell vorgebeugt werden. Dahingegen schrieb Kugelmann im Rahmen einer Informationsoffensive sämtliche Unternehmen und staatliche Stellen in Rheinland-Pfalz an und warnte diese vor potentiellen Verstößen, die sich aus dem Privacy-Shield-Verbot ergeben könnten. Laut ihm solle jeder Betrieb die Datenverarbeitung mit Verknüpfung ins Drittland strengstens kontrollieren und auf ihre Zulässigkeit hin prüfen. Ein von Kugelmann bereitgestelltes und konzipiertes Prüfschema lässt sich wie folgt darstellen: Pruefschritte_Datenuebermittlung_in_Drittlaender_nach_Schrems_II.pdf (rlp.de).
Ankündigung von stichprobenartigen Kontrollen und Verhängung von Sanktionen
Der Datenschutzbeauftragte ruft ebenfalls diejenigen Unternehmen und Behörden, die bislang noch nicht tätig geworden sind, dazu auf, umgehend zu handeln, sofern aufgrund der neuen Rechtslage überhaupt Handlungsbedarf bestünde. Im Moment gilt noch eine gewisse Sensibilisierungsphase. Kommende Verstöße werden jedoch mit Sanktionen und Bußgeldern geahndet.
Kugelmanns Tipp bei nicht Erforderlichkeit des Handlungsbedarfs: Gründe dokumentieren lassen!
„Kommt der Verantwortliche oder Auftragsverarbeiter zu dem Schluss, dass eine Umstellung seiner Verträge oder Prozesse nicht erforderlich sei, sollte er dies sowie die Gründe für die Entscheidung dokumentieren. Dies kann sanktionsmildernd wirken, sollte meine Behörde zu dem Ergebnis kommen, dass sehr wohl Anpassungen zu treffen waren und sind“, so der Leiter der Datenschutzaufsichtsbehörde Professor Dieter Kugelmann. (vgl. Informationsoffensive zur Datenübermittlung in Drittländer – Kugelmann: Wer bis jetzt noch nicht auf die neue Rechtslage reagiert hat, sollte umgehend aktiv werden (rlp.de)).
„Privacy-Shield“ – was gewährte diese Abkommen nochmal?
Das Privacy-Shield ist ein Abkommen zwischen der EU und den USA. Die Übermittlung personenbezogener Daten in die USA war mit diesem Abkommen bislang grundsätzlich genehmigungsfrei. Der österreichische Datenschutzaktivist Maximilian Schrems bezeichnete das Privacy-Shield-Abkommen als eine Unvereinbarkeit der Datenschutzgrundverordnung mit den EU-Grundrechten und brachte das Verfahren bis vor den EuGH. Er sah vor allem anhand von Facebook, mit Hauptsitz in Irland, die alle in der EU kursierenden Daten an das Mutterkonzern in den Vereinigten Staaten weitergeben, einen massiven Eingriff in die Grundrechte. Dort sind die Daten nicht sicher, da amerikanische Geheimdienste die aus der EU entsandte Daten abgreifen und scannen. Der EuGH entschied: Was bringt der beste Datenschutz in Europa, wenn internationale Plattformen – wie Google oder Facebook – diese in die USA weiterleiten, wo „Datenschutz“ generell anders gewährleistet wird als in der EU. Datenschützer Max Schrems setzte sich vor dem EuGH nun durch und stoppte mit dem vom EuGH beschlossenen Schrems II-Urteil den grenzenlosen Datentransfer in die USA. Besonders betroffen sind folglich viele deutsche mittelständische Unternehmen, die ihre Mutterkonzerne in den USA haben. Vor welche Herausforderungen sie gestellt werden, wird sich mit den einhergehenden datenschutzrechtlichen Entwicklungen zeigen. Was der EuGH mit Sicherheit verlauten ließ, ist das ungenügende Datenschutzniveau der USA. Lediglich zwei Möglichkeiten lassen sich für die Amerikaner hinsichtlich eines weiterlaufenden Datenverkehrs mit der EU aufzeigen: Entweder das Datenschutzniveau für Europa wird von ihnen angezogen oder der Datenverkehr gerät ins Stocken. Voraussichtlich einer von vielen Folgen wird sein, dass Daten künftig innerhalb der EU bleiben und nicht mehr in die USA transferiert werden dürfen (EuZW 2020, 933, beck-online).