Die deutschen Datenschutzinstitute werden in Sachen „Schrems II“ aktiv
Nach Corona-bedingter „Schonzeit“ werden die deutschen Datenschutzbehörden in Sachen „Schrems II“ aktiv - Überprüfung der IT Compliance bei Nutzung von US Cloud Anbietern
Deutsche Datenschutzbehörden prüfen Umsetzung von Schrems II im Rahmen der DSGVO Compliance
Laut einer Pressemitteilung von deutschen Datenschutzbehörden Anfang des Monats werden neun deutsche Datenschutzbehörden an einer koordinierten Prüfung von Unternehmen in Deutschland hinsichtlich der Übermittlung von personenbezogenen Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) teilnehmen. Die konzertierte Initiative zielt darauf ab, die Anforderungen, die der EuGH in seiner „Schrems-II“ Entscheidung im Juli 2020 festgelegt hat, zu prüfen und durchzusetzen. Die Datenschutz-behörden kontaktieren Unternehmen derzeit mit abgestimmten Fragebögen.
Unternehmen müssen nachweisen, dass sie die erforderlichen Bewertungen durchgeführt und erste Schritte unternommen haben, um sicherzustellen, dass ihre Datenverarbeitungs-prozesse den Anforderungen der DSGVO entsprechen. Dabei werden verschiedene Bereiche wie E-Mail Services, Webhosting, Bewerberportale und der gesamte konzerninterne Datenaustausch überprüft.
Die 18 deutschen Datenschutzbehörden erwarten von den Unternehmen, dass sie bereits Schritte zur Erfüllung der durch Schrems II aufgestellten Anforderungen unternommen haben.
Hintergrund - Schrems II
Bis zum 16. Juli 2020 konnten personenbezogene Daten auf Grundlage des Privacy Shield-Abkommens in die USA übermittelt werden. Im sogenannten Schrems II-Urteil hat der EuGH dieses Abkommen für unwirksam erklärt.
Personenbezogene Daten dürfen grundsätzlich nur dann an Drittländer (Länder außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR)) übermittelt werden, wenn das durch die Datenschutz-Grundverordnung (DS-GVO) gewährleistete Schutzniveau nicht untergraben wird. Auf der Grundlage der Privacy Shield-Übereinkunft zwischen der EU und den USA hatte die EU-Kommission 2016 in einem Durchführungsbeschluss festgestellt, dass die USA ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten. Mit Urteil vom 16. Juli 2020 (Rechtssache C 311/18 – „Schrems II“) hat der EuGH diesen Durchführungsbeschluss zum Privacy Shield für unwirksam erklärt. Eine Übergangsfrist hat das Gericht nicht eingeräumt.
Auch wenn das Urteil unmittelbar nur auf Standardvertragsklauseln bezogen ist, gelten die Anforderungen des EuGH entsprechend auch bei der Nutzung von verbindlichen internen Datenschutzvorschriften gemäß Art. 47 DS-GVO (Binding Corporate Rules, BCR). Auch hier hat der Verantwortliche zu prüfen, ob im Drittland ein gleichwertiges Schutzniveau vorherrscht oder ob gegebenenfalls zusätzliche Maßnahmen ergriffen werden können, um das angemessene Schutzniveau zu erreichen.
Überprüfung und compliancegerechte Dokumentation unabdingbar
Verantwortliche in Unternehmen sollten prüfen, in welchen Fällen auf welcher Rechtsgrundlage personenbezogene Daten in Drittländer übermittelt werden. Bei dieser Bestandsaufnahme sind auch Auftragsverarbeiter in den Blick zu nehmen, die möglicherweise personenbezogene Daten an ein Drittland übermitteln.
Eine effiziente Überprüfung und Dokumentation der Schrems II Implikationen ist ohne technische Unterstützung und automatisierte Tools aufgrund der hohen Komplexität der eingesetzten Cloud Systeme kaum möglich
Da diese Überprüfung durch manuelle Ermittlungen in der komplexen IT Cloud Infrastruktur der meisten Unternehmen nicht, oder nur mit sehr hohem Aufwand möglich ist, bietet DECOMPLEXITY Europe in Kooperation mit PRW Rechtsanwälte sowie der Cloud Business Group in München Unternehmen ein automatisiertes Verfahren zur Überprüfung der Schrems II Auswirkungen auf die Datenspeicherung und Datenübermittlung in MS365 Cloud Umgebungen an, da ein sehr hoher Anteil der Mittelstandsunternehmen und Konzerne auf diese Lösungen setzt.
Weitere Informationen zu diesem Thema finden Sie hier:
www.decomplexity.eu/cloudcompliance