Zum Inhalt springen
Home » Datenschutz-News » „Schrems II“ Stichprobenartige Kontrollen der Umsetzung der neuen Rechtslage angekündigt

„Schrems II“ Stichprobenartige Kontrollen der Umsetzung der neuen Rechtslage angekündigt

Aufsichtsbehörden haben Task-Force ins Leben gerufen

Der anhaltende Lockdown setzt Unternehmen fortlaufenden Herausforderungen aus. Um in der Corona-Pandemie handlungsfähig zu bleiben, kommt verstärkt unterschiedliche Software, wie Google-Workspace, Microsoft Office 365, Confluence (Atlassian) oder auch etwa Zoom zum Einsatz. Auch wenn der Ort der Datenverarbeitung vertraglich in der EU festgelegt werden kann, behalten sich US- Anbieter, wie z.B. Microsoft, zumindest eine Datenübermittlung in die USA vor. Nachdem der Europäische Gerichtshof (EuGH) mit seinem Schrems II-Urteil (Rechtssache C-311/18) den EU-US-Privacy Shield im vergangenen Jahr für unwirksam erklärt hat, fehlt es oft an einer Rechtsgrundlage für Datenübermittlungen in die USA. Die deutschen Aufsichtsbehörden haben nun eine Task-Force ins Leben gerufen, deren Aufgabe es sein wird, Datenübermittlungen von Unternehmen in die USA auf ihre Rechtmäßigkeit hin zu prüfen. Da das Schrems-II-Urteil hohe Hürden für eine solche Datenübermittlung gesetzt hat, müssen in nahezu jedem Unternehmen fortlaufend Maßnahmen ergriffen werden, um weiterhin rechtskonform US-Dienstleister einsetzen zu können. Es drohen Bußgelder und ggf. das Verbot von betroffenen Datenverarbeitungen.

LfDI Rheinland-Pfalz hat Kontrollen angekündigt

Bisher waren die die Behörden sehr zurückhaltend bei der Erteilung von Bußgeldern oder Verboten. Dies soll sich nun ändern. Der Landesdatenschutzbeauftragte für Rheinland-Pfalz (LfDI), Prof. Dr. Kugelmann hat im Rahmen einer Informationsoffensive dutzende Unternehmen, staatliche Stellen und Verbände in Rheinland-Pfalz angeschrieben und zur datenschutzkonformen Umsetzung aufgefordert, um Verstöße bei der Übermittlung von Daten ins außereuropäische Ausland vorzubeugen. Nach dieser „letzten Warnung“ wird ein schärferes Vorgehen angekündigt, indem es in naher Zukunft zu stichprobenartigen Kontrollen kommen soll. Wenn ein kooperativer Dialog mit den Verantwortlichen nicht gelinge, müsse mit den verfügbaren Maßnahmen der Aufsichtsbehörden reagiert werden und gegebenenfalls auch Bußgelder verhangen werden.

Was sollten Unternehmen beachten?

Der LfDI hat ein Prüfungsschema bereitgestellt, anhand dessen alle im Betrieb stattfindenden Datenverarbeitungsvorgänge im Zusammenhang mit Drittstaaten auf ihre Zulässigkeit hin untersucht werden können. Die wichtigsten Punkte sind dabei:

  • Prüfungsergebnis, Prüfungsschritte und Bewertungen immer dokumentieren, da sich dies sanktionsmildernd auswirken kann
  • Bei gewünschter Fortsetzung einer unzulässigen Datenübermittlung in ein Drittstaat besteht eine Meldepflicht an die zuständige Aufsichtsbehörde
  • Datenschutzbestimmungen anpassen
  • Ergänzend zu den EU-Standartvertragsklauseln müssen zusätzliche Maßnahmen wie z.B. Verschlüsselung, Datenminimierung oder Zugriffsbeschränkungen, ergriffen werden

Zieht eine nicht datenschutzkonforme Datenübermittlung in ein Drittland automatisch ein Nutzungsverbot mit sich?

Entscheidend ist stets der Einzelfall. Nicht nur auf nationaler, sondern auch auf unionsrechtlicher Ebene gilt der sog. Verhältnismäßigkeitsgrundsatz. Ein Nutzungsverbot der in Frage stehenden Softwares dürfte demnach nur verhängt werden, wenn kein milderes Mittel zur Verfügung stehen, das gleich geeignet ist, die Datenschutzkonformität der Datenübermittlung in Drittstaaten zu gewährleisten. Alternativ zur Nutzungsuntersagung könnte die Behörde z.B. einen bestimmten Umgang mit solchen Programmen anordnen. Sicherheitseinstellungen innerhalb der Software, durch die der Datentransfer minimiert wird, können geprüft und angeordnet werden. Auch könnte der Verzicht auf datenschutzrechtlich besonders risikoreiche Leistungsangebote sowie auf die Verarbeitung von besonders sensiblen Daten wie Gesundheitsdaten durch amerikanische Anbieter angeordnet werden. Ein milderes Mittel kann ebenfalls die Anordnung zur Implementierung eines europäischen Cloud-Systems sein.

Den Behörden stehen zahlreiche mildere Mittel zur Verfügung, die u.U. gleich geeignet sind, einen datenschutzkonformen Transfer von Daten in Drittstaaten zu gewährleisten. Dann wäre aber eine Nutzungsuntersagung solcher Software unverhältnismäßig.

Fortschritte im Bereich des datenschutzkonformen Datentransfers durch amerikanische Dienstleister

US-Anbieter selbst zeigen sich wiederholt kooperationsbereit und befinden sich zum Teil, wie z.B. Microsoft, im Dialog mit den zuständigen Behörden. Auch diese Unternehmen erkennen immer mehr den Bedarf an einem hohen Datenschutzniveau im europäischen Raum. Gemeinsam mit den Behörden kann so nach Lösungen für das datenschutzrechtliche Problem gesucht werden. Der Einsatz von Technologiepartnerschaften, die zugleich auch den europäischen Markt und die internationale Zusammenarbeit fördern, wurde bereits seitens einiger US-Anbieter angeregt.

Fazit

Auch wenn sich US-Anbieter kooperationsbereit zeigen, sollten Unternehmen dennoch selbst aktiv werden und fortlaufend Maßnahmen ergreifen. Dies gilt vor allem mit Hinblick auf die durch den Landesdatenschutzbeauftragte von Rheinland-Pfalz angekündigten stichprobenartigen Kontrollen angekündigt.

Unternehmen sollten daher stets prüfen, ob es zum eingesetzten US-amerikanischen Dienst europäische Alternativen gibt. Ist dies unzutreffend, empfiehlt sich, dies entsprechend zu dokumentieren. In jedem Fall sollten die vorhandenen Konfigurationsmöglichkeiten der verendeten Software im Sinne der datenschutzfreundlichsten Voreinstellungen vorgenommen werden. Zudem bietet es sich an, die Nutzung nochmals im Hinblick auf den Grundsatz der Datenminimierung hin zu überprüfen und die Datenverarbeitung auf die Datenkategorien und Betroffenen zu beschränken, die für den Zweck der Datenverarbeitung allein notwendig sind.

Ein kompletter Verzicht auf US-Software, oft Marktstandard stellt dabei selten ein realistisches Szenario dar. Ein Nutzungsverbot würde dazu führen, dass ein Unternehmen ihre unverzichtbare digitale Infrastruktur nicht mehr nutzen könnte und somit zusätzlich zu einem räumlichen Lockdown auch digital eingeschränkt werden. Die Auswirkungen wären immens und würden einen massiven Eingriff in die Unternehmens- und Eigentumsfreiheit darstellen, sodass dies im Einzelfall rechtlich nur schwer vertretbar wäre. Ob diese Unverhältnismäßigkeit auch zu Gunsten des Datenschutzes einfach akzeptiert werden muss, müssten wohl die Gerichte entscheiden.

Bildernachweis für diesen Beitrag © sonjanovak – stock. adobe. com