16. August 2021
Schrems II
Datenschutzrecht

Schrems II: Reaktionen auf das Urteil und Empfehlungen der Aufsichtsbehörden – Update #28

„Schrems II“: Stellungnahmen der Aufsichtsbehörden zu Schrems II und Empfehlungen zur Umsetzung des Urteils bei internationalen Datentransfers.

Der Europäische Gerichtshof (EuGH) hat am 16. Juli 2020 mit Urteil in der Rechtssache „Schrems II“ (C-311/18) den EU-US-Privacy-Shield-Beschluss für ungültig erklärt. Standardvertragsklauseln (SCCs) können zwar weiter für Datenübertragungen genutzt werden, der bloße Vertragsschluss reicht hierfür aber nicht aus. Das gleiche gilt für verbindliche interne Datenschutzvorschriften (BCRs).

Prüfungsanforderungen: Der konkrete Übertragungsweg und die Datenverarbeitung beim Empfänger müssen einem angemessenen Datenschutzniveau entsprechen

Bei einer Übermittlung von personenbezogenen Daten mittels SCCs muss der Datenexporteur zukünftig bewerten, ob für die von Transfer betroffenen Daten ein angemessenes Datenschutzniveau im Empfängerland gewährleistet ist. Dabei muss nicht das allgemeine Datenschutzniveau im Empfängerland bewertet werden, sondern das konkrete Schutzniveau für die übertragenen Daten.

Zu bewerten sind daher:

  • der konkrete Übertragungsweg der Daten: Risiken für das Schutzniveau können sich beispielsweise aus der staatlichen Überwachung von Leitungsnetzen ergeben (so kann bei Datenübertragung in die USA mittels Überseekabel eine Überwachung durch US-amerikanische Geheimdienste stattfinden, die bei einem anderen Übertragungsweg möglicherweise nicht erfolgt);
  • die Risiken durch die Speicherung der Daten bei einem spezifischen Empfänger: Unterschiede können sich beispielsweise durch branchenspezifische Gesetzgebung ergeben, die bestimmte Empfänger (z.B. TK-Anbieter) zur Kooperation mit Geheimdiensten zwingen, wohingegen andere Datenimporteure von derartiger Gesetzgebung nicht betroffen sein müssen;
  • ob zumutbare Alternativen bestehen (etwa in der EU ansässige Dienstleister), die ohne internationalen Datentransfer auskommen.

Ergibt sich aufgrund dieser Bewertung, dass das Schutzniveau nicht mit dem europäischen vergleichbar ist, muss der Datenexporteur vor dem Transfer zusätzliche Maßnahmen ergreifen, um den Schutz der Daten zu garantieren. Falls die Maßnahmen nicht ausreichen, dürfen personenbezogenen Daten nicht mehr auf der Grundlage von SCCs übertragen werden.

Stellungnahmen der Aufsichtsbehörden

Seit der Veröffentlichung des Urteils haben sich zahlreiche Aufsichtsbehörden in Stellungnahmen und Empfehlungen zum Urteil des EuGH geäußert. Wir dokumentieren diese Stellungnahmen im Anschluss, um Unternehmen bei der Implementierung des Urteils eine Hilfestellung zu geben.

Seit dem 1. Juni 2021 wird durch die Datenschutzaufsichtsbehörden eine länderübergreifende Kontrolle von Unternehmen zur Umsetzung der Schrems-II-Entscheidung des EuGH eingeleitet, im Rahmen derer sich die Aufsichtsbehörden vieler Bundesländer mit einem gemeinsamen Fragekatalog an die Unternehmen wenden. Hierbei geht es u.a. um Auskünfte zum Einsatz von E-Mail-Dienstleistern, zum Webtracking, zum Hosting von Webseiten und um den Umgang mit Daten von BewerberInnen und/oder KundInnen sowie der Beschäftigten des Unternehmens. Die Teilnahme einer Landesdatenschutzaufsichtsbehörde an dieser deutschlandweiten Prüfung haben wir in der jeweiligen Spalte der Behörde mit einem entsprechenden Hinweis kenntlich gemacht.

Von besonderer Bedeutung sind die Empfehlungen des Europäischen Datenschutzausschuss, dem Zusammenschluss der europäischen Aufsichtsbehörden. In unserer Tabelle heben wir hervor, welche Anforderungen aus Sicht der Aufsichtsbehörden nach dem Urteil bei einem Datentransfer in Drittländer zu beachten sind. Durch farbliche Markierung zeigen wir, ob eine Aufsichtsbehörde hohe, durchschnittlich oder geringe Anforderungen zur Umsetzung des Urteils stellt.

Neu in diesem Update

Keine Updates verpassen

Klicken Sie auf „Updates erhalten″ und teilen Sie uns Ihre E-Mail-Adresse mit, wenn Sie über wesentliche Updates, Best-Practices zur Umsetzung des Urteils und Datenschutz von CMS informiert werden möchten. Sie können Ihre Einwilligung jederzeit widerrufen. Unsere Datenschutzhinweise finden Sie hier.

Hin­weis: Dieser Bei­trag wird laufend aktualisiert, erhebt aber keinen Anspruch auf Vollständigkeit. Die ergangenen Stellungnahmen sind jeweils in chronologischer Reihenfolge verlinkt. Unsere Tabelle fasst jeweils die aktuellste Stellungnahme zusammen. Die letzte Aktualisierung erfolgte am 928. Juli 2021.

Behörde/ Gremium Anforderungen an Datentransfers mittels SCCs Handlungsbedarf für den Datenexporteur
Europäischer Datenschutzausschuss (EDSA)
  • Bei der Verwendung von SCCs oder BCRs haben Datenexporteur und -importeur das Schutzniveau im betreffenden Drittland zu prüfen, um festzustellen, ob die dadurch gebotenen Garantien in der Praxis eingehalten werden können.
  • Andernfalls ist zu prüfen, ob zusätzliche Maßnahmen zu ergreifen sind, um ein im Wesentlichen gleichwertiges Schutzniveau wie in der EU zu gewährleisten, und ob das Recht des Drittlandes diese zusätzlichen Maßnahmen nicht beeinträchtigt, um ihre Wirksamkeit zu verhindern. 
  • Zur Beurteilung der geeigneten Garantien bei Überwachungsmaßnahmen hat der EDSA Empfehlungen veröffentlicht; die vier wesentlichen Garantien sind ein Basieren der Verarbeitung auf klaren, präzisen und zugänglichen Regeln, Notwendigkeit und Angemessenheit im Hinblick auf die legitimen Zwecke, das Bestehen eines unabhängigen Aufsichtsmechanismus sowie ein effektiver Rechtsschutz für die Betroffenen.
  • Der EDSA bezieht sich in der 43. Plenarsitzung auf die Herausforderungen, welche mit dem Datentransfer in Drittländer einhergehen.
  • Der EDSA und der Europäische Datenschutzbeauftragte (EDPS, s.u.) haben die gemeinsamen Stellungnahmen und eine Recommendation zu zwei Gruppen von Vertragsklauseln (SCCs) angenommen. Durch diese solle Rechtssicherheit für Einzelpersonen und ihrer persönlichen Daten geschaffen werden. Insb. enthalten die neuen SCCs spezifischere Schutzmaßnahmen für den Fall, dass die Gesetze des Bestimmungslandes die Einhaltung der Klauseln beeinträchtigen, beispielsweise im Falle von verbindlichen Aufforderungen von Behörden zur Offenlegung personenbezogener Daten. Die neuen SCCs zu Art. 46 DSGVO sollen die vorherigen SCCs beim internationalen Datentransfer ersetzen.
  • Wenn die Beurteilung im Einzelfall zu dem Ergebnis führt, dass das Land des Datenimporteurs kein im Wesentlichen gleichwertiges Schutzniveau bietet, müsse der Exporteur unter Umständen zusätzliche Schutzmaßnahmen zu den in den Standardvertragsklauseln enthaltenen Maßnahmen in Betracht ziehen.
  • Der EDSA hat eine Empfehlung dazu entworfen, wie Transferwerkzeuge zu ergänzen sind. Hierzu gehören z.B. Pseudonymisierung, eine auch gegen den Empfänger wirksame Verschlüsselung oder die Wahl eines Empfängers, der durch das Recht des Ziellandes vor Zugriffen geschützt ist. Im Gegensatz hierzu soll bei Anbietern, die auf die Daten im Klartext zugreifen müssen (z.B. bei Cloud Processing) und gegenüber denen öffentliche Stellen über das für eine demokratische Gesellschaft notwendige Maß hinaus Zugriffsbefugnisse haben, keine datenschutzkonforme Übermittlung möglich sein.
  • Brexit: Für das Vereinigte Königreich besteht ein Angemessenheitsbeschluss der EU-Kommission (siehe „Vereinigtes Königreich“).
Historie:
17. Juli 2020: Pressemitteilung
23. Juli 2020: FAQ
15. August 2020: Kurze Stellungnahme zu BCRs
4. September 2020: Ankündigung Arbeitsgruppe
23. September 2020: Informelle Aussage über Zeitrahmen
11. November 2020: Entwurf einer Empfehlung 01/2020 zu ergänzenden Maßnahmen für Transferwerkzeuge, Pressemitteilung und Schaubild; Empfehlungen 02/2020 zu geeigneten Garantien
20. November 2020: Pressemitteilung zu SCC-Entwurf und Recomendation 01
15. Dezember 2020: Statement zu dem Ende der Brexit Übergangsphase
15. Dezember 2020: Informationsvermerk zur Datenübermittlung nach der DSGVO an das Vereinigtes Königreich nach der Übergangszeit
16. Dezember 2020: Pressemitteilung zu 43. Plenarsitzung
4. Januar 2021: Pressemitteilung zu den verabschiedeten Dokumente des EDSA – 42. und 43. Plenum
14. Januar 2021: Gemeinsame Stellungnahme 1/2021 von EDSA und EDPS zu Standardvertragsklauseln zwischen für die Verarbeitung Verantwortlichen und Auftragsverarbeitern
14. Januar 2021: Gemeinsame Stellungnahme 2/2021 von EDSA und EDPS zu Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer
15. Januar 2021: Pressemitteilung
10. März 2021: Pressemitteilung
13. April 2021: Opinion 14/2021 regarding the European Commission Draft Implementing Decision pursuant to Regulation (EU) 2016/679 on the adequate protection of personal data in the United Kingdom; Opinion 15/2021 regarding the European Commission Draft Implementing Decision pursuant to Directive (EU) 2016/680 on the adequate protection of personal data in the United Kingdom
16. April 2021: Pressemitteilung zu Opinion 14/2021 und 15/2021
18. Juni 2021: Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data
21. Juni 2021: Pressemitteilung zur endgültigen Fassung der Empfehlungen zu ergänzenden Maßnahmen
Europäischer Datenschutzbeauftragter (EDPS)
  • Der EuGH habe zwar grundsätzlich die Gültigkeit der SCCs bestätigt, jedoch begrüßenswerte Klarstellungen geliefert betreffend der Verantwortlichkeit der Datenexporteure und der europäischen Datenschutzbehörden bei der Berücksichtigung der Risiken im Zusammenhang mit dem Zugriff auf personenbezogenen Daten durch die Behörden von Drittländern. Die durch den EuGH aufgestellten Kriterien betreffen alle geeigneten Garantien nach Art. 46 DSGVO.
  • Zur Bestimmung des wesentlich gleichwertigen Schutzniveaus, hat der EDPS angekündigt, einen Leitfaden zur Durchführung von Transfer-Folgeabschätzungen herausgeben.
  • Die neuen SCCs zielen darauf ab, eine vollständige Harmonisierung und Rechtssicherheit in der EU zu gewährleisten, wenn es um Verträge zwischen Verantwortlichen und ihren Auftragsverarbeitern geht. Die neuen SCCs enthalten spezifischere Schutzmaßnahmen für den Fall, dass die Gesetze des Bestimmungslandes die Einhaltung der Klauseln beeinträchtigen, insb. bei verbindlichen Aufforderungen von Behörden zur Weitergabe von personenbezogenen Daten.
  • Die Auswirkungen des Urteils, insb. auch hinsichtlich der von EU-Institutionen geschlossenen Verträge, werden im Einzelnen geprüft. EU-Institutionen sollen die Sicherheitsrisiken von Übermittlungen in Drittstaaten vorab bewerten und dokumentieren. Dies soll in sog. Transfer Impact Assessments (TIA) geschehen. Für zukünftige Datenübermittlungen von EU-Institutionen rät der EDPS stark von Übermittlungen in die USA ab. Der EDPS bezieht sich in dem Newsletter auf die Recommendations 01/ 2020 und 02/2020 und führt aus: (i) Verarbeitung sollte auf klaren, präzisen und zugänglichen Regeln beruhen; (ii) die Notwendigkeit und Verhältnismäßigkeit im Hinblick auf die verfolgten legitimen Ziele muss nachgewiesen werden; (iii) ein unabhängiger Aufsichtsmechanismus sollte vorhanden sein; (iv) dem Einzelnen müssen wirksame Rechtsbehelfe zur Verfügung stehen.
  • Der EDPS hat zur Bewertung der Einhaltung des Schrems II-Urteils zwei Untersuchungen eingeleitet. Die erste Untersuchung betrifft die Nutzung von Amazon Web Services und Microsoft durch die Organe, Einrichtungen und Agenturen der Europäischen Union im Rahmen von Cloud-Diensten, deren Bereitstellung auf Cloud-II-Verträgen basiert. Die zweite Untersuchung betrifft die Nutzung von Microsoft (Office) 365 durch die Europäische Kommission.
Historie:
17. Juli 2020: Erklärung
29. Oktober 2020: Strategie für EU-Institutionen
11. Dezember 2020: Blog-Beitrag
21. Dezember 2020: Newsletter (N 84)
15. Januar 2021: Pressemitteilung
9. April 2021: Jahresreport 2020
27. Mai 2021: Pressemitteilung
10. Juni 2021: From Lindqvist to Schrems II:case law of the CJEU on transfers of personal data to third countries
Bulgarien
  • Verweist auf das Urteil des EuGH und stellt andere Schutzmechanismen dar.
  • Der Datenexporteur muss auf alternative Transfermechanismen wie SCCs oder BCRs wechseln.
Historie:
16. Juli 2020: Pressemitteilung
Deutschland – Datenschutzkonferenz (DSK)
  • SCCs können für eine Übermittlung personenbezogener Daten in die USA und andere Drittländer grundsätzlich weiterverwendet werden, allerdings nur im Falle der USA nur mit zusätzlichen Schutzmaßnahmen.
  • Die Bewertung eines gleichwertigen Datenschutzes in Drittländern obliegt dem Verantwortlichen und dem Empfänger.
  • Falls im Drittland kein entsprechender Schutz gewährleistet werden kann, sollte geprüft werden, welche zusätzlichen Schutzmaßnahmen möglich sind.
  • Dies gelte auch für BCRs. Daher müssen auch für Datenübermittlungen auf der Grundlage von BCRs zusätzliche Schutzmaßnahmen vereinbart werden, sofern die Rechte der betroffenen Personen im Drittland nicht ein gleichwertiges Schutzniveau wie in der Union genießen.
  • Die DSK spricht sich für die Verschlüsselung als zentrales Mittel zur Sicherung von Datenübertragungen in Drittländer aus.
  • Trotz neuer SCCs der EU-Kommission seien weiterhin ergänzende Prüfungen und Maßnahmen notwendig.
  • Brexit: Für das Vereinigte Königreich besteht ein Angemessenheitsbeschluss der EU-Kommission (siehe „Vereinigtes Königreich“).
Historie:
28. Juli 2020: Pressemitteilung
26. November 2020: Pressemitteilung
28. Dezember 2020: Pressemitteilung zum Brexit
21. Juni 2021: Pressemitteilung
Deutschland – Bundesbeauftragter für Datenschutz und Informationsfreiheit (BfDI)
  • SCCs sind weiterhin mögliche Grundlagen des Datentransfers. Schließt sich FAQ des EDSA vollständig an. Begrüßt die Stellungnahme des EDPS und EDSA zu den Entwürfen der Europäischen Kommission von SCCs.
  • Der internationale Datenverkehr ist weiterhin möglich, wobei es für eine Übermittlung in die USA zusätzlicher Schutzmaßnahmen bedürfe. Als solche kommen insb. Verschlüsselung und Pseudonymisierung in Betracht.
  • Unternehmen sollen Verträge mit Dienstleistern prüfen, ob und wie diese Daten in Drittländern übermitteln.
  • Gegenwärtig sei kein datenschutzkonformer Betrieb einer Facebook-Fanpage durch öffentliche Stellen möglich. Hierbei verweist der BfDI in seinem Anschreiben an die Bundesministerien und an die obersten Bundesbehörden u.a. auf das Schrems II-Urteil des EuGH.
Historie:
16. Juli 2020: 1. Pressemitteilung
24. Juli 2020: 2. Pressemitteilung
1. Oktober 2020: Interview mit Ulrich Kelber (BfDI)
8. Oktober 2020: Informationsschreiben mit Kernaussagen des Urteils und Prüfschema für internationale Datentransfers
24. Oktober 2020: Podcast-Interview mit Ulrich Kelber
15. Januar 2021: Stellungnahme zu überarbeiteten Standarddatenschutzklauseln
25. März 2021: Tätigkeitsbericht 2020
25. Juni 2021: Schreiben des BfDI an sämtliche Bundesministerien und obersten Bundesbehörden zu Facebook-Auftritten von öffentlichen Stellen des Bundes vom 16. Juni 2021
Ohne Datum: Praktische Auswirkungen der Rechtsprechung des EuGH auf den internationalen Datentransfer (Rechtssache C-311/18 „Schrems II“)
Deutschland – Baden-Württemberg
  • SCCs wurden durch den EuGH nicht prinzipiell für unwirksam erklärt. Bei ihrer weiteren Verwendung müssen die europäischen Unternehmen und im Anschluss die Datenschutzbehörden im Einzelfall prüfen, ob sie ausreichen. Dies gelte auch für andere Drittländer (z.B. Vereinigtes Königreich). Im Falle der USA liege das Ergebnis dieser Prüfung aber auf der Hand, denn praktisch kein US-amerikanisches Unternehmen könne glaubhaft garantieren, dass es vom Zugriff der Geheimdienste verschont bleiben wird. Weiterverarbeitung auf Basis des Privacy Shields werde zu Bußgeldern führen. SCCs seien nur in seltenen Fällen denkbar.
  • Datentransfers in die USA seien kaum noch möglich.
  • Kritisiert EuGH, da dieser anderen Staaten europäische Vorstellungen von Datenschutz aufzwinge und die Entscheidung für Unternehmen nur schwer umzusetzen sei.
  • Unternehmen sollen prüfen, welche Daten sie in welche Länder exportieren. Ein Datenexport sei auch die bloße Möglichkeit des Zugriffs (z.B. bei Wartung). Anschließend müssen sie prüfen, ob es einen Angemessenheitsbeschluss für das jeweilige Land gibt und wenn nein, wie die Rechtslage in dem jeweiligen Drittland ist.
  • Datenexporte auf Basis des Privacy Shields seien umgehend einzustellen, bis ein neuer Transfermechanismus gefunden sei.
  • Dieser neue Transfermechanismus sei in den Datenschutzhinweisen und in dem Verzeichnis der Verarbeitungstätigkeiten zu einzutragen.
  • Bei Standardvertragsklauseln seien in jedem Fall bestimmte Ergänzungen an den Klauseln vorzunehmen (Formulierungsvorschläge in Orientierungshilfe S. 11–13).
  • Es bedürfe zudem maßgeschneiderter zusätzlicher Schutzmaßnahmen, die beispielsweise darin bestehen könnten, dass Datenexporteure (insb. Anbieter von Cloud-Diensten) die Daten nachweislich in einer Weise verschlüsseln, bei welcher allein der Datenexporteur den Schlüssel hat und die auch die Geheimdienste nicht überwinden können.
  • Zentral sei, ob zumutbare Alternativangebote ohne Transferproblematik bestehen (z.B. Vereinbarung, dass Daten in einem der Mitgliedstaaten der DSGVO gehostet werden oder dass keine Datenübertragung in die USA vorgenommen wird, S. 8 und 10). Wenn solche existieren, werde der LfDI Baden-Württemberg diesen Datentransfer untersagen.
  • Beispiel Microsoft: Laut dem LfDI seien die ergriffenen Maßnahmen ein gutes Beispiel, an welchem sich andere Unternehmen orientieren können. Microsoft habe seine SCCs wie folgt ergänzt: (i) Anerkennung des Ersatzes von ma-teriellen und immate-riellen Schäden von Betroffenen in Europa, (ii) Verpflichtung, gegen Anordnungen der U.S.-Sicherheitsbehörde gerichtliche vorzugehen, soweit dies möglich ist und (iii) die Informationspflicht der Betroffenen, solle eine staatliche Anordnung rechtlich bindend dazu verpflichten, Daten an US-Sicherheitsbehörden herauszugeben. Es seien weitere Maßnahmen erforderlich, wie beispielsweise die Verschlüsselung, um den Anforderungen des Urteils gerecht zu werden.
  • Brexit: Für das Vereinigte Königreich besteht ein Angemessenheitsbeschluss der EU-Kommission (siehe „Vereinigtes Königreich“).
Historie:
20. Juli 2020: FAZ-Interview mit Stefan Brink (LfDI BaWü)
21. August 2020: Handelsblatt-Interview mit Stefan Brink
24. August 2020: Orientierungshilfe (aktualisiert am 7. September 2020)
28. August 2020: Podcast-Interview mit Stefan Brink
15. Oktober 2020: Podcast-Interview mit Stefan Brink
20. November 2020: Podcast Interview mit Stefan Brink und Pressemitteilung vom 20. November 2020
4. Januar 2021: Pressemitteilung
8. Februar 2021: Datenschutz-Tätigkeitsbericht 2020 und dazugehörige Pressemitteilung
Pressemitteilung 2. Juni 2021: Beteiligung an der deutschlandweiten Prüfung internationaler Datentransfers von Unternehmen durch die Datenschutzaufsichtsbehörden
Deutschland –Bayern
  • Verzicht auf Dienstleistungen mit Datentransfer in Drittländer wird empfohlen. Bezug auf die Maßnahmen von Microsoft, welche ein wichtiger Schritt seien.
  • Datenübermittlungen in Drittländer ohne Einhaltung der Anforderungen des Schrems II-Urteils sind einzustellen.
Historie:
20. November 2020: Pressemitteilung
1. Juni 2021: Beteiligung an der deutschlandweiten Prüfung internationaler Datentransfers von Unternehmen durch die Datenschutzaufsichtsbehörden
Ohne Datum: Übermittlung personenbezogener Daten in Drittländer
Ohne Datum (2021): Interview Carlo Piltz mit Alexander Filip (Leiter des Bereichs 3 für internationalen Datenverkehr beim BayLDA), DSB 2021, 206 (juris)
Deutschland – Berlin
  • Datenexporteure und -importeure seien verpflichtet, vor der ersten Datenübermittlung zu prüfen, ob im Drittland staatliche Zugriffsmöglichkeiten auf die Daten bestehen, die über das nach europäischem Recht Zulässige hinausgehen. Bestehen solche Zugriffsrechte, können auch die SCCs den Datenexport nicht rechtfertigen.
  • Bereits ins Drittland übermittelte Daten müssen zurückgeholt werden. Anders als bisher verbreitet vertreten, genügt der reine Abschluss von SCCs nicht, um Datenexporte zu ermöglichen.
  • Besondere Prüfpflichten bestehen insb. bei Datenübermittlungen in Drittländer wie China, Russland oder Indien.
Historie:
17. Juli 2020: Pressemitteilung
8. April 2021: Tätigkeitsbericht 2020
1. Juni 2021: Beteiligung an der deutschlandweiten Prüfung internationaler Datentransfers von Unternehmen durch die Datenschutzaufsichtsbehörden
Deutschland – Brandenburg 1. Juni 2021: Beteiligung an der deutschlandweiten Prüfung internationaler Datentransfers von Unternehmen durch die Datenschutzaufsichtsbehörden
Deutschland – Bremen 10. Juni 2021: Beteiligung an der deutschlandweiten Prüfung internationaler Datentransfers von Unternehmen durch die Datenschutzaufsichtsbehörden
Deutschland – Hamburg
  • Die Beibehaltung von SCCs durch den EuGH sei nicht konsequent, da Geheimdienstaktivitäten auch diese betreffen. Die Datenschutzaufsichtsbehörden müssen die inhaltlichen Anforderungen des Urteils beachten, insb. das Datenschutzniveau des Empfängerstaates. Die EU müsse Daten nicht nur bei US-Anbietern, sondern weltweit vor staatlichen Zugriffen schützen.
  • Besondere Prüfpflichten bestehen insb. bei Datenübermittlungen in Länder wie China, für die „derartige datenschutzrechtliche Vorkehrungen weit entfernt seien“.
Historie:
16. Juli 2020: Pressemitteilung
26. August 2020: Kommentar im Handelsblatt
1. Juni 2021: Beteiligung an der deutschlandweiten Prüfung internationaler Datentransfers von Unternehmen durch die Datenschutzaufsichtsbehörden
Deutschland – Hessen
  • Der Hessische Beauftragte für Datenschutz und Informationsfreiheit fordert datenverarbeitende Stellen in Hessen ausdrücklich zur Beachtung des Schrems II-Urteils auf.
  • Der Hessische Beauftragte für Datenschutz und Informationsfreiheit begrüßt die Initiative zur Absicherung internationaler Datentransfers in Bezug auf die Ergänzung der Standardvertragsklauseln von Microsoft. Die Angemessenheit des U.S.-Datenschutzes für europäische Exportunternehmen sei durch eine Abwägungsentscheidung zu beantworten.
  • Transfers personenbezogener Daten in die USA ohne zusätzliche Schutzmaßnahmen seien nicht zulässig.
Historie:
20. November 2020: Pressemitteilung
22. Juni 2021: Hinweis Schrems II und Pressemitteilung
Deutschland – Mecklenburg-Vorpommern
  • Im Bundesland verwendete Betriebssysteme, Büro-Anwendungen und Videokonferenzprogramme können nicht ohne Datenabfluss in Drittländer, insb. in die USA, rechtskonform betrieben werden.
  • Sofern Verschlüsselungs- und Anonymisierungstechniken auf personenbezogene Daten nicht angewendet werden können, sollten Behörden die Verwendung der genannten Programme unterlassen und datenschutzkonforme Alternativprodukte anwenden.
Historie:
17. März 2021: Pressemitteilung
Deutschland – Niedersachsen
  • SCCs können nur verwendet werden, wenn diese in dem Rechtssystem des jeweiligen Drittlandes einen gleichwertigen Schutz bieten. Bei der Prüfung des Rechtssystems des Drittlandes gelte der gleiche Maßstab wie bei einem Angemessenheitsbeschluss der Kommission. Für die USA bestehe kein solch gleichwertiger Schutz. Daher seien zusätzliche Schutzmaßnahmen zwingend erforderlich.
  • Die Anforderungen an eine Einwilligung nach Art. 49 DSGVO seien sehr hoch.
  • Die Behörde hat bestimmte BCRs genehmigt.
  • Der LfDI Niedersachsen verweist auf die Pressemitteilung der DSK vom 21. Juni 2021 (s.o.), in der diese klarstellt, dass ergänzende Prüfungen und Maßnahmen zu den SCCs notwendig seien.
  • Datenübermittlungen in die USA, die allein auf das Privacy Shield gestützt werden, müssen sofort eingestellt werden. Unternehmen müssen umfassend analysieren, ob SSCs ausreichend sind und zusätzliche Schutzmaßnahmen erwägen. Diese können rechtlicher, technischer oder organisatorischer Art sein. Ein angemessenes Schutzniveau fehlt, wenn die zusätzlichen Schutzmaßnahmen nicht vor unverhältnismäßigem Zugriff der Drittlandsbehörden schützen und hiergegen kein effektiver Rechtsschutz besteht. Gleiches gilt entsprechend für die Verwendung von BCRs. 
  • Brexit: Für das Vereinigte Königreich besteht ein Angemessenheitsbeschluss der EU-Kommission (siehe „Vereinigtes Königreich“).
Historie:
21. August 2020: PDF mit FAQ zu Videokonferenzdiensten (Fragen 7-10)
4. November 2020: Themenseite zu Schrems II-Urteil (aktualisiert im Januar 2021)
11. Februar 2021: Pressemitteilung
1. Juni 2021: Beteiligung an der deutschlandweiten Prüfung internationaler Datentransfers von Unternehmen durch die Datenschutzaufsichtsbehörden
Ohne Datum: Datenübermittlung nach dem Brexit
Deutschland – Rheinland-Pfalz
  • Unternehmen können sich mit den SCCs nicht von ihren Prüfpflichten freikaufen. Sie müssen sich mit den nationalen Gesetzen des Drittlandes intensiv auseinandersetzen.
  • Insb. sei offen, ob eine Ergänzung der SCCs in der konkreten Vertragsbeziehung als zusätzliche Schutzmaßnahme geeignet sein könne, insb. z.B. unter Geltung von Sicherheitsgesetzen wie Sec. 702 Foreign Intelligence Surveillance Act (FISA), da die US-Behörden nicht an die SCCs gebunden sind.
  • Der LfDI Rheinland-Pfalz hat im Rahmen einer „Informationsoffensive″ zum Thema ein Prüfschema veröffentlicht, um die Prüfung durch Verantwortliche zu erleichtern.
  • Die SCCs müssen ggf. durch weitere Vereinbarungen oder Elemente ergänzt werden, um sicherzustellen, dass bei der Datenübermittlung in den Drittstaat das angemessene Schutzniveau erhalten ist. Für Datenübermittlungen in die USA bedeute dies, dass erhebliche Anstrengungen der Verantwortlichen erforderlich sind, die vermutlich nur in seltenen Fällen als ausreichend angesehen werden können. Dies sei aber eine Frage des Einzelfalles.
  • Zugleich müssen die Verantwortlichen ihre Datenübermittlungen in andere Drittstaaten, z.B. Indien, China oder Russland daraufhin prüfen, ob sie dem Datenschutzniveau entsprechen, das die DSGVO verlangt.
  • Unternehmen müssen Alternativdienste aus dem EEA nutzen, selbst wenn sie teurer sind.
  • Der LfDI Rheinland-Pfalz werde im Rahmen von Beschwerden oder ansonsten mittelfristig auf Unternehmen zukommen, um entsprechende Darlegungen zu erhalten.
  • Der LfDI Rheinland-Pfalz rät dringend dazu, alle in einem Unternehmen laufenden Vorgänge der Datenverarbeitung mit Bezug zu Drittländern anhand des von der Behörde entworfenen Prüfschemas auf Zulässigkeit hin zu überprüfen und eventuellen Handlungsbedarf zu identifizieren, bei dem Datenschutzverstöße so schnell wie möglich abzustellen oder zu verhindern sind.
  • Wesentliche Änderungen an SCCs sowie BCRs oder ein Code of Conduct („CoC″) müssen der Aufsichtsbehörde mit Antrag auf Genehmigung vorgelegt werden. Eine konti-nuierliche Prüfung der Voraussetzungen der Übermittlung durch den Verantwortlichen ist nötig.
  • Brexit: Für das Vereinigte Königreich besteht ein Angemessenheitsbeschluss der EU-Kommission (siehe „Vereinigtes Königreich“).
Historie:
16. Juli 2020: Pressemitteilung und FAQ
24. Juli 2020: Pressemitteilung
22. September 2020: Podcast-Interview mit Dr. Kugelmann (LfD Rheinland-Pfalz)
6. November 2020: Prüfschema
10. November 2020: Kurzvortrag Prof. Dr. Kugelmann
10. November 2020: Podcast-Interview mit Sylvia Beck
29. Dezember 2020: Pressemitteilung
12. Mai 2021: Informationsoffensive zur Datenübermittlung in Drittländer
1. Juni 2021: Beteiligung an der deutschlandweiten Prüfung internationaler Datentransfers von Unternehmen durch die Datenschutzaufsichtsbehörden
21. Juni 2021: Pressmitteilung
Deutschland – Saarland 1. Juni 2021: Beteiligung an der deutschlandweiten Prüfung internationaler Datentransfers von Unternehmen durch die Datenschutzaufsichtsbehörden
Deutschland – Thüringen
  • Der LfDI Thüringen verweist auf die „Informationsoffensive″ des LfDI Rheinland-Pfalz und die dort veröffentlichten Materialien (s.o.).
  • Unklar sei, wie Datenexporteur und -importeur bei der Prüfung der Schutzmaßnahmen der SCCs und ihrer Einhaltung im Fall der USA zu einem EU-datenschutzkonformen Prüfergebnis gelangen sollen.
  • Der LfDI Thüringen verweist auf die Pressemitteilung der DSK vom 21. Juni 2021 (s.o.), in der diese klarstellt, dass ergänzende Prüfungen und Maßnahmen zu den SCCs notwendig seien.
Historie:
17. Juli 2020: Pressemitteilung
11. November 2020: Hinweis auf Informationsoffensive des LfDI RLP
22. Juni 2021: Pressemitteilung
Dänemark
  • Es wird auf das Urteil des EuGH hingewiesen, dessen Implikationen weitergehend zu analysieren seien. Die Aufsichtsbehörde verweist zudem auf die beiden Recommendations des EDSA.
  • Die dänische Datenschutzbehörde hat im Zusammenhang mit dem Schrems II-Urteil beschlossen, die Übermittlung personenbezogener Daten an Drittländer durch eine Reihe von Unternehmen und Behörden zu überwachen.
  • Brexit: Für das Vereinigte Königreich besteht ein Angemessenheitsbeschluss der EU-Kommission (siehe „Vereinigtes Königreich“).
Historie:
20. Juli 2020: Pressemitteilung
11. November 2020: Verweis auf die Recommendations des EDSA
13. November 2020: Verweis auf den Entwurf neuer SCCs
Ohne Datum: Brexit und Datentransfer
4. Januar 2021: Pressemitteilung zum Austrittsabkommen UK
12. Januar 2021: Schwerpunkte für die Aufsichtstätigkeit der dänischen Datenschutzbehörde im Jahr 2021 (Schrems II)
28. Juni 2021: Pressemitteilung
Estland
  • Die Verantwortung zur Prüfung der Frage, ob der Schutz personenbezogener Daten durch SCCs (auch in Zukunft) gewährleistet werden könne, liege bei Datenexporteur und -importeur. Die Aufsichtsbehörde verweist zudem auf die laufende Konsultation zu Recommendation 01/2020 des EDSA. Zudem werden Ausführungen zu der Einstufung der Länder außerhalb der EU gemacht und die Aufsichtsbehörde geht dabei auf die Schutzmaßnahmen der Art. 46 ff. DSGVO – unter Berücksichtigung des Schrems II-Urteils – ein.
  • Kann der Schutz personenbezogener Daten nicht gewährleistet werden, müsse die Datenübertragung ausgesetzt werden. Soll die Übertragung fortgesetzt werden, müsse auf zusätzliche Schutzmechanismen zurückgegriffen werden.
Historie:
17. Juli 2020: Pressemitteilung
12. November 2020: Verweis auf Konsultation
17. November 2020: Ausführungen zu der Einstufung der Länder außerhalb der EU
Finnland
  • Der finnische Datenschutzbeauftragte verweist auf die FAQ des EDSA (s.o.).
  • Er hat zudem von Unternehmen Informationen dazu angefordert, ob sie SCCs verwenden und welche Maßnahmen sie nach der Schrems-II-Entscheidung ergriffen haben. Darüber hinaus verweist er auf Recommendation 01 und 02/2020 des EDSA.
  • Verantwortliche müssen bei SCCs das Datenschutzniveau im Drittstaat bewerten. Der Datenimporteur mussbei dieser Prüfung behilflich sein.
Historie:
16. Juli 2020: Pressemitteilung
22. Juli 2020: Hinweis auf EDSA-Richtlinien
4. September 2020:Bericht über Briefe an Unternehmen
17. November 2020: Verweis auf SCC-Konsultation und Recommendation 02
2. Dezember 2020: Verweis auf SCC-Konsultation und Recommendation 01/2020
8. Juni 2021: Pressemitteilung
29. Juni 2021: Pressemitteilung
5. Juli 2021: Pressemitteilung
Frankreich
  • Gesundheitsdaten dürfen nicht zu US-Cloud-Anbieter übertragen werden. Dies gelte selbst, wenn die Daten in Europa gespeichert würden, aber US-Geheimdienste über den CLOUD Act dennoch Zugriff nehmen könnten. Eine Aussage über weniger sensible Daten sei damit nicht verbunden. In dem konkreten Verfahren hat das oberste französische Verwaltungsgericht die Anordnung allerdings wieder aufgehoben.
  • Eine mögliche Lösung sei eine Datentreuhänderschaft europäischer Unternehmen. Eine solche Treuhänderschaft hat das oberste französische Verwaltungsgericht jedoch nicht für nötig gehalten.
Historie:
17. Juli 2020: Pressemitteilung
13. Oktober 2020: Urteil des obersten Verwaltungsgerichts
28. Dezember 2020: Pressemitteilung zum Brexit
Griechenland
  • Verweist auf die FAQ des EDSA (s.o.).
  • Brexit: Für das Vereinigte Königreich besteht ein Angemessenheitsbeschluss der EU-Kommission (siehe „Vereinigtes Königreich“).
  • Keine Hinweise zum weiteren Handlungsbedarf.
Historie:
19. Januar 2021: Pressemitteilung
Großbritannien
Siehe Vereinigtes Königreich″
Irland
  • Die Anwendung der SCCs auf die Übermittlung personenbezogener Daten in die USA sei fragwürdig, da Datenübermittlungen zwischen der EU und den USA – unabhängig vom rechtlichen Transfermechanismus im Einzelfall – „von Grund auf problematisch seien. Zumindest bei Facebook seien SCCs keine angemessene Garantie (selbst mit zusätzlichen Schutzmaßnahmen).
  • Insb. die Frage der Zulässigkeit von Datentransfers in die USA aufgrund von SCCs bedürfe einer weiteren und sorgfältigen Prüfung. 
  • Brexit: Für das Vereinigte Königreich besteht ein Angemessenheitsbeschluss der EU-Kommission (siehe „Vereinigtes Königreich“).
Historie:
16. Juli 2020: Eigene Pressemitteilung
9. September 2020: Pressemitteilung von Facebook
Ohne Datum: Leitlinien für die Übermittlung personenbezogener Daten aus Irland an das Vereinigte Königreich am Ende der Übergangszeit (11.00 Uhr am 31. Dezember 2020)
3. Dezember 2020: Eigene Pressemitteilung
25. Februar 2021: Tätigkeitsbericht 2020
Island
  • Verweist auf die FAQ des EDSA (s.o.).
  • Brexit: Für das Vereinigte Königreich besteht ein Angemessenheitsbeschluss der EU-Kommission (siehe „Vereinigtes Königreich“).
Historie:
16. Juli 2020: Pressemitteilung (aktualisiert am 24. Juli 2020)
18. Dezember 2020: Pressemitteilung
30. Dezember 2020: Pressemitteilung
8. Juli 2021: Pressemitteilung
Israel
  • Das EU-US Privacy Shield stehe auch für Israel-US-Datentransfers nicht mehr zur Verfügung. Dieses hatte die israelische Datenschutzbehörde bisher als angemessenen Schutzmechanismus interpretiert.
  • Unternehmen müssen prüfen, ob sie andere Schutzmechanismen nutzen können.
Historie:
29. September 2020: Pressemitteilung
Italien
  • Verweist auf die FAQ des EDSA (s.o.) und verlinkt die Pressemitteilung des EDSA zu den Recommendations (s.o.). Die Datenschutzbehörde votiert zudem für eine politische Lösung zwischen der EU und den USA sowie perspektivisch auch anderen Ländern. In der Folgeabschätzung des Ministeriums für Wirtschaft und Finanzen für die Umsetzung eines Cashback-Programms wurde zur Bewertung der Risiken die Empfehlungen 01/2020 des EDSA und das Urteil des EuGH einbezogen.
  • Keine Hinweise zum weiteren Handlungsbedarf.
Historie:
29. Juli 2020: Pressemitteilung
17. November 2020: Rede von Guido Scorza
26. November 2020: Folgenabschätzung des Ministeriums für Wirtschaft und Finanzen für die Umsetzung des Cashback-Programms
Ohne Datum: Info-Grafik Datenübertragung in die USA
Liechtenstein
  • Daten können nach wie vor aufgrund anderer geeigneter Garantien nach Art. 46 ff. DSGVO wie insb. Standarddatenschutzklauseln in die USA übermittelt werden. Bis ein anderes Abkommen der EU-Kommission mit den USA geschlossen werde, müssen sich Verantwortliche auf solche Transfermechanismen stützen. Darüber hinaus wird von der Datenschutzstelle in einem Schrems II Update auf die Recommendation 01 und 02/2020 des EDSA.
  • Der Verantwortliche hat die zusätzlich ergriffenen Maßnahmen so zu gestalten, dass sie eine DSGVO-konforme Datenübermittlung sicherstellen. Wird kein gleichwertiges Schutzniveau im Drittland gewährleistet, so sei die Übermittlung von personenbezogenen Daten einzustellen. Viele U.S. Applikationen seien als kritisch einzustufen.
  • Der Datenschutzstelle zufolge sei ein DSGVO-konformer Einsatz von Google Analytics und Mailchimp vor dem Hintergrund des Schrems II-Urteils aufgrund erfolgender Datenübertragungen in die USA nicht möglich.
  • Brexit: Der Datenschutzstelle zufolge bleibt der Datentransfer auf langfristige Sicht auch nach dem Angemessenheitsbeschluss der EU-Kommission für das Vereinigte Königreich (siehe: „Vereinigtes Königreich“) aufgrund der Befristung des Beschlusses und aufgrund einer jederzeit möglichen Ungültigkeitserklärung durch den EuGH mit einer „gewissen Unsicherheit“ verbunden.
Historie:
17. Juli 2020: Pressemitteilung und Leitfaden
3. Dezember 2020: Schrems II-Urteil: Update
7. Januar 2021: Pressemitteilung
11. Juni 2021: Tätigkeitsbericht 2020
1. Juli 2021: Pressemitteilung
Litauen
  • Es wird auf das Urteil des EuGH hingewiesen, dessen Implikationen weitergehend zu analysieren seien.
  • Brexit: Für das Vereinigte Königreich besteht ein Angemessenheitsbeschluss der EU-Kommission (siehe „Vereinigtes Königreich“).
Historie:
20. Juli 2020: Pressemitteilung
21. Dezember 2020: Pressemitteilung zu dem SCC-Musterformular
19. Januar 2021: Pressemitteilung zum Brexit
Luxemburg
  • Schließt sich den FAQ des EDSA an (s.o.) und verweist auf die in den SCCs geregelten Pflichten des Datenexporteurs und -importeurs (Klauseln 4 und 5). Verweis auf die Recommendations 01/2020 und 02/2020 des EDSA.
  • Brexit: Für das Vereinigte Königreich besteht ein Angemessenheitsbeschluss der EU-Kommission (siehe „Vereinigtes Königreich“).
  • Datenexporteure müssen eine Bestandsaufnahme aller internationalen Datentransfers vornehmen. Sie müssen bei SCCs analysieren, ob diese in dem Rechtssystem des Drittlandes wirksam die personenbezogenen Daten schützen. Wenn allein durch SCCs kein gleichwertiger Schutz besteht, sind diese durch zusätzliche Schutzmaßnahmen zu ergänzen. Diese können technischer, organisatorischer oder rechtlicher Art sein. Es wird auf die Roadmap des EDSA verwiesen, welche der Bestimmung der Compliance bei Drittstaatentransfer dient.
Historie:
27. Juli 2020: Pressemitteilung
7. Oktober 2020: Präsentation
17. November 2020: Verweis auf die Recommendations des EDSA
31. Dezember 2020: Update der Guidelines zum Datentransfer in das Vereinigte Königreich
31. Dezember 2020: Regeln für den Datentransfer für den Zeitraum im Handels- und Kooperationsabkommen zwischen EU und UK
20. Januar 2021: Pressemitteilung
28. Juni 2021: Pressemitteilung
1. Juli 2021: Pressemitteilung zur Angemessenheitsentscheidung für UK
12. Juli 2021: Themendossier zu den Folgen des Brexit für internationale Datentransfers
Malta
  • Verweist auf die FAQ des EDSA (s.o.) sowie die Recommendations 01/2020 und 02/2020 (s.o.).
  • Brexit: Für das Vereinigte Königreich besteht ein Angemessenheitsbeschluss der EU-Kommission (siehe „Vereinigtes Königreich“).
Historie:
30. Juli 2020: Pressemitteilung
11. November 2020: Pressemitteilung Recommendations 01/2020
12. November 2020: Pressemitteilung Recommendations 02/2020
15. Januar 2021: Pressemitteilung
28. Juni 2021: Pressemitteilung
Niederlande
  • SCCs seien nach wie vor eine gültige Grundlage zur Datenübermittlung in Länder außerhalb der EU, sofern ein gleichwertiges Schutzniveau gewährleistet werden könne. Dabei wird u.a. Bezug genommen auf die Erwägungen des EuGH, wonach die Nachrichten- und Sicherheitsdienste nach US-Recht weitreichende Zugriffsbefugnisse hinsichtlich der Daten von EU-Bürgern haben, die „nicht auf streng notwendige Daten beschränkt“ seien.
  • Die praktischen Konsequenzen des Urteils werden– im Rahmen des EDSA – noch untersuchtIm Zweifelsfall sollte die Übermittlung in ein Drittland eingestellt und die Daten innerhalb der EU verarbeitet werden.
  • Brexit: Für das Vereinigte Königreich besteht ein Angemessenheitsbeschluss der EU-Kommission (siehe „Vereinigtes Königreich“).
Historie:
20. Juli 2020: Pressemitteilung
11. November 2020: Pressemitteilung
16. April 2021: Pressemitteilung
21. Juni 2021: Pressemitteilung
Ohne Datum: Informationen zum Brexit und FAQ
Norwegen
  • Internationale Datentransfers müssen im Einzelfall geprüft werden. Datentransfers in die USA seien i.d.R. illegal. Amerikanische Überwachungsgesetze (z.B. FISA Sec. 702 und EO 12333) machen wirksame zusätzliche Schutz-maßnahmen häufig unmöglich. Es gebe bei der Umsetzung der Entscheidung keine Übergangsfrist. Die Aufsichtsbehörde verweist zudem auf die beiden Recommendations des EDSA.
  • Der norwegische Datenschutzbeauftragte kündigte an, zeitnah aktualisierte Leitlinien für die Übermittlung personenbezogener Daten in Drittlänger zu veröffentlichen.
  • Datenexporteure müssen den Datenimporteur befragen, welche Gesetze und Bedingungen in dessen Drittland gelten.
  • Anschließend müssen sie prüfen, ob zusätzliche Schutzmaßnahmen ergriffen werden können. Falls diese nicht ausreichen, müssen sie den Datentransfer stoppen.
Historie:
16. Juli 2020: Pressemitteilung
27. Juli 2020: FAQ
11. November 2020: Verweis auf Recommendations des EDSA
31. Dezember 2020: News zum Datentransfer in das Vereinigte Königreich
21. Juni 2021: Pressemitteilung
Österreich
  • Datentransfers in die USA seien nur mit zusätzlichen Schutzmaßnahmen möglich. Es gebe keine „Schonfrist″. Ansonsten verweist die österreichische Datenschutzbehörde auf die Stellungnahme und die FAQ des EDSA (s.o.) sowie die Recommendations 01 und 02 des EDSA.
  • Der Datenexporteur muss zusätzliche Schutzmaßnahmen prüfen. Weitere Handlungsanweisungen werden bald veröffentlicht.
  • Brexit: Für das Vereinigte Königreich besteht ein Angemessenheitsbeschluss der EU-Kommission (siehe „Vereinigtes Königreich“).
Historie:
August 2020: Stellungnahme (aktualisiert November 2020)
Ohne Datum: Informationen zum Brexit unter Berücksichtigung des Handels- und Kooperationsabkommens
Polen
  • Die Datenexporteure und -importeure müssen nicht nur die Vereinbarkeit der vertraglichen Bestimmungen mit dem EU-Recht überprüfen, sondern auch Zugriffsmöglichkeiten von Behörden eines Drittlands auf diese Daten. Der Datenschutzbeauftragte verweist zudem auf Recommendations 01 und 02 des EDSA sowie die Konsultation zu den neuen SCCs der EU-Kommission und zur Recommendation 01.
  • Brexit: Für das Vereinigte Königreich besteht ein Angemessenheitsbeschluss der EU-Kommission (siehe „Vereinigtes Königreich“).
  • Sofern das Schutzniveau der personenbezogenen Daten nicht dem der EU entspricht, könne die Übermittlung von Daten in ein Drittland auch auf andere Transfermechanismen gestützt werden, sofern diese ein gleichwertiges Schutzniveau wie in der EU gewährleisten.
Historie:
20. Juli 2020: Pressemitteilung
13. November 2020: Meldung zu Recommendations des EDSA
17. November 2020: Meldung zu Konsultation zu SCCs
23. November 2020: Meldung zu Konsultation zu Recommendation 1/2020
24. November 2020: Meldung zu Entwurf der neuen SCCs
30. Dezember 2020: Pressemitteilung
19. Januar 2021: Pressemitteilung
2. März. 2021: Pressemitteilung
30. Juni 2021: Pressemitteilung
Rumänien
  • Es wird auf alternative Transfermechanismen für Datenübermittlungen in die USA hingewiesen. Demnach stehen hierfür neben SCCs auch BCRs, Verhaltenskodexe und Zertifizierungsmechanismen zur Verfügung. Zudem wird auf Recommendations 1 und 2 des EDSA hingewiesen. In der Besprechung zwischen der Aufsichtsbehörde und der Rumänisch-Amerikanischen Handelskammer wurde auf das Urteil und die Recommendations 01/2020 und 02/2020 des EDSA verwiesen.
  • Es wurde darauf hingewiesen, dass zu befolgende Schritte, potenzielle Informationsquellen und Beispiele für die Ergänzung der Maßnahmen bereitgestellt werden sollten.
Historie:
20. Juli 2020: Pressemitteilung
17. November 2020: Meldung zu Recommendations des EDSA
7. Dezember 2020: Besprechung der Aufsichtsbehörde und der Rumänisch-Amerikanischen Handelskammer und Hinweis zur Bereitstellung von Informationen
Slowenien
  • Es wird darauf hingewiesen, dass als rechtliche Grundlage anstelle des Privacy Shield-Beschlusses SCCs und BCRs dienen können. Es wird auf die Recommendations 01 und 02 des EDSA verwiesen.
  • Bisher keine Hinweise zu weiterem Handlungsbedarf.
  • Brexit: Für das Vereinigte Königreich besteht ein Angemessenheitsbeschluss der EU-Kommission (siehe „Vereinigtes Königreich“).
Historie:
16. Juli 2020: Pressemitteilung
16. November 2020: Meldung zu Recommendations des EDSA
7. Januar 2021: Meldung Übermittlung personenbezogener Daten an das Vereinigte Königreich kann weiterhin erfolgen
27. Juni 2021: Pressemitteilung
Schweden
  • Verweist auf die FAQ sowie auf Recommendations 01 und 02 des EDSA (s.o.). Die Behörde hat sechs Untersuchungen über den Datentransfer in Drittländer eingeleitet und verweist auf die Recommendations des EDSA.
  • Die Behörde hat bestimmte BCRs genehmigt.
  • Keine über die FAQs des EDSA hinausgehenden Hinweise zum weiteren Handlungsbedarf.
Historie:
17 Juli 2020: Pressemitteilung (aktualisiert am 20. Juli 2020)
16. November 2020: Informationsseite zu Schrems II-Urteil
26. November 2020: Überprüfung der Aufsichtsbehörde
11. Dezember 2020: Verstoß gegen DSGVO – Speicherung von personenbezogenen Daten in amerikanischer Cloud, ohne ausreichendes Schutzniveau
29. Januar 2021: Genehmigung bestimmter BCRs für die Übertragung von Daten in Nicht-EU-Staaten durch bestimmte Unternehmensgruppe
Spanien
  • Das Urteil stelle einen Wendepunkt für die rechtlichen Grundlagen der Datenübermittlung in die USA dar. SCCs seien dabei weiterhin als gültig zu beurteilen.
  • Bisher keine Hinweise zu weiterem Handlungsbedarf.
  • Für die Umsetzung des Urteils in den EU-Ländern sei jedenfalls eine einheitliche europäische Herangehensweise erforderlich.
Historie:
22. Juli 2020: Pressemitteilung (aktualisiert am 9. Oktober 2020)
Schweiz
  • Auch das Swiss-US Privacy Shield biete kein ausreichendes Datenschutzniveau. Ein Datentransfer in die USA könne daher nicht mehr auf dieses gestützt werden. Dies stehe unter dem Vorbehalt einer abweichenden Rechtsprechung schweizerischer Gerichte. Vertragliche Garantien wie SCCs BCRs gelten weiter. Die Risiken seien jedoch wie unter der DSGVO im Einzelfall zu abzuwägen.
  • Verantwortliche sollen von Swiss-US Privacy Shield auf SCCs oder BCRs umstellen.
  • Unternehmen müssen prüfen, ob der Datenimporteur in der Lage ist die vom Schweizer Recht vorgesehene Mitwirkung zu leisten.
  • Zusätzliche Schutzmaßnahme seien erforderlich, wenn andernfalls das angemessene Datenschutzniveau nicht gewahrt werden könne (z.B. Verschlüsselung).
  • Andernfalls sei ein Verzicht auf den Datenexport zu empfehlen.
  • Es würden noch weitere Hinweise für Verantwortliche folgen.
Historie:
16. Juli 2020: Pressemitteilung
8. September 2020: Stellungnahme zum Swiss-U.S. Privacy Shield
(aktualisiert am 4. Dezember 2020: Stellungnahme zur Übermittlung von Personendaten in die USA und weitere Staaten ohne angemessenes Datenschutzniveau i.S.v. Art. 6 Abs. 1 DSG)
18. Juni 2021: Anleitung für die Prüfung von Datenübermittlungen mit Auslandsbezug
Tschechische Republik
  • Die Anforderungen für eine weitere Verwendung von Standardvertragsklauseln bei Transfers in die USA seien hoch. Die Risiken seien im Einzelfall zu bewerten. Dabei müsse insb. auch der CLOUD Act berücksichtigt werden.
  • Es sei Rücksprache mit dem Datenimporteur zu halten, inwieweit dieser von dem EuGH-Urteil betroffen sei.
  • Zusätzliche Sicherheitsmaßnahmen seien zu prüfen (z.B. Verschlüsselung ohne Hintertür, Metadaten nur in der EU).
  • Brexit: Für das Vereinigte Königreich besteht ein Angemessenheitsbeschluss der EU-Kommission (siehe „Vereinigtes Königreich“).
Historie:
16. Juli 2020: Pressemitteilung
7. August 2020: Hinweise für Verantwortliche
2. September 2020: Veröffentlichung FAQ zu Datentransfer in Drittländer
7. Januar 2021: Pressemitteilung
Vereinigtes Königreich
  • Der EuGH habe bestätigt, dass EU-Datenschutzstandards mit den Daten „mitreisen“ müssen, wenn sie ins Ausland übermittelt werden. Das Urteil habe weitreichendere Auswirkungen als nur die Ungültigkeitserklärung des EU-US-Datenschutzschildes. Es sei ein Urteil, das die Bedeutung von Schutzmaßnahmen für personenbezogene Daten bestätigt, die aus dem Vereinigten Königreich transferiert werden. Zudem wird auf die Recommendations des EDSA.
  • Weitere Arbeiten der Europäischen Kommission und des EDSA seien im Gange, um eine umfassendere Anleitung für zusätzliche Maßnahmen zu geben, die möglicherweise zu ergreifen sind. In der Zwischenzeit sollten Unternehmen eine Bestandsaufnahme der von Ihnen vorgenommenen internationalen Transfers vornehmen und umgehend reagieren, sobald Leitlinien und Ratschläge verfügbar werden. Angesichts der Herausforderungen für Unternehmen werde weiterhin praktische und pragmatische Beratung und Unterstützung angeboten.
  • Brexit: Für das Vereinigte Königreich ist von der EU-Kommission ein bis zum 27. Juni 2025 befristeter Angemessenheitsbeschluss nach Art. 45 DSGVO erlassen worden, sodass UK während dieses Zeitraums nicht als unsicherer Drittstaat für Datenübermittlungen gilt. Zuletzt hatte das EU-Parlament in einer Entschließung die EU-Kommission zu einer Überarbeitung des vorliegenden Entwurfs des Angemessenheitsbeschlusses aufgefordert. Das Parlament war über die Art. 5 der VO Nr. 182/2011 und Art. 112 Abs. 2 der Geschäftsordnung des Europäischen Parlaments eingebunden worden.
Historie:
27. Juli 2020: Erklärung des ICO (Update zur Erklärung vom 17. Juli 2020)
13. November 2020: Erklärung zu Recommendations und SCC-Konsultation
21. Dezember 2020: Pressemitteilung
28. Dezember 2020: Erklärung des ICO
19. Februar 2021: Pressemitteilung der EU-Kommission und Entwurf bzgl. der DSGVO sowie Entwurf bzgl. der Law Enforcement Directive
Ohne Datum: Datenschutz nach der Übergangsperiode (Brexit)
1. Juni 2021: Pressemitteilung des Europäischen Parlaments
28. Juni 2021: Angemessenheitsbeschluss der EU-Kommission nach Art. 45 DSGVO
Zypern
  • Erläutert das Urteil und auf die FAQ des EDSA (s.o.).
  • Datenexporteure müssen das Schutzniveau im Drittland prüfen. Bei einem nicht ausreichenden Schutzniveau sollen sie einen Datentransfer aussetzen. Ggf. seien zusätzliche Schutzmaßnahmen zu erwägen.
Historie:
20. Juli 2020: Pressemitteilung

Tags: Aufsichtsbehörde EU-US Privacy Shield SCC Schrems Standardvertragsklausel


Ingo G.
am 22.09.2020 um 15:58:23

Danke für die super Übersicht!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.