Vor genau 50 Jahren trat in Hessen das erste Datenschutzgesetz in Kraft, das regelte, wann die öffentliche Verwaltung des Landes personenbezogene Daten verarbeiten darf und welche Vorgaben sie dabei beachten muss. Das Gesetz war das erste seiner Art und setzte den Maßstab für alle später beschlossenen Datenschutzgesetze des Bundes und der Länder.

Nunmehr, knapp zweieinhalb Jahre nach Inkrafttreten der europäischen Datenschutzgrundverordnung (DSGVO) ist das Datenschutzrecht eines der entwicklungsreichsten Rechtsgebiete in Deutschland und Europa. Es vergeht derzeit kaum eine Woche, in der nicht eine neue höchstrichterliche Entscheidung oder ein neuer aufsehenerregender Bußgeldbescheid erlassen wird.

Grund genug, um einen Blick auf die kürzlich ergangene richtungsweisende Entscheidung des EuGH zum Privacy Shield zu werfen und darzustellen, wo Sie Ihr Datenschutzmanagement im Unternehmen auf dem Stand der aktuellen Entwicklung halten sollten.

Konsequenzen aus der Ungültigkeit des Privacy Shield

Im Juli dieses Jahres hat das Urteil des EuGH zur Ungültigkeit des EU-US Privacy Shield (Urt. v. 16.07.2020, Az. C-311/18 – „Schrems II“) die Rahmenbedingungen für die Datenübertragung in die USA neu geordnet. Die Entscheidung hat unmittelbar Auswirkungen auf Ihre Unternehmenspraxis, sofern Sie konzernintern oder in der Zusammenarbeit mit Vertragspartnern Daten in die USA übermitteln. Sie ist aber ebenso relevant bei der Nutzung von Softwarelösungen von US-Anbietern (z.B. Microsoft 365, Google Cloud, Amazon Web Services), der Nutzung von amerikanischen Social Media-Anwendungen (Facebook, Instagram, etc.) oder Conferencing-Tools (Zoom, Teams, etc.).

In dem Verfahren ging es um die Zulässigkeit der Weiterleitung von personenbezogenen Daten des deutschen Klägers durch Facebook mit Sitz in Irland an den Mutterkonzern in den USA. Diese Daten dürfen nach der DSGVO nur dann in ein Land außerhalb der EU transferiert werden, wenn dort ein angemessenes und mit Europa vergleichbares Schutzniveau besteht. Für die USA hatte die EU-Kommission das vergleichbare Schutzniveau mit einem als Privacy Shield bezeichneten Angemessenheitsbeschluss festgestellt, für den sich US-amerikanische Unternehmen zertifizieren konnten.

Der EuGH hat das Privacy Shield – auf das auch Facebook seine Datenübertragung gestützt hatte – nun für unwirksam erklärt. Die darin geregelten Schutzmaßnahmen würden insbesondere wegen der Überwachungsprogramme der US-Nachrichtendienste (NSA und FBI) nicht zu einem mit der DSGVO vergleichbaren Schutzniveau führen.

Jede Datenübermittlung in die USA und jede Beauftragung oder Nutzung von US-Dienstleistern muss daher neu strukturiert werden. Wenn Sie Ihre Datenübermittlung bzw. Beauftragung ausschließlich auf das Privacy Shield gestützt haben, sollten jetzt zumindest die sogenannten EU-Standardvertragsklauseln (SCCs) mit dem Datenempfänger vereinbart werden. Aber auch dann ist zwingend eine Einzelfallprüfung durchzuführen, ob durch die SCCs ein gleichwertiges Schutzniveau wie in der Europäischen Union gewährleistet werden kann oder ob hierfür zusätzliche Maßnahmen – wie zum Beispiel eine Ende-zu-Ende Verschlüsselung – notwendig sind. Als sicherste Lösung müsste sonst auf den Transfer von Daten in die USA verzichtet oder auf europäische Lösungen zurückgegriffen werden.

Vollständigkeit des internen Datenschutzmanagements

Sie sollten die für Ihr Unternehmen möglichen Konsequenzen aus der Privacy Shield-Entscheidung auch deswegen zeitnah prüfen, weil die Datenschutzbehörden auf nationaler Ebene zunehmend härter gegen Datenschutzverstöße vorgehen. So musste bspw. die AOK ein Bußgeld in Höhe von EUR 1,2 Mio. für die werbliche Verwendung von Gewinnspieldaten ohne Einwilligung der Teilnehmer zahlen. Die Immobilienfirma Deutsche Wohnen musste EUR 14,5 Mio. zahlen, weil Daten von Mietern zu lange archiviert wurden. Das ist kein Vergleich mehr zu dem verhältnismäßig geringen Bußgeld von EUR 5.000, das ein Hamburger Unternehmen kurz nach Inkrafttreten der DSGVO aufgrund eines fehlenden Auftragsverarbeitungsvertrages zu zahlen hatte.

In Anbetracht dessen möchten wir auch dringend dazu raten, dass Sie Ihre internen Datenschutzmanagementkonzepte insgesamt auf den Prüfstand stellen und gegebenenfalls letzte Lücken schließen, um schmerzhafte Bußgelder aufgrund ähnlicher, vermeintlich geringer Datenschutzverstöße zu vermeiden. Ein Datenschutzaudit droht derzeit vor allem dann, wenn ein Betroffener – oft ein unzufriedener Kunde oder ehemaliger Mitarbeiter – einen angeblichen Datenschutzverstoß der für Sie zuständigen Aufsichtsbehörde anzeigt. Die Behörde wird dann neben dem gemeldeten Verstoß insgesamt überprüfen, ob Ihre Verarbeitungsstrukturen den zentralen datenschutz-rechtlichen Anforderungen genügen, die sich – neben der Pflicht zur Vorhaltung einer konformen Datenschutzerklärung – aus der DSGVO ergeben:

  • Sie sollten stets darauf achten, dass das Verzeichnis von Verarbeitungstätigkeiten regelmäßig und anlassbezogen aktualisiert wird. Darauf aufbauend sollte ein Löschkonzept die Aufbewahrungsfristen der verarbeiteten personenbezogenen Daten regeln.

  • Vor besonders risikoreichen Verarbeitungsvorgängen ist immer eine Datenschutz-Folgenabschätzung durchzuführen und für die Behörden zu dokumentieren.

  • Insbesondere ist darauf zu achten, dass für die Verarbeitung geeignete und angemessene technische und organisatorische Maßnahmen getroffen werden.

  • Wenn Sie Verarbeitungsvorgänge ausgelagert haben, sollte der Auftragsverarbeitungsvertrag vollständig sein.

  • Prüfen Sie, ob Sie aufgrund Ihrer aktuellen Mitarbeiterzahl einen Datenschutzbeauftragten benennen müssen.
Bei der Aktualisierung und Vervollständigung Ihres Datenschutzmanagementkonzeptes und den erforderlichen Schritten zur Umsetzung der Privacy Shield-Entscheidung unterstützen wir Sie natürlich gern.