6 Minuten Lesezeit 15 Dezember 2020
Europäische Flaggen bei der Europäischen Kommission Brüssel

Sechs Schritte für Unternehmen, um die Anforderungen aus dem Schrems-II-Urteil einzuhalten.

Autoren
Tony DeBos

EY Global & EMEIA Data Protection and Privacy Leader; EY EMEIA Financial Services ServiceNow Alliance Leader

Strong sense of team orientation and innovative vision. Entrepreneur and forward-thinker. Team builder. Sports lover. Husband and father of three.

Saskia Vermeer-de Jongh

EY Netherlands Digital, Privacy & Cybersecurity Law Practice Leader

Leader in digital, privacy and cybersecurity law. Mother to two boys. Keen runner, swimmer and fitness enthusiast.

Lokaler Ansprechpartner

Meribeth Banaschik

EY EMEIA Innovation Leader; Partner, Forensic & Integrity Services, EY GmbH & Co. KG Wirtschaftsprüfungsgesellschaft | Deutschland

Rechts- und ehemalige Prozessanwältin. Hat jahrelange Erfahrung in den Bereichen eDiscovery, Dokumentenprüfung, Einhaltung des Datenschutzes, Rechtsstreitigkeiten und Vertragsmanagement.

6 Minuten Lesezeit 15 Dezember 2020
Verwandte Themen Forensic & Integrity Services Cybersecurity Risikomanagement Vertrauen nach Plan Consulting
Gefällt mir

Weitere Materialien

Spätestens das Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH) hat datenverarbeitende Unternehmen in Europa daran erinnert, dass der im Europäischen Wirtschaftsraum (EWR) geltende Schutz für personenbezogene Daten auch überall dort gewährleistet sein muss, wohin die Daten übermittelt werden.

Überblick
  • Unternehmen, die personenbezogene Daten in Drittländer übermitteln, müssen entscheiden, ob diese Länder ein vergleichbares (Daten-)Schutzniveau wie die EU bieten.
  • Wo mit geeigneten Garantien nach Art. 46 DSGVO kein vergleichbares Datenschutzniveau sichergestellt werden kann, können zusätzliche Maßnahmen ergriffen werden.
  • Alle Unternehmen, die personenbezogene Daten übermitteln, müssen ihre Datenübermittlung im Sinne der Rechenschaftspflicht entsprechend den Empfehlungen des Europäischen Datenschutzausschusses (EDSA) in sechs Schritten dokumentieren und bewerten.

Im Juli 2020 hat der EuGH in der Rechtssache C-311/18 („Schrems II“) u. a. entschieden, dass die Vereinigten Staaten „im Wesentlichen kein der EU vergleichbares Schutzniveau“ für die Übermittlung personenbezogener Daten gewährleisten und daher das „Privacy-Shield“ als Angemessenheitsbeschluss ungültig ist.

Der Fall hat Auswirkungen für die Datenübermittlung in alle Länder außerhalb des Europäischen Wirtschaftsraums (EWR): Die Übermittlung personenbezogener Daten in Drittländer darf nicht dazu führen, den in der EWR gewährten Schutz zu schwächen oder zu verwässern. Um im Einklang mit der europäischen Datenschutz-Grundverordnung (DSGVO) zu handeln, müssen Unternehmen die Anforderungen aus dem Schrems-II-Urteil für Drittlandsübermittlungen von personenbezogenen Daten befolgen – andernfalls drohen ihnen Bußgelder in Höhe von 20 Millionen Euro oder bis zu 4 Prozent des weltweiten Gesamtumsatzes des vorangegangenen Geschäftsjahres.

Was Unternehmen nach dem Schrems-II-Urteil jetzt tun sollten

Datenverarbeitende Unternehmen in Europa, die personenbezogene Daten in ein Drittland übermitteln („Datenexporteure“), müssen beurteilen, ob in dem betreffenden Drittland das von der DSGVO geforderte Schutzniveau sichergestellt wird. Falls nicht, ist zu prüfen, ob durch zusätzliche Maßnahmen ein der DSGVO vergleichbares Schutzniveau gewährleistet werden kann. Der Europäische Datenschutzausschuss (EDSA) hat Empfehlungen mit sechs Schritten für die Umsetzung der Anforderungen aus dem Schrems-II-Urteil herausgegeben.

Schritt 1: Die Datenübermittlungen kennen

Der Datenexporteur muss seine Datenübermittlungen in Drittländer dokumentieren. Dies umfasst auch etwaige Weiterübermittlungen durch seine eingesetzten Auftragsverarbeiter. Laut EDSA ist die Kenntnis aller Datenübermittlungen ein wesentlicher erster Schritt zur Erfüllung der Rechenschaftspflicht als Datenschutzgrundsatz.

Für die Dokumentation der Datenübermittlungen können sogenannte Data-Discovery-Lösungen die Identifizierung relevanter Informationen bei einer Datenübermittlung ins Drittland unterstützen. Das Verzeichnis der Verarbeitungstätigkeiten und die Informationspflicht an Betroffene können dabei ebenfalls von Nutzen sein, um eine Übersicht aller Datenübermittlungen transparent zu dokumentieren. Übermittlungen, die nicht oder nicht mehr angemessen, relevant oder notwendig erscheinen, sind einzustellen (Grundsatz der Zweckgebundenheit).

Maßnahmen

Für die Beschreibung der Datenübermittlung sind Verzeichnisse der Verarbeitungstätigkeit entsprechend zu ergänzen, zu aktualisieren und zu pflegen, um Übermittlungen mit den dazugehörigen personenbezogenen Daten, Zwecken usw. zu dokumentieren. Es sollte auch festgestellt werden, ob überhaupt eine Notwendigkeit zur Übermittlung personenbezogener Daten in ein Drittland besteht. Vertragsmanagement-Tools können die automatisierte Auswertung von Verträgen unterstützen.

Schritt 2: Auswahl der eingesetzten Übermittlungsinstrumente

Nach der Beschreibung der Datenübermittlung ist gemäß Art. 44 ff. DSGVO das zur Absicherung der Übermittlung geeignete und vorhandene Übermittlungsinstrument auszuwählen. Wenn Datenübermittlungen auf einen Angemessenheitsbeschluss der Europäischen Kommission gestützt werden können, sind laut EDSA keine zusätzlichen Maßnahmen erforderlich, außer der Überwachung, ob dieser Angemessenheitsbeschluss weiterhin gültig und der Datenimporteur entsprechend zertifiziert ist. Ebenfalls dürften keine zusätzlichen Maßnahmen erforderlich sein, wenn sich Übermittlungen auf die restriktiven Ausnahmeregelungen (Art. 49 DSGVO) stützen, wobei dies im Einzelfall sehr genau zu prüfen ist und die Ausnahmen den sonstigen Übermittlungsinstrumenten nachrangig sind. 

Weitere Maßnahmen sind hingegen erforderlich, wenn eine Übermittlung auf geeignete Garantien als Übertragungsinstrument gem. Art. 46 DSGVO gestützt wird. Diese geeigneten Garantien umfassen etwa die sogenannten EU-Standardvertragsklauseln oder verbindliche Unternehmensregeln oder Verhaltenskodizes.

Maßnahmen

Datenexportierende Unternehmen haben beim Einsatz der Übermittlungsinstrumente deren Verfügbarkeit, Eignung und Wirksamkeit zu prüfen und zu bewerten. Gerade für EU-Standardvertragsklauseln hat der EuGH in seinem Schrems-II-Urteil die Anforderungen an deren Einsatz konkretisiert.

Schritt 3: Beurteilung der Wirksamkeit des ausgewählten Übermittlungsinstruments gemäß Art. 46 DSGVO im Hinblick auf die Gesamtumstände der Übermittlung

Laut EuGH muss das datenexportierende europäische Unternehmen das Datenschutzniveau im Drittland prüfen. Ziel der Prüfung ist die Feststellung, ob das Recht oder die Praxis des Drittlandes die Erfüllung der Pflichten aus den EU-Standardvertragsklauseln beeinträchtigt. Für den Fall einer Beeinträchtigung lässt der EuGH dem datenexportierenden europäischen Unternehmen die Möglichkeit offen, zusätzliche (Datenschutz-)Maßnahmen zu ergreifen (ggf. gemeinsam mit dem datenimportierenden Unternehmen im Drittland), um ein vergleichbares Datenschutzniveau wie in der EU zu gewährleisten.

Maßnahmen

Diese Beurteilung des Übermittlungsinstruments kann teilweise automatisiert mit einer Datenbank unterstützt werden, die getroffene zusätzliche Maßnahmen pro Drittland beinhaltet und mit den Anforderungen aus der DSGVO und dem Schrems-II-Urteil in Verbindung bringt. Die Automatisierung kann auch die Entwicklung der lokalen Praxis und des Rechts sowie der zusätzlichen Maßnahmen in dem jeweiligen Drittland überwachen.

Schritt 4: Zusätzliche Maßnahmen ergreifen

Für den Fall der Beeinträchtigung hat das datenexportierende Unternehmen zusätzliche Maßnahmen zu definieren, zu dokumentieren und umzusetzen, um ein vergleichbares Schutzniveau mit dem Einsatz von EU-Standardvertragsklauseln in dem Drittland zu fördern und sicherzustellen. Diese zusätzlichen Maßnahmen können vertraglicher, technischer oder organisatorischer Art sein und sich gegenseitig ergänzen. Ist der Datenexporteur jedoch nicht in der Lage, wirksame ergänzende Maßnahmen zu finden, ist die Übermittlung zu unterlassen oder – wenn sie bereits begonnen hat – zu beenden.

Beabsichtigt der Datenexporteur selbst bei Fehlen eines vergleichbaren Schutzniveaus dennoch, die personenbezogenen Daten zu übermitteln, kann die zuständige Aufsichtsbehörde Sanktionen in Form eines Bußgeldes und/oder von Verarbeitungsuntersagungen aussprechen.

Schritt 5: Verfahrensschritte nach Ermittlung effektiver zusätzlicher Maßnahmen

Nach der Identifikation und Definition zusätzlicher (risikomitigierender) Maßnahmen hat der Datenexporteur formale Verfahrensschritte zu ergreifen und zu dokumentieren, um die Umsetzung und das Nachhalten genau dieser Maßnahmen sicherzustellen. Die formellen Verfahrensschritte hängen von dem verwendeten Übertragungsinstrument ab.

Schritt 6: Neubewertung in angemessenen Abständen

Dem Grundsatz der Rechenschaftspflicht folgend muss der Datenexporteur laufend Entwicklungen im Drittland überwachen, die das ursprüngliche Assessment beeinflussen könnten. Darüber hinaus muss er Mechanismen entwickeln, die sicherstellen, dass Übermittlungen bei Bedarf sofort ausgesetzt oder beendet werden können.

Maßnahmen

Eine regelmäßige Neubewertung in angemessenen Abständen stellt sicher, dass alle Änderungen der Praxis und des Rechts im Drittland regelmäßig identifiziert und die entsprechenden Bewertungen, Dokumentationen und Kontrollmechanismen aktualisiert und angepasst werden. Das Verzeichnis von Verarbeitungstätigkeiten, die Data Discovery, die Vertragsprüfung und Änderungen in der regulatorischen Landschaft sind wichtige Säulen, wenn eine Änderung von Vorschriften oder Anforderungen durch den EDSA erfolgt.

So unterstützen wir Sie

eDiscovery-Services

Im Kern umfasst die eDiscovery die Sicherung („preservation“), die Sammlung („collection“), die rechtskonforme Datenverwaltung („hosting“), die Überprüfung („review“), die rechtskonforme Aufbewahrung, Archivierung bzw. Vernichtung von Daten und gegebenenfalls auch den sicheren Austausch von Dateien im Zuge juristischer Auseinandersetzungen.

Mehr lesen

Neue Standardvertragsklauseln

Die EU-Kommission hat kürzlich Standardvertragsklauseln vorgestellt, die für Datentransfers in Drittländer (z.B. Großbritannien, USA) gelten sollen und als Unterstützung zur Einhaltung der Datenschutzgrundverordnung gesehen werden können.

Mehr Infos

Fazit

Das Schrems-II-Urteil stellt zusätzliche Anforderungen an Unternehmen, um die Datenschutz-Compliance weltweit aufrechtzuerhalten und zu gewährleisten. Dafür können zusätzliche technische, organisatorische und rechtliche Maßnahmen erforderlich sein. Der Einsatz entsprechender Lösungen und deren Automatisierung ist jedoch unerlässlich, um einen handhabbaren und effizienten Prozess zum Schutz der Privatsphäre und des Datenschutzes zu schaffen.

Über diesen Artikel

Autoren
Tony DeBos

EY Global & EMEIA Data Protection and Privacy Leader; EY EMEIA Financial Services ServiceNow Alliance Leader

Strong sense of team orientation and innovative vision. Entrepreneur and forward-thinker. Team builder. Sports lover. Husband and father of three.

Saskia Vermeer-de Jongh

EY Netherlands Digital, Privacy & Cybersecurity Law Practice Leader

Leader in digital, privacy and cybersecurity law. Mother to two boys. Keen runner, swimmer and fitness enthusiast.

Lokaler Ansprechpartner

Meribeth Banaschik

EY EMEIA Innovation Leader; Partner, Forensic & Integrity Services, EY GmbH & Co. KG Wirtschaftsprüfungsgesellschaft | Deutschland

Rechts- und ehemalige Prozessanwältin. Hat jahrelange Erfahrung in den Bereichen eDiscovery, Dokumentenprüfung, Einhaltung des Datenschutzes, Rechtsstreitigkeiten und Vertragsmanagement.

Verwandte Themen Forensic & Integrity Services Cybersecurity Risikomanagement Vertrauen nach Plan Consulting
Gefällt mir