Schrems-II-Urteil: Aktualisierte Orientierungshilfe des LfDI BW
Das Schrems II Urteil des EuGHs führt für viele Unternehmen zu neuen Herausforderungen im Bereich Datenschutz. Hierbei wurde das EU-US Privacy Shield gekippt, weshalb ein angemessenes Datenschutzniveau nun auch aus anderen Gebieten zu gewährleisten ist. Doch welche Folgen hat dies genau auf die betroffenen Unternehmen und welche Fristen wurden zur Anpassung gesetzt?
Konkrete Angaben und Unterstützungen sind mit dem Schrems II Urteil kaum verbunden. Dies übt zusätzlichen Druck auf die vielen Unternehmen in ganz Europa, die sich in Zukunft nicht mehr auf die bisherige Sicherheit des Privacy Shield verlassen können. Die Baden-Württembergische Aufsichtsbehörde hat aus diesem Grund eine wertvolle Ressource veröffentlicht. Diese enthält erstmals konkrete Handlungsempfehlungen und verdeutlicht, welche Bereiche aus Sicht der Behörden entscheidend sind. Doch was genau hat es mit der Orientierungshilfe auf sich?
Inhalte der Orientierungshilfe
Um das Schrems II Urteil aus Sicht der betroffenen Unternehmer transparenter zu gestalten, werden die zentralen Aussagen in der Orientierungshilfe noch einmal zusammengefasst. Auch eine Checkliste mit Hinweisen für das geeignete Vorgehen aus Sicht der Unternehmen wurde beigelegt. Dadurch sollen die ersten Schritte raus aus der bisherigen Unsicherheit möglich werden, um den neu entstandenen rechtlichen Anforderungen ohne viel Aufwand zu entsprechen.
Nicht nur bezüglich der Klauseln, sondern auch für die inhaltlich relevanten Checklisten haben sich durchaus Unterschiede ergeben. Dadurch schafft die Aufsichtsbehörde einen unmittelbaren Bezug zur vorherigen Situation und weitet die Orientierungshilfe für Unternehmen aus. Doch was genau steckt hinter den Neuerungen an der Checkliste und worauf kommt es an dieser Stelle an?
Checkliste für Unternehmen
Die größten Änderungen an der bisherigen Checklist begrenzen sich auf sprachliche und redaktionelle Phänomene. Hierzu gehört beispielsweise der Verweis auf die EU-Grundrechtecharta, die auch in Bezug auf weitere Drittländer wie die USA zur Geltung kommt. Neben den Formulierungen wurde auch die Checkliste umfassend überarbeitet. Die bisherigen Anforderungen sind nun in konkreterer Form erhältlich, wodurch die Betroffenen konkrete Anweisungen für das am besten geeigneten Vorgehen im Datenschutz haben.
So werden beispielsweise die Hinweise gegeben, dass eine sofortige Inventur das beste Mittel darstellt. Hierbei soll ermittelt werden, in welchen Fällen personenbezogene Daten in Drittländer exportiert werden. Auch die Möglichkeiten zur Überprüfung sowie zur Erweiterung zusätzlicher Organe sind direkt innerhalb der Liste vermerkt. Dadurch werden die neuen Maßnahmen für Betriebe und Unternehmen deutlich greifbarer, wirkliche Ansätze für eine Reaktion auf das neue Urteil ergeben sich aus den Checklisten hingegen nicht.
Ebenfalls entscheidend ist die Ergänzung zahlreicher Beispiele aus der internationalen Rechtsprechung. Dadurch verfügen die Dokumente über weitere Angaben zu den besten Zugriffsmöglichkeiten staatlicher Stellen, wodurch die individuellen Situationen der anderen Staaten optimal aufgeklärt werden können. Mit den nötigen Fakten zur Rechtsprechung und den weiteren Hilfestellungen steht einer ganzheitlichen und optimalen Einschätzung mit Sicherheit nichts im Weg.
Abschließend werden innerhalb der Checkliste weitere Hinweise gegeben, wie sich der Transfer von Daten in Drittländer vermeiden lässt. Durch die neue Gesetzeslage ist hierzu stets ein Abgleich mit den internationalen Rechtsprechungen der anderen Länder erforderlich. Die folgenden Hinweise sind daher in der Checkliste vorhanden, um den Datenexport möglichst effektiv einzuschränken.
- Dienste nutzen, die nicht für Datenübertragungen in Drittländer sorgen
- Für eine Verschlüsselung der exportierten Daten sorgen
- Vertragliche Vereinbarungen treffen, die eine Datenverarbeitung ausschließen
Empfehlungen für die Nutzung der Standarddatenschutzklauseln
Neben der Checklist haben sich auch im Bereich der Standarddatenschutzklauseln einige Anpassungen ergeben. Ein entscheidender Tipp ist an dieser Stelle, den Willen zu rechtskonformem Handeln zu zeigen, auch wenn dies vor allem in der Übergangsphase nicht immer möglich ist. Aus diesem Grund sollen die Daten zum Importeur und die damit verbundenen Informationen abrufbar sein und den Behörden zur Verfügung stehen. Zudem muss für die betroffenen Personen die Möglichkeit bestehen, sowohl vom Exporteur als auch vom Importeur Schadenersatz zu verlangen.
Nicht immer sind an dieser Stelle alle Garantien vorhanden, die zur Verschlüsselung und Anonymisierung erforderlich sind. Besonders in derart schwierigen Zeiten zählt daher der gute Wille, um die eigene Konformität zum Ausdruck zu bringen. Mit einer ganzheitlichen Dokumentation haben Sie es am leichtesten, die gängigen Anforderungen zu erfüllen und die Qualität zu erweitern.
Auf diese Weise soll es möglich werden, trotz der spontanen und für viele Unternehmen überraschenden Änderung den neuen rechtlichen Anforderungen gerecht zu werden. In Verbindung mit der umfassenden Checkliste und den konkreten Hinweisen für ein durchdachtes Vorgehen lässt sich ohne viel Aufwand für mehr Komfort sorgen.
PRIOLAN als Ihr externer Datenschutzbeauftragter (jetzt anfragen!)
Datenschutz im Unternehmen ist ein komplexes Thema. Wenn Sie Unterstützung benötigen, um auf der sicheren Seite zu sein, können Sie sich vertrauensvoll an uns von PRIOLAN wenden. Wir helfen Ihnen deutschlandweit, rechtssicher zu werden und vor Abmahnungen geschützt zu sein.
Sie erreichen uns jederzeit über unser Kontaktformular oder während unserer Geschäftszeiten telefonisch unter 07131 / 26 28 0. Schützen Sie sich jetzt!