Nach Schrems-II-Urteil: Fragebogen als Arbeitshilfe auch für Arbeitgeber

McDermott Will & Emery
Contact

McDermott Will & Emery

Das Portal fragdenstaat.de (Link) hat einen Fragebogen der Hamburgischen Datenschutzbehörde veröffentlicht, mit Hilfe dessen die Behörde die Umsetzung des Schrems-II-Urteils exemplarisch am Einsatz von Office 365 überprüft. Der Fragebogen ist nicht nur für Hamburg, sondern für ganz Deutschland von Relevanz, da der Hamburger und der Berliner Datenschutzbeauftragte die Federführung einer Task Force deutscher Datenschutzbehörden zur Überprüfung der Umsetzung des Urteils innehat. Die Hamburger Behörde fragt im Fragebogen u.a. ab, auf welcher Rechtsgrundlage die Drittlandübermittlung erfolgt, welche zusätzlichen Maßnahmen unternommen wurden oder in Planung sind, und bittet um Vorlage der betreffenden Teile des Verarbeitungsverzeichnisses.

Zum Hintergrund

Im Juli vergangenen Jahres hat sich der EuGH im sog. Schrems-II-Urteil mit Übermittlungen personenbezogener Daten in Drittländer, dem EU-US Privacy Shield sowie Standardvertragsklauseln befasst. Das Gericht erklärte die Regelungen des Privacy Shield für unwirksam und sieht die EU-Standardvertragsklauseln nur noch unter gewissen Voraussetzungen als Grundlage für die Übermittlung personenbezogener Daten in Drittländer an. So ist u.a. vor einer Übermittlung zu prüfen, ob das vom EU-Recht geforderte Schutzniveau in dem Zielland der Datenübermittlung eingehalten wird. Um das zu erreichen, müssen ggf. zusätzliche Schutzmaßnahmen (z.B. Verschlüsselung) für die personenbezogenen Daten mit dem Datenimporteur vereinbart und regelmäßig überprüft werden.

Folgen für Arbeitgeber

In Folge des Urteils sollten sich Arbeitgeber einen Überblick über ihre Drittlandübermittlungen und deren Rechtsgrundlagen verschafft haben; die Informationen hierzu sind idealerweise bereits im Verarbeitungsverzeichnis enthalten. Bei Drittlandübermittlungen, die auf Standardvertragsklauseln beruhen, sollte unbedingt geprüft werden, ob wirksame Mechanismen zur Einhaltung der Vorschriften vorhanden sind und ob zusätzliche Schutzmaßnahmen technischer oder rechtlicher Art erforderlich sein könnten, um ein angemessenes Datenschutzniveau zu gewährleisten. Doch das Urteil hat nicht nur Bedeutung für Datenübermittlungen in die USA. Deutsche Datenschutzbehörden haben vereinzelt bereits durchblicken lassen, dass Übermittlungen z.B. nach China, Indien und Russland nun ebenfalls vor diesem Hintergrund ins Auge genommen werden.

Nächste Schritte

Arbeitgeber sollten den Fragenbogen der Hamburgischen Datenschutzbehörde zum Anlass nehmen, ihre internationalen Datentransfers (und insbesondere die Rechtsgrundlagen für die Drittlandübermittlung) zu überprüfen. Das Privacy Shield kann Datentransfers nicht mehr legitimieren. Bei Übermittlungen auf Grundlage der Standardvertragsklauseln ist eine Risikobewertung durchzuführen, die auch die Rechtslage im Empfängerland zum Gegenstand hat. Je nach Risiko, das u.a. von der Rechtslage im Drittland, den Kategorien betroffener personenbezogener Daten und dem Zweck der Verarbeitung abhängt, sind ggf. ergänzende Schutzmaßnahmen mit dem Empfänger der Daten zu vereinbaren. Zudem sollte das Verfahrensverzeichnis auf Aktualität und Vollständigkeit überprüft werden.“

[View source.]

Written by:

McDermott Will & Emery
Contact
more
less

McDermott Will & Emery on:

Reporters on Deadline

"My best business intelligence, in one easy email…"

Your first step to building a free, personalized, morning email brief covering pertinent authors and topics on JD Supra:
*By using the service, you signify your acceptance of JD Supra's Privacy Policy.
Custom Email Digest
- hide
- hide

This website uses cookies to improve user experience, track anonymous site usage, store authorization tokens and permit sharing on social media networks. By continuing to browse this website you accept the use of cookies. Click here to read more about how we use cookies.