Blog
CMS Deutschland bloggt
Aktuelle Rechtsthemen und was eine Großkanzlei sonst bewegt
27. Oktober 2020
Aufsichtsbehörde Standardvertragsklausel
Datenschutzrecht

Schrems II: Reaktionen der Aufsichtsbehörden – Update #11

Reemt Matthiesen und Philippe Heinzke 1 SEITE DRUCKEN   SEITE SCHICKEN

Follow-Up zu „Schrems II“: Stellungnahmen der Aufsichtsbehörden zu Schrems II und möglichem Handlungsbedarf bei internationalen Datentransfers.

Der Europäische Gerichtshof (EuGH) hat am 16. Juli 2020 mit Urteil in der Rechtssache „Schrems II“ (C-311/18) den EU-US-Privacy-Shield-Beschluss für ungültig erklärt. Standardvertragsklauseln (SCCs) können zwar weiter für Datenübertragungen genutzt werden, der bloße Vertragsschluss reicht hierfür aber nicht aus. Das gleiche gilt für verbindliche interne Datenschutzvorschriften (BCRs).

Prüfungsanforderungen: Der konkrete Übertragungsweg und die Datenverarbeitung beim Empfänger müssen einem angemessenen Datenschutzniveau entsprechen

Bei einer Übermittlung von personenbezogenen Daten mittels SCCs muss der Datenexporteur zukünftig bewerten, ob für die von Transfer betroffenen Daten ein angemessenes Datenschutzniveau im Empfängerland gewährleistet ist. Dabei muss nicht das allgemeine Datenschutzniveau im Empfängerland bewertet werden, sondern das konkrete Schutzniveau für die übertragenen Daten.

Zu bewerten sind daher:

  • der konkrete Übertragungsweg der Daten: Risiken für das Schutzniveau können sich beispielsweise aus der staatlichen Überwachung von Leitungsnetzen ergeben (so kann bei Datenübertragung in die USA mittels Überseekabel eine Überwachung durch US-amerikanische Geheimdienste stattfinden, die bei einem anderen Übertragungsweg möglicherweise nicht erfolgt);
  • die Risiken durch die Speicherung der Daten bei einem spezifischen Empfänger: Unterschiede können sich beispielsweise durch branchenspezifische Gesetzgebung ergeben, die bestimmte Empfänger (z.B. TK-Anbieter) zur Kooperation mit Geheimdiensten zwingen, wohingegen andere Datenimporteure von derartiger Gesetzgebung nicht betroffen sein müssen;
  • ob zumutbare Alternativen bestehen (etwa in der EU ansässige Dienstleister), die ohne internationalen Datentransfer auskommen.

Ergibt sich aufgrund dieser Bewertung, dass das Schutzniveau nicht mit dem europäischen vergleichbar ist, muss der Datenexporteur vor dem Transfer zusätzliche Maßnahmen ergreifen, um den Schutz der Daten zu garantieren. Falls die Maßnahmen nicht ausreichen, dürfen personenbezogenen Daten nicht mehr auf der Grundlage von SCCs übertragen werden.

Stellungnahmen der Aufsichtsbehörden

Inzwischen liegen erste Stellungnahmen der Aufsichtsbehörden zum Urteil des EuGH vor. Wir dokumentieren diese Stellungnahmen im Anschluss, um Unternehmen bei der Implementierung des Urteils eine erste Hilfestellung zu geben. In unserer Tabelle heben wir hervor, welche Anforderungen aus Sicht der Aufsichtsbehörden nach dem Urteil bei einem Datentransfer in Drittländer zu beachten sind. Durch farbliche Markierung zeigen wir, ob eine Aufsichtsbehörde hohe, durchschnittlich oder geringe Anforderungen zur Umsetzung des Urteils stellt.

Hin­weis: Dieser Bei­trag wird laufend aktualisiert, erhebt aber keinen Anspruch auf Vollständigkeit. Die ergangenen Stellungnahmen sind jeweils in chronologischer Reihenfolge verlinkt. Unsere Tabelle fasst jeweils die aktuellste Stellungnahme zusammen. Die letzte Aktualisierung erfolgte am 27. Oktober 2020.

Behörde/ Gremium Anforderungen an Datentransfers mittels SCCs Handlungsbedarf für den Datenexporteur
Europäischer Datenschutzausschuss (EDSA)
  • Bei der Verwendung von SCCs oder BCRs haben Datenexporteur und -importeur das Schutzniveau im betreffenden Drittland zu prüfen, um festzustellen, ob die dadurch gebotenen Garantien in der Praxis eingehalten werden können.
  • Andernfalls ist zu prüfen, ob zusätzliche Maßnahmen zu ergreifen sind, um ein im Wesentlichen gleichwertiges Schutzniveau wie in der EU zu gewährleisten, und ob das Recht des Drittlandes diese zusätzlichen Maßnahmen nicht beeinträchtigt, um ihre Wirksamkeit zu verhindern.
  • Wenn die Beurteilung im Einzelfall zu dem Ergebnis führt, dass das Land des Datenimporteurs kein im Wesentlichen gleichwertiges Schutzniveau bietet, müsse der Exporteur unter Umständen zusätzliche Schutzmaßnahmen zu den in den Standardvertragsklauseln enthaltenen Maßnahmen in Betracht ziehen.
  • Der europäische Datenschutzausschuss untersucht weiter, worin diese zusätzlichen Maßnahmen bestehen könnten. Dafür hat er eine Arbeitsgruppe eingesetzt. Diese soll möglichst bis Ende November 2020 weitere Orientierungshilfen zur Verfügung stellen.

 
Historie:
17. Juli 2020: Presseerklärung
23. Juli 2020: FAQs
15. August 2020: Kurze Stellungnahme zu BCRs
4. September 2020: Ankündigung Arbeitsgruppe
23. September 2020: Informelle Aussage über Zeitrahmen
Europäischer Datenschutzbeauftragter (EDPS) Der EuGH habe zwar grundsätzlich die Gültigkeit der SCCs bestätigt, jedoch begrüßenswerte Klarstellungen geliefert betreffend der Verantwortlichkeit der Datenexporteure und der europäischen Datenschutzbehörden bei der Berücksichtigung der Risiken im Zusammenhang mit dem Zugriff auf personenbezogenen Daten durch die Behörden von Drittländern. Die Auswirkungen des Urteils, insb. auch hinsichtlich der von EU-Institutionen geschlossenen Verträge, werden im Einzelnen geprüft.
Historie:
17. Juli 2020: Erklärung
Bulgarien Verweist auf das Urteil des EuGH und stellt andere Schutzmechanismen dar. Der Datenexporteur muss auf alternative Transfermechanismen wie SCCs oder BCRs wechseln.
Historie:
16. Juli 2020: Pressemitteilung
Deutschland – Datenschutzkonferenz
  • SCCs können für eine Übermittlung personenbezogener Daten in die USA und andere Drittländer grundsätzlich weiterverwendet werden, allerdings nur im Falle der USA nur mit zusätzlichen Schutzmaßnahmen.
  • Die Bewertung eines gleichwertigen Datenschutzes in Drittländern obliegt dem Verantwortlichen und dem Empfänger.
  • Falls im Drittland kein entsprechender Schutz gewährleistet werden kann, sollte geprüft werden, welche zusätzlichen Schutzmaßnahmen möglich sind.
  • Dies gelte auch für BCRs. Daher müssen auch für Datenübermittlungen auf der Grundlage von BCRs zusätzliche Schutzmaßnahmen vereinbart werden, sofern die Rechte der betroffenen Personen im Drittland nicht ein gleichwertiges Schutzniveau wie in der Union genießen.
Historie:
28. Juli 2020: Presseerklärung
Deutschland – Bundesbeauftragter für Datenschutz und Informationsfreiheit (BfDI) SCCs sind weiterhin mögliche Grundlagen des Datentransfers. Schließt sich FAQ des EDSA vollständig an.
  • Der internationale Datenverkehr ist weiterhin möglich, wobei es für eine Übermittlung in die USA zusätzlicher Schutzmaßnahmen bedürfe. Als solche kommen insb. Verschlüsselung und Pseudonymisierung in Betracht.
  • Unternehmen sollen Verträge mit Dienstleistern prüfen, ob und wie diese Daten in Drittländern übermitteln.
  • Die Orientierungshilfe des EDSA werde detaillierter als eine bloße Checkliste sein. Der EDSA werde sie wahrscheinlich in der ersten Novemberwoche verabschieden.
Historie:

16. Juli 2020: 1. Presseerklärung
24. Juli 2020: 2. Presseerklärung
1. Oktober 2020: Interview mit Ulrich Kelber (BfDI)
8. Oktober 2020: Informationsschreiben mit Kernaussagen des Urteils und Prüfschema für internationale Datentransfers
24. Oktober 2020: Podcast-Interview mit Ulrich Kelber

Deutschland – Baden-Württemberg
  • SCCs wurden durch den EuGH nicht prinzipiell für unwirksam erklärt.
  • Hier müssten die europäischen Unternehmen und im Anschluss die Datenschutzbehörden im Einzelfall prüfen, ob sie ausreichen. Dies gelte auch für andere Drittländer (z.B. UK). Im Fall der Vereinigten Staaten liege das Ergebnis dieser Prüfung aber auf der Hand, denn praktisch kein US-amerikanisches Unternehmen könne glaubhaft garantieren, dass es vom Zugriff der Geheimdienste verschont bleiben wird. Weiterverarbeitungen auf Basis des Privacy Shields werde zu Bußgeldern führen. SCCs seien nur in seltenen Fällen denkbar.
  • Entscheidung betreffe auch andere Staaten (z.B. UK).
  • Weiterverarbeitung auf Basis des Privacy Shields führe zu Bußgeldern. Standardvertragsklauseln seien nur in seltenen Fällen denkbar.
  • Kritisiert EuGH, da dieser anderen Staaten europäische Vorstellungen von Datenschutz aufzwinge und die Entscheidung für Unternehmen nur schwer umzusetzen sei.
  • Unternehmen sollen prüfen, welche Daten sie in welche Länder exportieren. Ein Datenexport sei auch die bloße Möglichkeit des Zugriffs (z.B. bei Wartung). Anschließend müssen sie prüfen, ob es einen Angemessenheitsbeschluss für das jeweilige Land gibt und wenn nein, wie die Rechtslage in dem jeweiligen Drittland ist.
  • Datenexporte auf Basis des Privacy Shields seien umgehend einzustellen bis ein neuer Transfermechanismus gefunden sei.
  • Dieser neue Transfermechanismus sei in den Datenschutzhinweisen und in dem Verzeichnis der Verarbeitungstätigkeiten zu einzutragen.
  • Bei Standardvertragsklauseln seien in jedem Fall bestimmte Ergänzungen an den Klauseln vorzunehmen (Formulierungsvorschläge in Orientierungshilfe S. 11–13.)
  • Bei SCCs seien in jedem Fall bestimmte Änderungen an den Klauseln vorzunehmen (Formulierungsvorschläge in Orientierungshilfe S. 11-13f.) Es bedürfe zudem maßgeschneiderter zusätzlicher Schutzmaßnahmen, die beispielsweise darin bestehen könnten, dass Datenexporteure (insb. Anbieter von Cloud-Diensten) die Daten nachweislich in einer Weise verschlüsseln, bei welcher allein der Datenexporteur den Schlüssel hat und die auch die Geheimdienste nicht überwinden können.
  • Zentral sei, ob zumutbare Alternativangebote ohne Transferproblematik bestehen (z.B. Vereinbarung, dass Daten in einem der Mitgliedstaaten der DSGVO gehostet werden oder dass keine Datenübertragung in die USA vorgenommen wird, S. 8 und 10). Wenn solche existieren, werde der LfDI Baden-Württemberg diesen Datentransfer untersagen.
Historie:
20. Juli 2020: FAZ-Interview mit Stefan Brink (LfDI BaWü)
21. August 2020: Handelsblatt-Interview mit Stefan Brink
24. August 2020: Orientierungshilfe (aktualisiert am 7. September 2020)
28. August 2020: Podcast-Interview mit Stefan Brink
15. Oktober 2020: Podcast-Interview mit Stefan Brink
Deutschland –Berlin Datenexporteure und -importeure seien verpflichtet, vor der ersten Datenübermittlung zu prüfen, ob im Drittland staatliche Zugriffsmöglichkeiten auf die Daten bestehen, die über das nach europäischem Recht Zulässige hinausgehen. Bestehen solche Zugriffsrechte, können auch die SCCs den Datenexport nicht rechtfertigen.

Bereits ins Drittland übermittelte Daten müssen zurückgeholt werden. Anders als bisher verbreitet vertreten, genügt der reine Abschluss von SCCs nicht, um Datenexporte zu ermöglichen.

 Besondere Prüfpflichten bestehen insb. bei Datenübermittlungen in Drittländer wie China, Russland oder Indien.

 
Historie:
17. Juli 2020: Presseerklärung
Deutschland – Hamburg Die Beibehaltung von SCCs durch den EuGH sei nicht konsequent, da Geheimdienstaktivitäten auch diese betreffen. Die Datenschutzaufsichtsbehörden müssen die inhaltlichen Anforderungen des Urteils beachten, insb. das Datenschutzniveau des Empfängerstaates. Die EU müsse Daten nicht nur bei US-Anbietern, sondern weltweit vor staatlichen Zugriffen schützen. Besondere Prüfpflichten bestehen insb. bei Datenübermittlungen in Länder wie China, für die „derartige datenschutzrechtliche Vorkehrungen weit entfernt seien“, sowie im Hinblick auf den Brexit.
Historie:
16. Juli 2020: Presseerklärung
26. August 2020: Kommentar im Handelsblatt
Deutschland – Niedersachsen SCCs können nur verwendet werden, wenn diese in dem Rechtssystem des jeweiligen Drittlandes einen gleichwertigen Schutz bieten. Bei der Prüfung des Rechtssystems des Drittlandes gelte der gleiche Maßstab wie bei einem Angemessen-heitsbeschluss der Kommission.

Für die USA bestehe kein solch gleichwertiger Schutz. Daher seien zusätzliche Schutzmaßnahmen zwingend erforderlich.

Die Anforderungen an eine Einwilligung nach Art. 49 DSGVO seien sehr hoch.

 Datenübermittlungen in die USA, die allein auf das Privacy Shield gestützt werden, müssen sofort eingestellt werden.

Unternehmen müssen umfassend analysieren, ob SSCs ausreichend sind und zusätzliche Schutzmaßnahmen erwägen. Diese können rechtlicher, technischer oder organisatorischer Art sein.
Historie:
21. August 2020: PDF mit FAQ zu Videokonferenzdiensten (Fragen 7–10)
Deutschland – Rheinland-Pfalz Unternehmen können sich mit den SCCs nicht von ihren Prüfpflichten freikaufen. Sie müssen sich mit den nationalen Gesetzen des Drittlandes intensiv auseinandersetzen.

Insb. sei offen, ob eine Ergänzung der SCCs in der konkreten Vertragsbeziehung als zusätzliche Schutzmaßnahme geeignet sein könne, insb. z.B. unter Geltung von Sicherheitsgesetzen wie Sec. 702 Foreign Intelligence Surveillance Act (FISA), da die US-Behörden nicht an die SCCs gebunden sind.

 

 
  • Die SCCs müssen ggf. durch weitere Vereinbarungen oder Elemente ergänzt werden, um sicherzustellen, dass bei der Datenübermittlung in den Drittstaat das angemessene Schutzniveau erhalten ist. Für Datenübermittlungen in die USA bedeute dies, dass erhebliche Anstrengungen der Verantwortlichen erforderlich sind, die vermutlich nur in seltenen Fällen als ausreichend angesehen werden können. Dies sei aber eine Frage des Einzelfalles. Zugleich müssen die Verantwortlichen ihre Datenübermittlungen in andere Drittstaaten, z.B. Indien, China oder Russland daraufhin prüfen, ob sie dem Datenschutzniveau entsprechen, das die Datenschutz-Grundverordnung verlangt.
  • Unternehmen müssen Alternativdienste aus dem EEA nutzen, selbst wenn sie teurer sind.
  • Der LfDI Rheinland-Pfalz werde im Rahmen von Beschwerden oder ansonsten mittelfristig auf Unternehmen zukommen, um entsprechende Darlegungen zu erhalten.
Historie:
16. Juli 2020: Presseerklärung und FAQs
24. Juli 2020: Presseerklärung
22. September 2020: Podcast-Interview mit Dr. Kugelmann (LfD Rheinland-Pfalz)
Deutschland – Thüringen Es sei fraglich, wie die weiterhin anwendbaren SCCs der EU künftig mit „Leben erfüllt“ werden sollen.

 

 Insb. sei unklar, wie Datenexporteur und -importeur bei der Prüfung der Schutzmaßnahmen der SCCs und ihrer Einhaltung im Fall der USA zu einem EU-datenschutzkonformen Prüfergebnis gelangen sollen.
Historie:
17. Juli 2020: Presseerklärung
Dänemark Es wird auf das Urteil des EuGH hingewiesen, dessen Implikationen weitergehend zu analysieren seien. Bisher keine Hinweise zu weiterem Handlungsbedarf.
Historie:
20. Juli 2020: Presseerklärung
Estland Die Verantwortung zur Prüfung der Frage, ob der Schutz personenbezogener Daten durch SCCs (auch in Zukunft) gewährleistet werden könne, liege nunmehr bei Datenexporteur und -importeur. Kann der Schutz personenbezogener Daten nicht gewährleistet werden, müsse die Datenübertragung ausgesetzt werden. Soll die Übertragung fortgesetzt werden, müsse auf zusätzliche Schutzmechanismen zurückgegriffen werden.
Historie:
17. Juli 2020: Presseerklärung
Finnland Der finnische Datenschutzbeauftragte verweist auf die FAQs des EDSA (s.o.).
Er hat zudem von Unternehmen Informationen dazu angefordert, ob sie SCCs verwenden und welche Maßnahmen sie nach der Schrems-II-Entscheidung ergriffen haben.		 Verantwortliche müssen bei SCCs das Datenschutzniveau im Drittstaat bewerten. Der Datenimporteur mussbei dieser Prüfung behilflich sein.
Historie:
16. Juli 2020: Presseerklärung
22. Juli 2020: Hinweis auf EDSA-Richtlinien
4. September 2020: Bericht über Briefe an Unternehmen
Frankreich Gesundheitsdaten dürfen nicht zu US-Cloudanbieter übertragen werden. Dies gelte selbst, wenn die Daten in Europa gespeichert würden, aber US-Geheimdienste über den CLOUD Act dennoch Zugriff nehmen könnten. Eine Aussage über weniger sensible Daten sei damit nicht verbunden. In dem konkreten Verfahren hat das oberste französische Verwaltungsgericht die Anordnung allerdings wieder aufgehoben. Eine mögliche Lösung sei eine Datentreuhänderschaft europäischer Unternehmen. Eine solche Treuhänderschaft hat das oberste französische Verwaltungsgericht jedoch nicht für nötig gehalten.
Historie:
17. Juli 2020: Presseerklärung
9. Oktober 2020: Anordnung zu Gesundheitsdaten
13. Oktober 2020: Urteil des obersten Verwaltungsgerichts
Griechenland Verweist auf FAQs des Europäischen Datenschutzausschusses (s.o.). Keine Hinweise zum weiteren Handlungsbedarf.
Historie:
30. September 2020: Presseerklärung
9. Oktober 2020: Stellungnahme zu Gesundheitsdaten
Irland Die Anwendung der SCCs auf die Übermittlung personenbezogener Daten in die USA sei fragwürdig, da Datenübermittlungen zwischen der EU und den USA – unabhängig vom rechtlichen Transfermechanismus im Einzelfall – „von Grund auf problematisch seien. Zumindest bei Facebook sind SCCs keine angemessene Garantie (selbst mit zusätzlichen Schutzmaßnahmen). Insb. die Frage der Zulässigkeit von Datentransfers in die USA aufgrund von SCCs bedürfe einer weiteren und sorgfältigen Prüfung.
Historie:
16. Juli 2020: Eigene Presseerklärung
9. September 2020: Presseerklärung von Facebook
Island Verweist auf FAQs des EDSA (s.o.). Keine Hinweise zum weiteren Handlungsbedarf.
Historie:
16. Juli 2020: Presseerklärung (aktualisiert am 24. Juli 2020)
Israel Das EU-US Privacy Shield stehe auch für Israel-US-Datentransfers nicht mehr zur Verfügung. Dieses hatte die israelische Datenschutzbehörde bisher als angemessenen Schutzmechanismus interpretiert. Unternehmen müssen prüfen, ob sie andere Schutzmechanismen nutzen können.
Historie:
29. September 2020: Presseerklärung
Italien Verweist auf FAQs des EDSA (s.o.) Keine Hinweise zum weiteren Handlungsbedarf.
Historie:
29. Juli 2020: Presseerklärung (englischsprachige Zusammenfassung)
Liechtenstein Daten können nach wie vor aufgrund anderer geeigneter Garantien nach Art. 46 ff. DSGVO wie insb. Standarddatenschutzklauseln in die USA übermittelt werden. Bis ein anderes Abkommen der EU-Kommission mit den USA geschlossen werde, müssen sich Verantwortliche auf solche Transfermechanismen stützen. Das Urteil werde weitergehend analysiert und weitere Handlungsanweisungen in Kürze veröffentlicht.
Historie:
17. Juli 2020: Presseerklärung und Leitfaden
Litauen Es wird auf das Urteil des EuGH hingewiesen, dessen Implikationen weitergehend zu analysieren seien. Bisher keine Hinweise zu weiterem Handlungsbedarf.
Historie:
20. Juli 2020: Presseerklärung
Luxemburg Schließt sich den FAQs des EDSA an (s.o.) und verweist auf die in den SCCs geregelten Pflichten des Datenexporteurs und -importeurs (Klauseln 4 und 5). Datenexporteure müssen eine Bestandsaufnahme aller internationalen Datentransfers vornehmen. Sie müssen bei SCCs analysieren, ob diese in dem Rechtssystem des Drittlandes wirksam die personenbezogenen Daten schützen. Wenn allein durch SCCs kein gleichwertiger Schutz besteht, sind diese durch zusätzliche Schutzmaßnahmen zu ergänzen. Diese können technischer, organisatorischer oder rechtlicher Art sein.
Historie:
27. Juli 2020: Presseerklärung
7. Oktober 2020: Präsentation
Malta Verweist auf FAQs des EDSA (s.o.). Keine Hinweise zum weiteren Handlungsbedarf.
Historie:
30. Juli 2020: Presseerklärung
Niederlande SCCs seien nach wie vor eine gültige Grundlage zur Datenübermittlung in Länder außerhalb der EU, sofern ein gleichwertiges Schutzniveau gewährleistet werden könne. Dabei wird u.a. Bezug genommen auf die Erwägungen des EuGH, wonach die Nachrichten- und Sicherheitsdienste nach US-Recht weitreichende Zugriffsbefugnisse hinsichtlich der Daten von EU-Bürgern haben, die „nicht auf streng notwendige Daten beschränkt“ seien. Die praktischen Konsequenzen des Urteils werden– im Rahmen des EDSA – noch untersucht.
Historie:
20. Juli 2020: Presseerklärung
Norwegen Internationale Datentransfers müssen im Einzelfall geprüft werden. Datentransfers in die USA seien i.d.R. illegal. Amerikanische Überwachungsgesetze (z.B. FISA Sec. 702 und EO 12333) machen wirksame zusätzliche Schutz-maßnahmen häufig unmöglich. Es gebe bei der Umsetzung der Entscheidung keine Übergangsfrist. Datenexporteure müssen den Datenimporteur befragen, welche Gesetze und Bedingungen in dessen Drittland gelten. Anschließend müssen sie prüfen, ob zusätzliche Schutzmaßnahmen ergriffen werden können. Falls diese nicht ausreichen, müssen sie den Datentransfer stoppen.
Historie:
16. Juli 2020: Presseerklärung
27. Juli 2020: FAQ
Österreich Datentransfers in die USA seien nur mit zusätzlichen Schutzmaßnahmen möglich. Es gebe keine „Schonfrist″. Ansonsten verweist die österreichische Datenschutzbehörde auf die Stellungnahme und die FAQs des EDSA (s.o.). Der Datenexporteur muss zusätzliche Schutzmaßnahmen prüfen. Weitere Handlungsanweisungen werden bald veröffentlicht.
Historie:
August 2020: Stellungnahme
Polen Die für die Verarbeitung verantwortlichen Datenexporteure und -importeure müssen nicht nur die Vereinbarkeit der vertraglichen Bestimmungen mit dem EU-Recht überprüfen, sondern auch Zugriffsmöglichkeiten von Behörden eines Drittlands auf diese Daten. Sofern das Schutzniveau der personenbezogenen Daten nicht dem der EU entspricht, könne die Übermittlung von Daten in ein Drittland auch auf andere Transfermechanismen gestützt werden, sofern diese ein gleichwertiges Schutzniveau wie in der EU gewährleisten.
Historie:
20. Juli 2020: Presseerklärung
Rumänien Es wird auf alternative Transfermechanismen für Datenübermittlungen in die USA hingewiesen. Demnach stehen hierfür neben SCCs auch BCRs, Verhaltenskodexe und Zertifizierungsmechanismen zur Verfügung. Bisher keine Hinweise zu weiterem Handlungsbedarf.
Historie:
20. Juli 2020: Presseerklärung
Slowenien Es wird darauf hingewiesen, dass als rechtliche Grundlage anstelle des Privacy Shield-Beschlusses SCCs und BCRs dienen können. Bisher keine Hinweise zu weiterem Handlungsbedarf.
Historie:
16. Juli 2020: Presseerklärung
Schweden Verweist auf FAQs des EDSA (s.o.). Keine Hinweise zum weiteren Handlungsbedarf.
Historie:
17 Juli 2020: Presseerklärung (aktualisiert am 20. Juli 2020)
Spanien Das Urteil stelle einen Wendepunkt für die rechtlichen Grundlagen der Datenübermittlung in die USA dar. SCCs seien dabei weiterhin als gültig zu beurteilen. Bisher keine Hinweise zu weiterem Handlungsbedarf.

Für die Umsetzung des Urteils in den EU-Ländern sei jedenfalls eine einheitliche europäische Herangehensweise erforderlich.
Historie:
22. Juli 2020: Presseerklärung
Schweiz Auch das Swiss-U.S. Privacy Shield biete kein ausreichendes Datenschutzniveau. Ein Datentransfer in die USA könne daher nicht mehr auf dieses gestützt werden. Dies stehe unter dem Vorbehalt einer abweichenden Rechtsprechung schweizerischer Gerichte. Vertragliche Garantien wie SCCs BCRs gelten weiter. Die Risiken seien jedoch wie unter der DSGVO im Einzelfall zu abzuwägen.
  • Verantwortliche sollen von Swiss-U.S. Privacy Shield auf SCCs oder BCRs umstellen.
  • Unternehmen müssen prüfen, ob der Datenimporteur in der Lage ist die vom Schweizer Recht vorgesehene Mitwirkung zu leisten.
  • Ergänzung der SCCs sei erwägenswert (wobei keine Formulierungsbeispiele geliefert werden).
  • Zusätzliche Schutzmaßnahme seien erforderlich, wenn andernfalls das angemessene Datenschutzniveau nicht gewahrt werden könne (z.B. Verschlüsselung).
  • Andernfalls sei ein Verzicht auf den Datenexport zu empfehlen.
  • Es würden noch weitere Hinweise für Verantwortliche folgen.

 
Historie:
16. Juli 2020: Presseerklärung
8. September 2020: Stellungnahme zum Swiss-U.S. Privacy Shield
Tschechische Republik Die Anforderungen für eine weitere Verwendung von Standardvertragsklauseln bei Transfers in die USA seien hoch. Die Risiken seien im Einzelfall zu bewerten. Dabei müsse insbesondere auch der CLOUD Act berücksichtigt werden. Rücksprache mit Datenempfänger halten, inwieweit dieser von dem EuGH-Urteil betroffen sei.

Zusätzliche Sicherheitsmaßnahmen prüfen (z.B. Verschlüsselung ohne Hintertür, Metadaten nur in der EU).
Historie:
16. Juli 2020: Presseerklärung
7. August 2020: Hinweise für Verantwortliche
Vereinigtes Königreich Der EuGH habe bestätigt, dass EU-Datenschutzstandards mit den Daten „mitreisen“ müssen, wenn sie ins Ausland übermittelt werden. Das Urteil habe weitreichendere Auswirkungen als nur die Ungültigkeitserklärung des EU-US-Datenschutzschildes. Es sei ein Urteil, das die Bedeutung von Schutzmaßnahmen für personenbezogene Daten bestätigt, die aus UK transferiert werden. Weitere Arbeiten der Europäischen Kommission und des EDSA seien im Gange, um eine umfassendere Anleitung für zusätzliche Maßnahmen zu geben, die möglicherweise zu ergreifen sind. In der Zwischenzeit sollten Unternehmen eine Bestandsaufnahme der von Ihnen vorgenommenen internationalen Transfers vornehmen und umgehend reagieren, sobald Leitlinien und Ratschläge verfügbar werden. Angesichts der Herausforderungen für Unternehmen werde weiterhin praktische und pragmatische Beratung und Unterstützung angeboten.
Historie:
27. Juli 2020: Erklärung des ICO (Update zur Erklärung vom 17. Juli 2020)
Zypern Erläutert das Urteil und auf die FAQ des EDSA (s.o.). Datenexporteure müssen das Schutzniveau im Drittland prüfen. Bei einem nicht ausreichenden Schutzniveau sollen sie einen Datentransfer aussetzen. Ggf. seien zusätzliche Schutzmaßnahmen zu erwägen.
Historie:
20. Juli 2020: Presseerklärung

Tags: Aufsichtsbehörde EU-US Privacy Shield SCC Schrems Standardvertragsklausel


Reemt Matthiesen

Reemt Matthiesen

Autorenprofil
Philippe Heinzke

Philippe Heinzke

Autorenprofil
Ingo G.
am 22.09.2020 um 15:58:23

Danke für die super Übersicht!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

nach oben
© CMS Hasche Sigle 2020