Handlungsoptionen nach Schrems II

Das EuGH-Urteil und seine aktuellen Folgen

Am Abend des 27.07.2020 haben wir, eine Handvoll Datenschutzexperten, uns zusammengefunden, um mögliche Handlungsoptionen für deutsche Unternehmen zu besprechen, die personenbezogene Daten in Drittländer, speziell in die USA übermitteln wollen oder müssen und nach dem Urteil des EuGH vom 16.07.2020 ggf. ihre Verarbeitungsprozesse überarbeiten müssen. Erste Kommentare dazu habe ich bereits in einem früheren Artikel veröffentlicht (siehe rechts). Die EuGH-Texte finden Sie auch nochmal einmal hier: 

  • EuGH-Pressemitteilung > hier
  • EuGH-Urteil > hier

In den meisten Fällen sieht es nun für deutsche Unternehmen so aus, dass eine Zusammenarbeit mit US-amerikanischen Geschäftspartner nicht mehr möglich ist - und zwar ab sofort. Denn während es nach dem EuGH-Urteil gegen das Safe-Harbour-Abkommen anschließend ein Moratorium von sechs Monaten gab, ist jetzt davon keine Rede. Die Statements der Aufsichtsbehörden klingen auch nicht gerade nach einer Stimme, wie die folgende Übersicht zeigt.

  • Das sagen die Aufsichtsbehörden > hier (diese Liste wird regelmäßig aktualisiert)

Die wahrscheinlich besten Empfehlungen hat Max Schrems selbst kostenlos auf seine Seite noyb.eu gestellt, und auch die Hinweise der Kremer Rechtsanwälte sind sehr gut. Beides können Sie hier nachlesen:

  • Schrems-Handlungsempfehlungen > hier 
  • Kremer Rechtsanwälte Handlungsoptionen > hier

So ist es sicherlich keine Überraschung, dass wir Datenschutzbeauftragte unseren Kunden ebenfalls empfehlen, entweder die Finger von US-Softwareprodukten und Clouds zu lassen oder Module für eine Einwilligung vor der Übermittlung personenbezogener Daten in die USA zu schalten, so wie es ja auch schon für die Einwilligung von Tracking Tools zwingend erforderlich ist. An ein weiteres vertragliches Abkommen glauben wir in unserer Runde nicht so wirklich, da davon auszugehen ist, dass die Sicherheitsbehörden im den USA immer auf den Zugriff der Daten bestehen werden.

Aus dem Urteil lässt sich m. E. auch herauslesen, dass die Richter kein Verständnis dafür entwickeln konnten, eine Übermittlung personenbezogener Daten in die USA zuzulassen, weil auch die Aufsichtsbehörden über die Zugriffsmöglichkeiten informiert waren. Aus diesem Grund werden meiner Meinung nach die Aufsichten jetzt deutlich penibler agieren, um weiteren Vorwürfen zu entgehen. Die DSGVO hat schießlich auch Vorschriften für die Datenschutzaufsichten!

Auf der Website der Datenschutzaufsicht Nordrhein-Wetsfalen wird die Zusammenarbeit der Datenschutzbehörden Deutschlands kommuniziert, allerdings habe ich auch erfahren, dass die Hamburger Datenschützer bereits an einer Unterlassungsverfügung arbeiten sollen.

Wir, das sind übrigens Mitglieder des DSGVO-Stammtisches Hamburg, einer im März 2020 eingerichteten lokalen Xing-Gruppe. An diesem Thema arbeiteten:

  • Florian Albrecht, consenso Consulting GmbH
  • Christian Beyer, Linetec IT Solutions GmbH
  • Matthias Dolle, dacoso GmbH
  • Oliver Feege, FK Datenschutz UG
  • Frank Kowalski, FK Datenschutz UG
  • Hans-Dieter Neumann, Neumann Consulting e. K.