Cloud, E-Mail und Online-Konferenz
Auch wenn es nicht allen Unternehmern bewusst ist: Die meisten von ihnen lassen personenbezogene Daten außerhalb des Europäischen Wirtschaftsraums verarbeiten. Und sei es nur, weil sie Programme, Mail-Dienste, Cloud-Server oder Konferenztools großer Anbieter nutzen. Bis zum vergangenen Juli reichte das sogenannte „Privacy Shield“-Abkommen als Grundlage für den Datentransfer in die USA aus. Doch dann entschieden die Luxemburger Richter: Die Vereinbarung kann keinen Schutz europäischer Nutzerdaten garantieren, der den Anforderungen der DSGVO gerecht wird. Das gilt auch für die Verwendung vorformulierter Standardvertragsklauseln. Eines der wichtigsten Kriterien ist dabei, dass in den USA Behörden und Geheimdiensten der Zugriff auf Daten ermöglicht werden muss. Europäer, die einen Missbrauch vermuten, haben außerdem keine rechtliche Handhabe dagegen
Kontrollstellen für Umsetzung verantwortlich
Seit dem Urteil des Gerichtshofs haben Aufsichtsbehörden immer wieder auf die Konsequenzen hingewiesen: Die meisten Unternehmen müssen langjährig genutzte Geschäftsabläufe umstellen. Dabei nehmen die EU-Richter auch die Datenschützer in die Pflicht. Sie müssen unzulässige Transfers „verbieten oder aussetzen“, heißt es im Urteil (Az. C-311/18).
Fragenkatalog zeigt Problembereiche
Verschiedene Landesdatenschutz-Behörden haben nun offizielle Kontrollmaßnahmen angekündigt. Dabei soll zunächst stichprobenartig ausgewählten Betrieben ein gemeinsam erstellter Fragenkatalog zugesandt werden. Es geht darin beispielsweise um Angaben zum konzerninternen Austausch von Kunden- und Mitarbeiterdaten, aber auch um Programme zum Mailversand oder dem Hosten von Webseiten. Dabei betont die niedersächsische Datenschutz-Beauftragte, Barbara Thiel, man sei sich der besonderen Herausforderungen für Unternehmen bewusst. Auch im weiteren Verlauf des Prüfungsverfahrens stehe sie nach Möglichkeit für Verständnisfragen zur Verfügung.
Praxis-Tipp
Informationen zu den Konsequenzen aus „Schrems II“ für Unternehmen finden sich auf den Webseiten der Landesdatenschutz-Beauftragten. Vorab können sich Unternehmer auch den gemeinsamen Fragenkatalog zur Umsetzung des Schrems II-Urteils ansehen, zum Beispiel unter https://datenschutz-hamburg.de/pages/fragebogenaktion/
Alles, was Sie wissen müssen