Pres­se­mit­tei­lung des Lan­des­be­auf­trag­ten für den Daten­schutz und die Infor­ma­ti­ons­frei­heit Rhein­land-Pfalz vom 12.05.2021

Im Rah­men einer Infor­ma­ti­ons­of­fen­si­ve hat der Lan­des­da­ten­schutz­be­auf­trag­te Dut­zen­de Unter­neh­men, Ver­bän­de und staat­li­che Stel­len in Rhein­land-Pfalz ange­schrie­ben, um Ver­stö­ßen bei der Über­mitt­lung von Daten ins außer­eu­ro­päi­sche Aus­land vorzubeugen.

Nach einem Urteil des Euro­päi­schen Gerichts­hofs (EuGH) vom ver­gan­ge­nen Jahr sind Daten­über­mitt­lun­gen zum Teil auf eine neue Rechts­grund­la­ge zu stel­len. Der Lan­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit Rhein­land-Pfalz, Pro­fes­sor Die­ter Kugel­mann, weist in dem nun ver­sand­ten Schrei­ben dar­auf hin: „Ich rate drin­gend dazu, alle in ihrem Unter­neh­men statt­fin­den­den Daten­ver­ar­bei­tungs­vor­gän­ge im Zusam­men­hang mit Dritt­län­dern anhand des von mei­ner Behör­de bereit­ge­stell­ten Prüf­sche­mas auf ihre Zuläs­sig­keit hin zu über­prü­fen und even­tu­el­len Hand­lungs­be­darf zu iden­ti­fi­zie­ren, um Daten­schutz­ver­stö­ße schnellst mög­lich abzu­stel­len oder zu verhindern.“

Pro­fes­sor Die­ter Kugel­mann sagt: „Das Grund­satz­ur­teil des Euro­päi­schen Gerichts­hofs, das soge­nann­te Schrems II-Urteil, betrifft fast jedes Unter­neh­men, jede Behör­de, Kom­mu­ne, Schu­le, Orga­ni­sa­ti­on oder Arzt­pra­xis. Denn sie ver­ar­bei­ten auto­ma­ti­siert per­so­nen­be­zo­ge­ne Daten, über­mit­teln die­se dabei – oft unbe­wusst – in Län­der außer­halb der Euro­päi­schen Uni­on bezie­hungs­wei­se des Euro­päi­schen Wirt­schafts­raums. Sie bewe­gen sich damit daten­schutz­recht­lich auf dün­nem Eis. Im Lau­fe die­ses Jahr ist es unse­re Auf­ga­be zu prü­fen, ob gege­be­nen­falls Daten­schutz­ver­ge­hen vor­lie­gen und Sank­tio­nen ver­hängt wer­den müs­sen. Zuvor wol­len mei­ne Mit­ar­bei­te­rin­nen und Mit­ar­bei­ter noch­mals die Unter­neh­men und Behör­den sen­si­bi­li­sie­ren. Wer bis jetzt noch nicht auf die neue Rechts­la­ge reagiert hat, muss umge­hend aktiv wer­den, sofern dies denn nötig ist.“

Ziel der Infor­ma­ti­ons­of­fen­si­ve ist, das Bewusst­sein der daten­ver­ar­bei­ten­den Stel­len zu schär­fen und damit die Daten­schutz­rech­te der betrof­fe­nen Per­so­nen, also aller Bür­ge­rin­nen und Bür­ger, mit Blick auf das Schrems II-Urteil zu stär­ken. In der Ent­schei­dung vom 16. Juli 2020 hat­te das Gericht fest­ge­stellt, dass Über­mitt­lun­gen in die USA nicht län­ger auf Basis des soge­nann­ten Pri­va­cy Shiel­ds erfol­gen kön­nen. Der Ein­satz der Stan­dard­da­ten­schutz­klau­seln für Daten­über­mitt­lun­gen in Dritt­staa­ten ist fer­ner gene­rell nur noch unter Ver­wen­dung wirk­sa­mer zusätz­li­cher Maß­nah­men aus­rei­chend, wenn die Prü­fung des Ver­ant­wort­li­chen erge­ben hat, dass im Emp­fän­ger­staat kein gleich­wer­ti­ges Schutz­ni­veau für die per­so­nen­be­zo­ge­nen Daten gewähr­lei­stet wer­den kann. Das Urteil des EuGH erfor­dert in vie­len Fäl­len eine grund­le­gen­de Umstel­lung lan­ge prak­ti­zier­ter Geschäfts­mo­del­le und ‑abläu­fe.

Der Gerichts­hof hat über­dies sei­ne Erwar­tung klar for­mu­liert, dass die Behör­den unzu­läs­si­ge Trans­fers „aus­set­zen oder ver­bie­ten“. Das Aus­set­zen einer Über­mitt­lung kann vor­aus­sicht­lich in vie­len Fäl­len im koope­ra­ti­ven Dia­log mit den Unter­neh­men gelin­gen. Wo dies nicht mög­lich ist, wird mit den zur Ver­fü­gung ste­hen­den auf­sichts­be­hörd­li­chen Maß­nah­men reagiert.

Nach den nun erfolg­ten Infor­ma­ti­ons­schrei­ben wird es stich­pro­ben­ar­ti­ge Kon­trol­len geben. „Kommt der Ver­ant­wort­li­che oder Auf­trags­ver­ar­bei­ter zu dem Schluss, dass eine Umstel­lung sei­ner Ver­trä­ge oder Pro­zes­se nicht erfor­der­lich sei, soll­te er dies sowie die Grün­de für die Ent­schei­dung doku­men­tie­ren. Dies kann sank­ti­ons­mil­dernd wir­ken, soll­te mei­ne Behör­de zu dem Ergeb­nis kom­men, dass sehr wohl Anpas­sun­gen zu tref­fen waren und sind“, sagt der Lei­ter der Daten­schutz­auf­sichts­be­hör­de Pro­fes­sor Die­ter Kugelmann.

Wei­te­re Infor­ma­tio­nen zu Schrems II fin­den Sie hier.

Die Pres­se­mit­tei­lun­gen des Lan­des­be­auf­trag­ten für den Daten­schutz und die Infor­ma­ti­ons­frei­heit Rhein­land-Pfalz kön­nen hier abge­ru­fen werden.