Schonfrist zur Datenübermittlung in unsichere Drittstaaten ohne gültige Rechtsgrundlage ist vorbei – Behörden kündigen Kontrollen an

von Kathrin Bernecker

Seit dem Schrems-II-Urteil vom Sommer 2020, in dem das EU-US-Privacy-Shield für ungültig erklärt wurde, steht die Datenübermittlung in die USA – aber auch in alle anderen Staaten außerhalb der EU ohne Angemessenheitsbeschluss nach Art. 45 DSGVO – auf sehr wackeligen Beinen. Fast alle Unternehmen sind von diesem Urteil betroffen. Gem. Art. 44ff. DSGVO dürfen personenbezogene Daten vom Verantwortlichen oder vom Auftragsverarbeiter nur aufgrund besonderer Rechtsgrundlage übermittelt werden.

Den Datentransfer allein auf die Standarddatenschutzklauseln zu stützen genügt nicht. Es muss geprüft werden, ob im Zielland ein angemessenes Schutzniveau für die personenbezogenen Daten besteht. Dabei ist der umfangreiche Maßstab des Art. 45 Abs. 2 DSGVO anzulegen. Sodann müssen zusätzliche Schutzmaßnahmen für die personenbezogenen Daten getroffen werden.

 

Der Landesdatenschutzbeauftrage von Rheinland-Pfalz, Professor Dieter Kugelmann, hat nunmehr mit Nachdruck darauf hingewiesen, dass sich Unternehmen, Behörden, Kommunen, Schulen, Organisationen oder Arztpraxen hinsichtlich der Datenübermittlung in Drittstaaten auf „dünnem Eis“ bewegten. Daher wurde in Rheinland-Pfalz eine Informationsoffensive an alle datenübermittelnden Stellen gestartet, in der auf dieses Thema aufmerksam gemacht und sensibilisiert wurde. „Wer bis jetzt noch nicht auf die neue Rechtslage reagiert hat, muss umgehend aktiv werden, …“, so Kugelmann. Die Datenschutzbehörden können derartige Datenverarbeitungsvorgänge verbieten.

 

Nunmehr wird es stichprobenartige Kontrollen geben, ob der Verantwortliche oder der Auftragsverarbeiter den verschärften Vorgaben zum Datentransfer in unsichere Drittstaaten nachkommen. Es ist nur eine Frage der Zeit, bis die anderen Datenschutzbehörden diesem Beispiel folgen werden – die ungeschriebene Schonfrist von einem Jahr ist nun vorüber. Die Behörden werden nach dieser letzten Warnung das Urteil desEuGH durchsetzen und auch vor der Verhängung von Bußgeldern nicht zurückschrecken.

 

Daher sollten alle datenverarbeitenden Stellen prüfen, wo Daten in die USA und andere unsichere Drittstaaten fließen.  Zudem sollten die Verantwortlichen die Maßnahmen konkret dokumentieren. In Zusammenarbeit mit dem Datenschutzbeauftragten kann eine Einschätzung der Situation vorgenommen und eine weitere Vorgehensweise ausgearbeitet werden.

 

Wir beraten Sie gerne bei diesem, und allen weiteren Themen rund um den Datenschutz. Vereinbaren Sie einen Termin!  Sie erreichen uns in der Zentrale in Hutthurm bei Passau unter +49 (0) 8505 91927 – 0 und an unserer Niederlassung in München unter +49 (0) 89 413 2943 – 0 oder nutzen Sie unser Kontaktformular.

assets/images/d/kathrin-bernecker-6991d47d.jpeg
Kathrin Bernecker

Kathrin Bernecker studierte Rechtswissenschaften an der Ludwig-Maximilians-Universität München und der Universität Passau. Sie kann zwei juristische Staatsexamen vorweisen und spezialisierte sich nach ihrem Referendariat auf Datenschutzrecht. Ihre Erfahrung als Dozentin an der Universität Passau kommt unseren Kunden insbesondere bei Schulungen und Awareness-Trainings im Bereich Datenschutz und IT-Sicherheit zu Gute. Als Datenschutzbeauftragte steht sie unseren Kunden nicht nur mit ihrer juristischen Expertise sondern auch mit praxisnahen Lösungen zur Seite.