Update – Schrems II in Österreich und Europa



Schrems II ist seit 16.7.2020 jedem Datenschützer und vielen Unternehmen ein Begriff. Datentransfers in Drittländer wurden komplexer, und können nur zum Teil auf Standardvertragsklauseln (Standard Contract Clauses) gestützt werden.

 

Zusätzliche Maßnahmen sind bei Datenübertragungen in die USA (oder auch andere Drittländer mit einem nicht angemessenen Datenschutzniveau) erforderlich.


USA – SCC statt Privacy Shield -> Was ist zu tun?

 

Die Unternehmen, die weiterhin Daten in die USA übermitteln (wollen), haben sich intensive Gedanken zu machen, wie dies nun strukturiert werden soll. Unsere Handlungsempfehlungen wurden bereits am 24.7.2020 veröffentlicht.

 

Es sollten jedenfalls alle Vertragspartner, an die Daten in die USA übermittelt werden, im Sinne dieses Fragebogens befragt werden.

 

 

Was wird die DSB tun?

 

Aus der Österreichischen Datenschutzbehörde ist zu vernehmen, das Organisationen, die sich mit der Frage auseinandersetzen und die Dienstleister auditieren, nicht „straffrei“ gestellt werden, und auch keine „Übergangsfristen“ gelten, innerhalb derer sich man noch auf das Privacy-Shield stützen kann, aber die Organisationen bei einer Anfrage / amtswegigen Prüfung die konkreten Schritte darstellen sollen, die seit 16.7.2020 gesetzt wurden, um die Rechtslage zu prüfen bzw. auf Standardvertragsklauseln umzustellen, und zusätzliche Maßnahmen zu evaluieren, um das Datenschutzniveau im Empfängerland anzupassen.

 

Wenn daher Organisationen gar keine Maßnahmen setzen, und nicht auf ihre Vertragspartner zugehen, kann das mE fatal für die Beurteilung durch die DSB sein.

 

 

Standardvertragsklauseln und Ergänzungen dazu

 

Es war dazu ein Muster der Aufsichtsbehörde Baden-Würtemberg online; dieses ist derzeit bedauerlicherweise nicht verfügbar.

 

 

Diese Ergänzungen der Standardvertragsklauseln betreffen folgende Maßnahmen aus organisatorischer bzw. rechtlicher Sicht, die als zusätzliche Maßnahmen im Sinne von Schrems II angesehen werden können:

·      zusätzliche Informationspflicht

·      zusätzliche Meldepflicht

·      Änderung beim Schlichtungsverfahren

·      Regelung zur Haftung

 

 

Verschlüsselung als „technische Maßnahme“ zusätzlich zu den SCC

 

Die Aufsichtsbehörden gehen derzeit davon aus, dass „Verschlüsselung“ nicht die einzige Maßnahme darstellen kann, jedoch aus derzeitiger Sicht die beste Maßnahme ist, um das Datenschutzniveau im Empfängerland auf ein angemessenes Niveau zu heben.

 

 

Entwicklungen in der EU

 

In Frankreich (Amtsblatt Nr. 0247 vom 10.10.2020) wurde vom Gesundheits- und Sozialministerium zum vom Microsoft betriebenen Health Data Hub auf Initiative der französischen Aufsichtsbehörde CNIL eine Verordnung – im Rahmen der COVID-19-Gesetzgebung – erlassen, wobei explizit auf die DSGVO sowie auf die Schrems II Entscheidung des EuGH Bezug genommen wird.

 

Ausdrücklich darauf hingewiesen wird, dass die „Gesundheitsplattform vertraglich verpflichtet ist, jede Übermittlung von personenbezogenen Daten in Länder außerhalb der EU zu unterbinden.

Die relevante Bestimmung der Verordnung lautet:

 

 „Außerhalb der Europäischen Union darf keine Übermittlung personenbezogener Daten erfolgen. "

 

 

Die Zukunft?

 

Bis zum Jahreswechsel sollen die neuen Standarddatenschutzklauseln erarbeitet sein. Der EDSA soll dazu vermutlich bereits im Oktober 2020 befragt werden.

 

 

Der EDSA arbeitet auch an Richtlinien zum internationalen Datenverkehr, bei denen auch die USA behandelt werden sollen. Darin sollen sich auch Informationen finden, wie denn der Datentransfer strukturiert werden kann, und nicht nur Informationen wie man es nicht machen soll.

 

 

19.10.2020, Autor

Michael Schweiger, zert DSBA


Download
Schems II Update Oktober 2020.pdf
Adobe Acrobat Dokument 216.3 KB

Handlungsempfehlungen zum Download:


Download
Schrems II Handlungsempfehlungen.pdf
Adobe Acrobat Dokument 1.2 MB

Kommentar schreiben

Kommentare: 0