Konkrete Hilfe für Unternehmen: Datentransfer in die USA rechtskonform gestalten

Mit einer Informationsoffensive über mehrere Kanäle will der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) in Rheinland-Pfalz, Professor Dr. Dieter Kugelmann, Unternehmen und Organisationen dabei unterstützen, Datenübermittlungen in Drittstaaten DSGVO-konform durchzuführen. "Es ist eine Mammutaufgabe, den Datentransfer in Staaten außerhalb der EU rechtskonform auszugestalten. Die Frage ist etwa für die Nutzung von US-amerikanischen Software-Programmen oder die Speicherung von Daten in einer Cloud von immenser Bedeutung."

Ein Dilemma, in dem sich viele Firmen seit dem gekippten EU US Privacy Shield durch den Europäischen Gerichtshof – das sogenannte Schrems-II-Urteil – befinden. Ihnen bleiben noch die sogenannten Standarddatenschutzklauseln, früher Standardvertragsklauseln: Diese Musterverträge stellt die EU zur Verfügung und sie sind durch Kommissionsentscheidungen bestätigt. An deren Nutzung haben die Gerichte allerdings hohe Anforderungen geknüpft: Die Verantwortlichen müssen die Einhaltung der darin ausgeführten Verpflichtungen gewährleisten.

Daher müsse, führt Kugelmann aus, jedes Unternehmen, jede staatliche Stelle und jeder Verantwortliche analysieren, welche Datenverarbeitungsprozesse in seiner Verantwortung abliefen und an welcher Stelle welche personenbezogenen Daten in Staaten außerhalb der EU transferiert würden. Anschließend müsse genau geprüft werden, auf welcher Grundlage dies noch geschehen könne und ob gegebenenfalls zusätzliche Maßnahmen zu implementieren seien. Denn: "Für uns als Aufsichtsbehörde ist klar: Die Verantwortung für einen zulässigen Datentransfer liegt beim Verantwortlichen, etwa beim Unternehmen." Unterstützung bei der Umstellung erhalten die Betroffenen durch die nationalen und die EU-Datenschutzbehörden.

Schlauer mit Podcast, Prüfschema, FAQ und Co.

Zum Auftakt seiner Kampagne lud Kugelmann zu einer virtuellen Online-Konferenz ein, die den Status Quo der Datenübermittlungen eruieren sollte. Einführend skizzierte der LfDI in einem Kurzvortrag die rechtlichen Rahmenbedingungen, die Vorgehensweise der Datenschutzaufsichtsbehörden und seine Empfehlungen zum weiteren Vorgehen. Auch die neueste Folge seines Podcasts "Datenfunk" hat Kugelmann dem Schrems-II-Urteil gewidmet. Sie beschäftigt sich mit den konkreten Folgen des Urteils: Sollen Unternehmen nun auf Standardvertragsklauseln zählen? Verschlüsseln? Zu europäischen Anbietern wechseln?

Des Weiteren hat der LfDI eine Übersicht mit den einzelnen Prüfschritten erstellt. Anhand dieses Leitfadens können sich Verantwortliche für Datenverarbeitungen "individuellen Lösungen für die datenschutzkonforme Übermittlung personenbezogener Daten in Drittländer annähern". Außerdem finden sich im Prüfschema Hinweise auf weiterführende Informationen zu Detailfragen. Und schließlich bietet die Webseite des Landesdatenschutzbeauftragten eine Zusammenstellung an Informationen rund um das Thema Datenübermittlung in Drittländer, darunter Empfehlungen des Europäischen Datenschutzausschusses (EDPB) oder die häufigsten Fragen und Antworten. Für den 3. Dezember 2020 plant der LfDI einen Runden Tisch zu Schrems II mit Vertreterinnen und Vertretern der Wirtschaft und der Landesregierung.

(ur)