Zur Erinnerung, am 16. Juli 2020 erklärte der EuGH das von 2016 beschlossene EU-US Privacy Shield für ungültig. Zudem äußerte sich der EuGH zur Zulässigkeit von Standardvertragsklauseln. Aufgrund des Urteils wird die Übermittlung in Drittländer – insbesondere in die USA – erschwert und sollte in jedem einzelnen Fall überprüft werden. Wir hatten in einem unserer vorigen Beiträge empfohlen, Dienstleister, die Daten in ein Drittland übermitteln, zu identifizieren. Dies ist weiterhin unerlässlich, um das weitere Vorgehen zu klären.

Zum konkreten weiteren Handlungsbedarf gibt es leider immer noch viele Unsicherheiten. Die Aufsichtsbehörde aus Baden-Württemberg hat jetzt eine erste Orientierungshilfe (OH) zu dieser Thematik veröffentlicht. Wir empfehlen dringend, sich diese Orientierungshilfe durchzulesen, um die Relevanz des Urteils einschätzen zu können. In der Orientierungshilfe wird auch der rechtliche Hintergrund und die Folgen noch einmal anschaulich erläutert, daher verzichten wir auf eine erneute Darstellung.

Wir möchten nachfolgend aufzeigen, wie bei der Übermittlung von Daten in ein Drittland vorgegangen werden könnte. Die Vorschläge der Orientierungshilfe haben wir aufgenommen:

Schritt 1: Erstellen einer vollständigen Bestandsaufnahme des Datentransfers in ein Drittland.

  • Welche Dienstleister verarbeiten Daten in einem Drittland?
  • Darunter können auch bloße Zugriffsmöglichkeiten von privaten oder öffentlichen Stellen in Drittstaaten auf bei Ihnen vorgehaltene Daten fallen (Schnittstellen, Abrufmöglichkeit, Fernwartung), ein „physischer“ Export der Daten ist nicht erforderlich (OH, Seite 9).

Schritt 2: Anschreiben aller Auftragsverarbeiter, um sicherzustellen, dass diese nicht durch Einsatz von Subunternehmern einen Drittland-Transfer durchführen (denn auch für Subunternehmer ist Ihr Unternehmen verantwortlich).

  • Schreiben für die Anfrage beim Auftragsverarbeiter erstellen.
  • Alle Auftragsverarbeiter anschreiben.

Schritt 3: Verzeichnisse der Verarbeitungstätigkeiten (Verarbeitungsbeschreibungen) entsprechend prüfen und ggf. anpassen.

Schritt 4: Alle Auftragsverarbeiter, die personenbezogene Daten noch unter dem Privacy Shield übermitteln, schriftlich anweisen diese Übermittlung sofort auszusetzen, bis ein entsprechendes Datenschutzniveau sichergestellt ist.

Schritt 5: Überlegen, ob Sie einen Transfer von Daten durch den Einsatz europäischer Alternativen vermeiden können.

  • Wenn ja, Umstellung auf diesen Dienst.
  • Wenn es keine Alternativen gibt (Kosten, Funktionalität, etc.), dokumentieren, warum dies so ist.

Schritt 6: Rechtslage in dem Drittland, in das Daten übermittelt werden, klären. Überprüfen, ob es für dieses Drittland einen Angemessenheitsbeschluss nach Art. 45 DSGVO gibt (wie z.B. bei Kanada).

Schritt 7: Prüfen, ob für das Drittland die Standardvertragsklauseln genutzt werden können und dürfen.

Schritt 8: Wenn keine Standardvertragsklausen eingesetzt werden können, wie z.B. für die USA, überprüfen, ob die Daten mithilfe zusätzlicher Garantien oder Maßnahmen (die vertraglich zu vereinbaren sind) ermöglicht werden kann.

Schritt 9: Bestimmung des Risikos für die Betroffenen, wenn die Daten weiterhin in ein Drittland übermittelt werden.

  • Durchführen einer Schutzbedarfsfeststellung und Risikobewertung. (Welche Daten werden in dem Dienst abgelegt und welcher Schutzbedarf besteht?)
  • Durchführen einer Risikoanalyse und Bewertung der Schutzmaßnahmen (z.B. mit der Methode der Datenschutzfolgenabschätzung)
  • Definieren von weiteren geeigneten Maßnahmen (TOMs), um die Risiken für die Betroffenen zu reduzieren. Hilfreich können sein:
    • Erstellen und umsetzen von IT-Sicherheitsmaßnahmen (technisch und organisatorisch)
    • Einsatz von Verschlüsselungsverfahren
  • Erstellen und verbindliche Umsetzung einer Richtlinie zur Informationsklassifizierung:
    • Welche Daten sind streng vertraulich, normal vertraulich oder gar öffentlich?
    • Welche Datenklassen sind wie zu schützen und dürfen in welchen Anwendungen/Diensten gespeichert werden?

Schritt 10: Datenschutzerklärungen überprüfen und ggf. anpassen.

Schritt 11: Wenn Sie trotz der oben genannten Handlungsempfehlungen zu einem negativen Ergebnis kommen:

  • Verarbeitung einstellen,
  • Anfrage bei der Datenschutzaufsicht oder
  • Risiko eingehen.

Uns ist bewusst, dass die Umsetzung der oben beschriebenen Handlungsempfehlungen eine Herausforderung ist. Wir können Sie natürlich bei den einzelnen Schritten unterstützen. Es ist jedoch unerlässlich, dass Sie prüfen, welche Dienstleister Sie einsetzen und dass Sie mit Hilfe der oben dargestellten Schritte sicherstellen, dass keine unrechtmäßige Übermittlung in ein Drittland stattfindet.

Wenn Sie Unterstützung brauchen, sprechen Sie uns gerne an.