Neue Orientierungshilfe des LfDI Baden-Württemberg zum internationalen Datentransfer veröffentlicht - Datenverarbeitung in den USA und in Drittländern ohne Angemessenheitsbeschluss ist häufig illegal

Am 27.07.2020 haben wir bereits auf die Auswirkungen des Urteils des EuGH vom 16.07.2020, Aktenzeichen C-311/18, aufmerksam gemacht.

 

Zwischenzeitlich hat sich auch der LfDI Baden-Württemberg zu den Auswirkungen dieses Urteils auf den internationalen Datentransfer geäußert.

 

Eine Orientierungshilfe für Verantwortliche findet sich seit dem 07.09.2020 unter:

 

https://www.baden-wuerttemberg.datenschutz.de/orientierungshilfe-des-lfdi-bw-was-jetzt-in-sachen-internationaler-datentransfer/

 

Aus dieser Orientierungshilfe ist ersichtlich, dass nach Auffassung der Aufsichtsbehörden die Konsequenzen aus dem Urteil sehr weitreichend sind. Die vom EuGH aufgestellten Grundsätze für die Datenverarbeitung im Ausland, beziehen sich nämlich nicht nur auf die Datenverarbeitung in den USA, sondern auf sämtliche Drittländer, für die es kein Angemessenheitsbeschluss gibt, so z.B. aktuell das Vereinigte Königreich und auch Indien.

 

Insbesondere in den vorgenannten Ländern haben zahlreiche IT-Dienstleister ihren Sitz und verarbeiten personenbezogene Daten für Verantwortliche aus Deutschland.

 

Aus unserer Sicht zeichnet sich die Entwicklung ab, dass sich die Aufsichtsbehörden tendenziell eher restriktiv zu einer möglichen Datenverarbeitung im Ausland außerhalb der Geltung der EU positionieren. Es ist der klare Wille erkennbar, die Datenhoheit der Verantwortlichen nach Europa zurückzuholen.

 

Bemerkenswert ist auch der Ansatz, dass in der Regel eine Verarbeitung von personenbezogenen Daten in den USA nicht rechtens sein dürfte, da schlichtweg aufgrund der dort vorherrschenden Gesetzeslage, dass Datenschutzniveau in den USA – auch nicht bei Abschluss von Standardklauseln – erreicht wird. Die von der Aufsichtsbehörde geforderten zusätzlichen Garantien, zum Beispiel durch Verschlüsselungsmechanismen, welche von den dortigen Ermittlungsbehörden nicht entschlüsselt werden können, oder in Form von einer kompletten Anonymisierung der personenbezogenen Daten, dürften in der Regel eher die Ausnahme sein.

 

Es bleibt also dabei, dass jeder Verantwortliche, welcher personenbezogene Daten ins Ausland übermittelt, zu überprüfen hat, ob dies den Erfordernissen einer datenschutzkonformen Verarbeitung gerecht wird.

 

Der LfDI hat zwar angekündigt, dass auch in Zukunft, die sich durch die Aufsichtsbehörde anschließenden Maßnahmen, z.B. in Form von Bußgeldern oder einer Untersagung von Datenübermittlung in das Ausland, an dem Grundsatz der Verhältnismäßigkeit orientieren werden. Andererseits ist natürlich absehbar, dass je länger die Verantwortlichen zuwarten, sich ihrer datenschutzrechtlichen Pflichten im Zusammenhang mit dem Datentransfer ins Ausland zu stellen, sich dies nicht positiv bei der Berücksichtigung der Verhältnismäßigkeit von etwaigen Maßnahmen der Aufsichtsbehörden auswirken wird.

 

Der LfDI hat selbst herausgestellt, dass er nicht verkennt, dass die Anforderungen dieser Rechtsprechung des EuGH und die sich daraus ergebenden Konsequenzen der Aufsichtsbehörden, mit nicht nur unerheblichen Belastungen für die einzelnen Unternehmen verbunden sind, welche nunmehr bislang als rechtmäßig eingestufte Datentransaktionen infrage stellen. Dies wird aber auf Dauer nicht darüber hinweghelfen, dass die Verantwortlichen hier Handlungsbedarf haben, soweit die Daten in Drittländer oder in die USA übermitteln.

 

Allen „betroffenen“ Verantwortlichen kann daher nur empfohlen werden, entsprechend den Vorgaben der Aufsichtsbehörden vorzugehen und die dort vorgeschlagenen Maßnahmen zu dokumentieren, um darlegen zu können, dass Datenschutz ernst genommen wird. Im Rahmen der Verhältnismäßigkeitsprüfung werden solche Bestrebungen, den Datenschutz effektiv bei Ihnen im Unternehmen umzusetzen, sicherlich mit in die Bewertung einfließen und sich positiv auswirken.

 

 

Cornelius Weiß, Rechtsanwalt

Karlsruhe, 21.09.2020

Tätigkeitsfelder von Cornelius Weiß

  • Banken, Kapitalmarkt und Versicherungen
  • IP, IT und Datenschutz
  • Prozessführung und Schiedsgerichtsbarkeit