Schritte der Umsetzung der Forderungen des Europäischen Gerichtshofs (EuGH) zur Gewährleistung von Grundrechtsschutz bei Datenübertragungen in Drittstaaten
Veröffentlicht am:Pressemitteilung des Hessischen Beauftragten für Datenschutz und Informationsfreiheit vom 22.06.2021.
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) leitet konkrete Schritte ein, um die Forderungen des EuGH zum Schutz der Grundrechte bei der Übertragung personenbezogener Daten durch Unternehmen und öffentliche Stellen in Drittstaaten mit unzureichendem Datenschutzniveau umzusetzen.
„Viele IT-Systeme übertragen – oft unbemerkt – personenbezogene Daten in Staaten mit keinem Datenschutz oder mit einem Datenschutzniveau, das deutlich unterhalb des Niveaus in der EU liegt. Sie verletzen dadurch das Grundrecht auf Datenschutz der betroffenen Personen“ – erläutert der Hessische Beauftragte für Datenschutz und Informationsfreiheit, Prof. Dr. Alexander Roßnagel, das Problem.
Mit seinem Urteil in der Rechtssache C-311/18 (Schrems II) vom 16. Juli 2020 hat der EuGH wiederholt festgestellt, dass personenbezogene Daten nur dann ins außereuropäische Ausland übermittelt werden dürfen, wenn durch diese Übermittlung das von der Datenschutz-Grundverordnung (DS-GVO) gewährleistete Schutzniveau nicht unterschritten wird. Ausdrücklich für die USA hat der Gerichtshof entschieden, dass dort das erforderliche Grundrechtsniveau nicht eingehalten wird, und das Datenschutzabkommen mit den USA („Privacy Shield“) für nichtig erklärt.
Die Datenexporteure müssen ihrer Verantwortung gerecht werden und das von der DS-GVO geforderte Schutzniveau sicherstellen. „Die Datenschutzaufsichtsbehörden und damit auch die hessische Aufsichtsbehörde sind verpflichtet, für eine Umsetzung der Vorgaben des EuGH Sorge zu tragen“, so Roßnagel.
In einem ersten Schritt werden deshalb Unternehmen und öffentliche Stellen in Hessen darauf hingewiesen, dass ohne zusätzliche Schutzmaßnahmen ein Transfer von personenbezogenen Daten in Drittländer wie die USA nicht zulässig ist.
Indem allen datenverarbeitenden Stellen in Hessen der Handlungsbedarf aufgezeigt wird, ergeht zunächst einmal ein Aufruf, selbstverantwortlich das Urteil des EuGH umzusetzen. Der HBDI erwartet, dass die datenverarbeitenden Stellen in Hessen prüfen, ob ihre IT-Systeme personenbezogene Daten in Drittstaaten übertragen, in denen kein ausreichendes Datenschutzniveau herrscht. Ist dies der Fall müssen sie nachweisen können, dass sie die erforderlichen Prüfungen durchgeführt und nötigenfalls erste Schritte eingeleitet haben, um sicherzustellen, dass die eingesetzten Datenverarbeitungsverfahren, wie z.B. Videokonferenzsysteme, den Anforderungen der DS-GVO genügen. Je nach Verarbeitungsprozess kann dies unterschiedlich komplex sein.
Bei einfach umzusetzenden Verfahrensänderungen, bei denen schon jetzt funktional gleichwertige, datenschutzgerecht einsetzbare Alternativen existieren (wie zum Beispiel für den Einsatz von Videokonferenzsystemen) werden umgehende Umsetzungstätigkeiten von den datenverarbeitenden Stellen erwartet.
Wird Umsetzungsbedarf für komplexere Verfahren identifiziert, muss ein angemessener Fahrplan für die Umsetzung erstellt werden. Der HBDI unterstützt diesen Umsetzungsprozess mit Hinweisen. Er wird bei seinem Vorgehen als Aufsichtsbehörde die dafür notwendigen Umsetzungszeiträume berücksichtigen.
Hierzu Roßnagel: „Die Aufsichtsbehörde geht davon aus, dass die datenverarbeitenden Stellen in Hessen ihrer Rechtspflicht nachkommen und sich für eine grundrechtsverträgliche Anwendung ihrer IT-Systeme einsetzen werden. Sie wird darauf Rücksicht nehmen, wenn Datenverarbeitungen, für die es keine Möglichkeiten alternativer Gestaltung gibt, für die Erfüllung von Unternehmensfunktionen oder staatliche Aufgabenerfüllung unverzichtbar sind. Aber im Zusammenhang mit Videokonferenzsystemen gibt es bereits heute datenschutzkonforme Lösungen, auf die umgestiegen werden kann.“
Der Hessische Beauftragte hat hierzu verschiedene Hilfen zu Videokonferenzsystemen auf seiner Homepage bereitgestellt.
Links:
- Hinweis des HBDI zu Schrems II
- Allgemeine Informationen zu zusätzlichen Maßnahmen nach Schrems II
- Videokonferenzsysteme – Allgemein
- Videokonferenzsysteme – Entscheidungsebene
- Videokonferenzsysteme – Nutzungsebene
Die Pressemitteilungen des Hessischen Beauftragten für Datenschutz und Informationsfreiheit können hier abgerufen werden.