Wer muss jetzt die Einhaltung des Datenschutzes überprüfen?
Die Nutzung von Cloud-Lösungen und den gängigen Programmen aus den USA gehören zu unser aller Büroalltag. Seitdem die Nutzung von Home-Office und Videokonferenzen vor allem in den vergangenen zwei Jahren noch stärker zugenommen hat, muss sich auch hier jeder mit der damit zusammenhängenden Übermittlung von personenbezogenen Daten in die USA erneut auseinandersetzen.
Dadurch, dass der EU-US-Privacy-Shield unlängst durch den Europäischen Gerichtshof (EuGH) gekippt wurde (wir berichteten), war lange Zeit nicht klar, wie die Nutzung von gängigen Programmen, vor allem durch US-amerikanische Produkte, nun datenschutzkonform umgesetzt werden können. Fest steht, dass der Datenschutz in den USA nicht als sicher genug für die Übermittlung angesehen wird.
Wie wir in unserem Datenschutz-Blog bereits beschrieben haben, wurden dazu nun die neuen Standardvertragsklauseln der EU auf den Weg gebracht (Was sind die neuen Standardvertragsklauseln?). Was aber so einfach erscheint, kann im Einzelnen gerade kleinere und mittlere Organisationen vor eine große Herausforderung stellen.
Die Verantwortlichkeit liegt auch beim Unternehmen
Durch die neuen Standardvertragsklauseln werden die Organisationen nun deutlich mehr in die Verantwortung genommen. So kann nicht einfach davon ausgegangen werden, dass ein ausgefülltes Dokument oder ein Vordruck, welche den Datenschutz bei der Übermittlung der Daten über die Standardvertragsklauseln regelt ausreichend ist. Es kann also nicht nur eine Ergänzung zu etwaigen Verträgen erfolgen.
Vielmehr werden nun die betroffenen Unternehmen und andere Organisationen in Deutschland in die Pflicht genommen. So müssen die entsprechenden Parteien des Vertrags eine gemeinsame Risikobewertung durchführen, was zu notwendigen Absprachen, Verhandlungen und natürlich Mehrarbeit führen kann und höchstwahrscheinlich wird.
Mehrarbeit durch Risikoabwägung
Eine einfache Lösung durch vorgefertigte Vordrucke gibt es also in diesem Fall nicht. Angesichts der Tatsache, dass die meisten Organisationen nicht mehr ohne die gängigen Produkte aus den USA gerade bei Cloud-Lösungen und Video-Konferenzen auskommen werden, setzt eine genaue Prüfung aller Datentransfers voraus.
Viele Organisationen in NRW, darunter KMU, Schulen und andere Bildungseinrichtungen, Dienstleister, Selbstständige, Praxen, Kanzleien und viele mehr, haben nicht die notwendige Manpower oder die Fachpersonen, um die IT vollständig in den eigenen Strukturen umzusetzen.
Sowohl im Bereich der IT als auch im Bereich des Datenschutzes ist daher ein Fachmann gefragt. Im Datenschutz sollte in jedem Fall der (externe) Datenschutzbeauftragte zu Rate gezogen werden. Jetzt heißt es alle Übermittlungen von personenbezogenen Daten in die USA ausfindig zu machen und zu prüfen, welche Schritte eingeleitet werden müssen. Nicht zu unterschätzen ist dabei auch, welche Vertragsketten entstehen können.
Gemeinsame Risikobewertung
Das Besondere ist hier die gemeinsame Risikobewertung der Vertragspartner. Orientieren kann man sich dabei auch an den Modulen, die in den neuen Standardvertragsklauseln als sogenannte Datenschutzgarantien angegeben sind. Welche das sind lesen Sie hier.
Durch die Aufhebung des EU-US-Privacy-Shield entspricht der Datenschutz in den USA nicht mehr den Vorgaben des EU-Datenschutzes und gilt somit nicht als sicher genug. Ziel der neuen Standardvertragsklauseln und der zusätzlichen Garantien, die Organisationen demnach ausarbeiten müssen, ist es also, die Sicherheit der personenbezogenen Daten bei deren Verarbeitung zu gewährleisten. Dies muss dem Anspruch der Europäischen Vorgaben entsprechen.
Erste Prüfungen durch Aufsichtsbehörden
Alle neuen Verträge ab Ende September 2021 dürfen nur noch mit den neuen Standardvertragsklauseln abgeschlossen werden. Für alte Verträge gilt eine Übergangsfrist bis zum 27.12.2022 – danach müssen auch diese entsprechend angepasst sein.
Wie ernst es den Aufsichtsbehörden bei der neuen Umsetzung ist zeigt, dass bereits einige Datenschutzbehörden unterschiedlicher Bundesländer seit Mitte 2021 angefangen haben, eine „länderübergreifende Prüfung von Drittlandübermittlungen“ durchzuführen.
„Im Rahmen einer länderübergreifenden Kontrolle werden Datenübermittlungen durch Unternehmen in Staaten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums (Drittstaaten) überprüft. Das Ziel ist die breite Durchsetzung der Anforderungen des Europäischen Gerichtshofs in seiner Schrems-II-Entscheidung vom 16. Juli 2020 (Rs. C-311/18). Darin hat das Gericht festgestellt, dass Übermittlungen in die USA nicht länger auf Basis des sogenannten Privacy Shields erfolgen können. Der Einsatz der Standarddatenschutzklauseln für Datenübermittlungen in Drittstaaten ist ferner nur noch unter Verwendung wirksamer zusätzlicher Maßnahmen ausreichend, wenn die Prüfung des Verantwortlichen ergeben hat, dass im Empfängerstaat kein gleichwertiges Schutzniveau für die personenbezogenen Daten gewährleistet werden kann. Das Urteil des EuGH erfordert in vielen Fällen eine grundlegende Umstellung lange praktizierter Geschäftsmodelle und -abläufe.“
(Quelle: Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg).
Handlungsbedarf für Unternehmen und Organisationen – Standardvertragsklauseln jetzt einarbeiten
Zusammenfassend kann man also davon ausgehen, dass fast jeder, der personenbezogene Daten verarbeitet und der sich somit mit dem Datenschutz auseinandersetzen muss, zumindest an einer Prüfung der Sachlage bezüglich der Standardvertragsklauseln nicht vorbeikommt.
Allein durch die Nutzung von Cloud-Diensten, Tools zu Videokonferenzen oder anderen Arten von Datenverarbeitungen, muss in der Regel auch davon ausgegangen werden, dass ein Anbieter mit all seinen globalen Verknüpfungen auch Daten in die USA übermitteln könnte. Das muss in jedem Fall geprüft werden.
Für Unternehmen sowie alle Organisationen bedeutet das im Umkehrschluss, dass jetzt Handlungsbedarf besteht, um neue Verträge datenschutzkonform umzusetzen und bestehende Verträge anzupassen.
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.