Nachdem der Europäische Gerichtshof das EU-U.S. Privacy Shield für ungültig erklärt hat, müssen nun Verantwortliche auf andere Datenschutzgarantien zurückgreifen.
Wenn personenbezogene Daten außerhalb der EU – also in einem Drittland – verarbeiten werden, sollten Sie folgende Aspekte neu betrachten:
- Überprüfen Sie den internationalen Datentransfer
-
- Wurde bereits ein Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DSGVO erstellt,
- Können Sie diese Verfahren nutzen, um den Datentransfer außerhalb der EU und die entsprechenden Daten-Empfänger zu identifizieren.
- Wenn bislang der Transfer von personenbezogenen Daten auf Grundlage des EU-U.S. Privacy Shield in die USA erfolgte, müssen jetzt alternative Datenschutzgarantien gefunden werden, um diese Übermittlung weiterhin zu legitimieren. SCC (Standarddatenschutzklauseln) können ggf. als Alternative genutzt werden. Bitte hierbei beachten, dass eine fallbezogene Angemessenheitsprüfung durchzuführen ist.
- Unternehmen, die SCC´s verwenden oder in Zukunft in Erwägung ziehen möchten, müssen die vom EuGH verlangte Prüfung des Datenschutzniveaus im Drittland vornehmen.
- Als erster Step sollte die Rechtsgrundlage im jeweiligen Zielland erschlossen werden, sodass man weiß, welche Bedingungen und Anforderungen von dem Land ausgehen.
- Gerade für den Bereich der behördlichen Zugriffsbefugnisse auf die übermittelten Daten ist Klarheit zu schaffen.
- Eine gut dokumentierte Risikoanalyse in Bezug auf die übermittelten Daten kann hier als Arbeitstool fungieren. Es empfiehlt sich, risikorelevante Faktoren wie die Sensibilität der betroffenen Daten, Umfang der übermittelten Daten (Datenminimierung gem. Art. 5, Abs. 1, lit.c und Art. 25,Abs. 1 DSGVO), eingesetzte technische Mittel wie Verschlüsselung (z.B. Ende-zu-Ende), etc. auszuwerten und zu dokumentieren.
- Überprüfen und aktualisieren Sie ggf. die Datenschutzerklärung auf der Website und die Informationspflicht nach Art. 13 und Art. 14 DSGVO, soweit diese von dem EuGH-Urteil betroffen sind.
Informationsquellen:
- EuGH erklärt Beschluss über EU-US-Datenschutzschild für ungültig – Standarddatenschutzklauseln grundsätzlich zulässig:
https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/Schrems-II/Schrems-II.html - Welche Anforderungen sind bei der Übermittlung von Daten in das Ausland zum Schutz der Persönlichkeitsrechte zu beachten?:
https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Datenschutzrecht/Inhalt/InternationalerDatenverkehr/Inhalt2/Schutz_der_
Persoenlichkeitsrechte/Schutz_der_Persoenlichkeitsrechte.php - Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern:
- EuGH-Uteil: http://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=DE&mode=lst&dir=&occ=first%E2%88%82=1&cid=10333140
Wenn Sie Fragen zum Datenschutz oder bei der Umsetzung der europäischen DSGVO haben, können wir ihnen behilflich sein. Die Gestellung des externen Datenschutzbeauftragten, die Erarbeitung von Verfahrensverzeichnissen sowie von internen Datenschutzrichtlinien ist einer unserer Hauptschwerpunkte. Bei Interesse schreiben Sie und doch gerne eine E-Mail an kontakt@ing-peschel.de oder rufen Sie uns direkt an unter 02173/66080.