Bis zum 16. Juli 2020 konnte die Übermittlung von personenbezogenen Daten in die USA auf das „EU-US Privacy Shield“-Abkommen gestützt werden. Im sogenannten Schrems II-Urteil hat der EuGH dieses Abkommen für ungültig erklärt. Nun kommt es also auf die von der EU-Kommission vorformulierten Standardvertragsklauseln (SCC) an, die der EuGH im selben Urteil nicht grundsätzlich ablehnt. Diese können weiterhin genutzt werden, aber der EuGH hat auch betont, dass es in der Verantwortung des Datenexporteurs liegt, zu prüfen, ob die Rechte der betroffenen Personen im Drittland ein gleichwertiges Schutzniveau wie in der EU genießen. Im Einzelfall müssen gegebenenfalls zusätzliche Maßnahmen sicherstellen, dass das garantierte Schutzniveau, dem der EU im Wesentlichen gleichwertig ist. Ist dies nicht möglich, darf die Datenübermittlung nicht vorgenommen werden.
Warum kann die Datenübermittlung in die USA trotz Abschluss von Standardvertragsklauseln problematisch sein?
Mit Unterzeichnung der Standardvertragsklauseln verpflichtet sich im Wesentlichen der Datenimporteur (Datenempfänger in den USA) das in Europa geltende Datenschutzniveau zu achten und sich in Bezug auf die erlangten personenbezogenen Daten an die Regelungen der DSGVO zu halten. Aufgrund unterschiedlicher US-amerikanischer Überwachungsgesetze (wie beispielsweise FISA 702, Executive Order 12.333 oder CLOUD Act) sind viele Datenimporteure in den USA (insb. Clouddiensteanbieter) jedoch faktisch nicht dazu in der Lage, dieses vertragliche Versprechen gegenüber dem Datenexporteur (Datenübermittler aus Europa) tatsächlich einzuhalten. Kraft US-amerikanischer Überwachungsgesetze sind sie dazu verpflichtet, auf Anfrage US-amerikanischer Überwachungsbehörden auch die der DSGVO unterliegenden Daten herauszugeben bzw den Behörden uneingeschränkt Einsicht zu ermöglichen. Im Ergebnis befindet sich der Datenimporteur daher in der unglücklichen Lage, entweder gegen europäisches Datenschutzrecht oder US-amerikanische Überwachungsgesetze verstoßen zu müssen, indem er entweder die Einsicht in die betroffenen Daten verweigert oder diese offenlegt. Da US-amerikanisches Überwachungsrecht aber notfalls von den Behörden auch zwangsweiße durchgesetzt werden kann, bzw. sich die Behörden die Daten selbstständig beschaffen können, wird das europäische Datenschutzrecht de facto ausgehebelt. Die vertragliche Zusicherung über Standardvertragsklauseln alleine reicht daher nicht aus, um das europäische Datenschutzniveau bei Datenübermittlungen in die USA hinreichend zu gewährleisten.
Für europäische Unternehmen ist die Lösung leider nicht, sich schlicht von multinationalen Konzernen die Zusicherung einzuholen, dass Daten ausschließlich auf Servern in Europa verarbeitet werden. Der CLOUD Act unterscheidet nämlich nicht zwischen den US-amerikanischen Mutterunternehmen und deren (europäischen) Töchtern. Wenn ein US-amerikanisches Konzernunternehmen daher faktisch die Möglichkeit hat, auf Daten anderer Konzernunternehmen in Europa zuzugreifen, bzw. ein Weisungsrecht gegenüber diesen Unternehmen besteht, müssen auch die auf europäischen Servern gespeicherten Daten an die US-amerikanischen Behörden herausgegeben werden. Verhindert werden könnte diese Zugriffsproblematik nur, wenn mit rein europäischen Unternehmen gearbeitet wird oder derzeitige Töchter US-amerikanischer Unternehmen strukturell komplett von diesen getrennt werden, sodass ein Zugriff auf Daten faktisch nicht mehr möglich ist.
Mit dem Schrems II-Urteil bekräftigte der EuGH ausdrücklich, dass die Standardvertragsklauseln als Rechtsgrundlage für Datenübermittlungen in Drittländer weiterhin in Geltung stehen, jedoch im Einzelfall geprüft werden muss, ob sie alleine ausreichen, um das Datenschutzniveau zu gewährleisten oder ob zusätzlich sogenannte „ergänzenden Maßnahmen“ ergriffen werden müssen.
Rechtsanwältin Katharina Raabe-Stuppnig rät dazu, zeitnah aktiv zu werden: Bei völligem Ignorieren des Schrems II-Urteils drohen erhebliche Bußgelder. Befasste Aufsichtsbehörden haben dabei sicherzustellen, dass derartige Bußgelder jedenfalls wirksam, verhältnismäßig und abschreckend sind. Um Sanktionen zu vermeiden, sollten Unternehmen in Europa nunmehr rasch damit beginnen ihre vertraglichen Beziehung mit Unternehmen in Drittstaaten zu überprüfen, die neuen Standardvertragsklauseln auszuverhandeln und erforderlichenfalls samt „ergänzender Maßnahmen“ abzuschließen. Die Dauer, die dafür notwendig sein wird, sollte nicht unterschätzt werden.
Katharina Raabe-Stuppnig – Selbstständige Rechtsanwältin
Katharina Raabe-Stuppnig ist selbständige Rechtsanwältin mit Sitz in Wien. Die Rechtsanwältin ist auf Medienrecht, Urheberrecht und Telekommunikationsrecht sowie auf Verfahren wegen unlauteren Wettbewerbs (UWG) spezialisiert. Ein weiterer starker Schwerpunkt liegt im Datenschutzrecht und im Schutz von Persönlichkeitsrechten. In dieser fachlichen Ausrichtung arbeitet Katharina Raabe-Stuppnig seit mehr als fünfzehn Jahren: zunächst als Rechtsanwaltsanwärterin in mehreren Medienkanzleien, ab 2012 als Rechtsanwältin. Zuletzt leitete sie die Praxisgruppe „Telekommunikation, Medien und Technologie“ (TMT) als Managing Partnerin einer großen Wirtschaftskanzlei.
WEBINAR | Schrems II: Fragen, Antworten und Hintergründe – Auswirkungen für die Praxis
Erfahren Sie in der Aufzeichnung unseres Experten-Webinars mit Katharina Raabe-Stuppnig – selbstständige Rechtsanwältin aus Wien – Wissenswertes rund um das Thema Schrems II!
Die Anwältin klärt zunächst allgemeine Fragen zum Thema Schrems II: Was ist Schrems II? Welche Anforderungen an Unternehmen gehen damit einher? Welche Unternehmen betrifft das Schrems II Urteil überhaupt? Anschließend geht sie u.a. darauf ein, welche technischen Anforderungen bzw. Empfehlungen in Bezug auf IT-Security daraus hervorgehen, wie die neuen Standardvertragsklauseln konkret umgesetzt werden können, welche wesentliche Termine bzw. Deadlines in Verbindung mit Schrems II eingehalten werden müssen und welche Konsequenzen eine Nichteinhaltung der Vorgaben für Unternehmen haben kann.
Zur Webinar-Aufzeichnung
Handout: "Schrems II in a Nutshell"
Kurzzusammenfassung der wichtigsten Aspekte rund um das Schrems II-Urteil von Katharina Raabe-Stuppnig.
Informationen und Lösungen unserer Hersteller zum Schutz von Daten gemäß dem Schrems II-Urteil
Mit BlackBerry sind Sie EU-DSGVO compliant – meistern Sie alle Herausforderungen mithilfe eines einzigen Ende-zu-Ende Angebots
Die EU-Datenschutz-Grundverordnung (EU-DSGVO) brachte radikale Änderungen mit sich. Unternehmen müssen beim Sammeln, Verwenden und Speichern personenbezogener Daten von Kunden und Mitarbeitern strenge Auflagen beachten.
BlackBerry arbeitet eng mit Ihrem Unternehmen zusammen, um Mehrwert aus der EU-DSGVO zu generieren. Denn es geht nicht nur um das Einhalten von Vorschriften. BlackBerry sorgt für die Optimierung der Verarbeitungsprozesse und Geschäftsabläufe zur Einhaltung der gesetzlichen Anforderungen. Aus den so generierten Daten können Sie wertvolle Einblicke für ein besseres Marketing und mehr Umsatz erhalten.
Bei BlackBerry finden Sie Whitepaper, Datenblatt, Webcast sowie weitere Informationen. Ebenfalls können Sie einen Spezialisten für Datenschutz kontaktieren.
Live-Webcast | 19. Oktober um 15 Uhr | Sichere Verschlüsselung in Microsoft Teams, OneDrive und Sharepoint
Cloud-Dienste von Microsoft werden in Unternehmen häufig eingesetzt. Seit dem Schrems II-Urteil des EuGH aus dem Jahr 2020 steht aber in Frage, ob diese Nutzung mit der DSGVO konform ist. Wie lassen sich Daten effektiv schützen, die in der Cloud abgelegt werden? Eine Client-seitige, Rollen- und Regel-basierte Verschlüsselungslösung erlaubt die sichere Zusammenarbeit auf Cloud-Diensten wie OneDrive, Sharepoint oder Teams - auch auf iPhone, iPad oder Android-Geräten. Conpal zeigt Ihnen in diesem Webcast, wie Sie conpal LAN Crypt einsetzen können, um dieses Ziel zu erreichen.
Datentransfer in Drittländer - entspricht Ihre Dateitransferlösung den Anforderungen?
Wer seine Daten bisher aufgrund von Standardvertragsklauseln in Drittländer wie die USA übertragen hat, muss jetzt umstellen. Unternehmen müssen sich einen Überblick über die internationalen Datenströme verschaffen und prüfen, welches Datenschutzniveau die einzelnen betroffenen Staaten bieten. Ergibt diese Prüfung, dass das Schutzniveau nicht mit dem europäischen vergleichbar ist, müssen vor dem Transfer der Daten zusätzliche Maßnahmen ergriffen werden, um den Schutz der Daten zu garantieren. Als technische Lösung für eine DSGVO konforme Datenübertragung eignet sich auch eine Verschlüsselung der Daten während der Übertragung – solch einen Schutz bietet MOVEit.
Mehr zum Thema sichere Dateiübertragung mit MOVEit Managed File Transfer
Podcast: Was man zu den neuen Standardvertragsklauseln der EU wissen sollte
Anfang Juni 2021 hat die Europäische Kommission zwei neue Sätze von Standardvertragsklauseln im Bereich Datenschutz angenommen. Doch was sind überhaupt Standardvertragsklauseln, was sind die Neuerungen und welche Folgen haben sie für notwendige Schutzmaßnahmen bei E-Mail, Cloud und File-Transfer? Das Interview von Oliver Schonschek, Insider Research, mit Stephan Heimel von SEPPmail liefert Antworten.
Webinar: So schaffen Sie Sicherheit für Ihre Digitalisierungsprojekte
Was haben Datenschutz in der Cloud, Microsoft Azure und der Fährhafen Sassnitz miteinander zu tun? Und wie können Sie Digitalisierungsprojekte in Ihrem Unternehmen absichern? Die Antworten auf diese Fragen bekommen Sie in dieser Webcast-Aufzeichnung.
Armin Simon, Regional Sales Director Deutschland, Thales geht unter anderem auf die folgenden Themen ein:
- Die zentralen Security-Herausforderungen der digitalen Transformation
- Die Auswirkungen von Schrems II
- Welchen Schutz bieten die Cloud-Service-Provider?
- Verschlüsselung als strategische Entscheidung
Whitepaper: Wie können Daten in einer Post-Schrems-II-Welt gesichert werden?
Die Schrems II-Entscheidung hat einen großen Einfluss auf den internationalen Handel zwischen Unternehmen, die mit der Europäischen Union (EU) Geschäfte machen. Die Konsequenz einer Nichtbeachtung von Schrems II könnte im wahrsten Sinne des Wortes einen teilweisen oder vollständigen Stillstand des Datentransfers zwischen EU- und Nicht-EU-Ländern bedeuten, was sich auf den Gewinn eines jeden globalen Unternehmens auswirken könnte.
Dieses Whitepaper beschreibt, wie multinationale Unternehmen die Empfehlungen des European Data Protect Board befolgen können, um die Schrems-II-Entscheidung zu adressieren, indem sie ein vertrauenswürdiges Datenschutz-Framework nutzen, das von den branchenführenden Datenschutz- und Trusted Access Management-Plattformen von Thales bereitgestellt wird.
- Strategien zur Umsetzung von Schrems II
- Nutzung von BYOE & BYOK
- Wie man Daten entdeckt, schützt und kontrolliert
Quellen:
https://www.cmshs-bloggt.de/tmc/datenschutzrecht/schrems-ii-aufsichtsbehoerde-standardvertragsklausel-scc/
https://www.cloudcomputing-insider.de/die-rolle-des-cloud-standorts-fuer-den-datenschutz-a-963676/
https://www.dataguard.de/magazin/datenubermittlung-drittlander
https://datenschutz-hamburg.de/pages/fragebogenaktion/
https://www.datenschutz-notizen.de/fragebogenaktion-zu-schrems-ii-das-sollten-unternehmen-wissen-2830125/
https://www.heise.de/select/ct/2020/21/2014911051564773556
https://lfd.niedersachsen.de/startseite/themen/weitere_themen_von_a_z/internationaler_datenverkehr/das_schrems_ii_urteil_des_eugh_und_seine_bedeutung_fur_datentransfers_in_drittlander/das-schrems-ii-urteil-des-europaischen-gerichtshofs-und-seine-bedeutung-fur-datentransfers-in-drittlander-194085.html