< zurück zum Blog

Schrems II: Bayerisches Landesamt für Datenschutzaufsicht positioniert sich

29.09.2020

Nach dem Urteil des EUGH, in dem die Datenübermittlung in die USA auf Grundlage des Privacy-Shield für ungültig erklärt wurde, dem sog. „Schrems II-Urteil“, herrscht in vielen Unternehmen noch immer große Unsicherheit, ob ein Transfer von personenbezogenen Daten in die USA überhaupt noch möglich sind. Die bayerische Aufsichtsbehörde (BayLDA) hat einige konkrete Fragen dazu beantwortet, die vielen Unternehmen weiterhelfen können. Sie finden diese Positionierung in diesem Artikel.

BayLDA: Nicht relevant, ob „wenige“ und „unsensible“ Daten übermittelt werden

Die bayerische Aufsichtsbehörde hatte sich mit der Frage zu beschäftigen, ob eine Übermittlung von personenbezogenen Daten in die USA ausschließlich auf Grundlage der „berechtigten Interessen“ des exportierenden Unternehmens in Ordnung sei, wenn lediglich die Firmenmailadresse und der Name einiger weniger Mitarbeiter an einen Anbieter in den USA übermittelt würden. Hierzu bezog das BayLDA wie folgt Stellung: „Berechtigtes Interesse“ ist ja eine Rechtsgrundlage im Sinne von Art. 6 DSGVO. Diese entbindet aber nicht davon, für die Übermittlung zusätzlich eine der Grundlagen im Sinne von Art. 44 bis 49 DSGVO zum Einsatz zu bringen. Daher kommt es in erster Linie überhaupt nicht darauf an, was für personenbezogene Daten übermittelt werden.

BayLDA: Beim Anbieter nachfragen und ggf. Datenexport einstellen

Des Weiteren antwortete das BayLDA auf die Frage, wie Unternehmen konkret vorgehen sollen, um die rechtskonforme Verarbeitung von personenbezogenen Daten in den USA bei bestehenden Auftragsverarbeitern zu überprüfen. Hier bezog das BayLDA wie folgt Stellung: Wir empfehlen den Datenexporteuren, zunächst auf den US-Dienstleister zuzugehen und zu fragen, inwieweit dieser Datenzugriffen durch US-Behörden unterliegt – also insb. nach welchen Gesetzen und für welche Daten - , und inwiefern es bereits in der Vergangenheit Zugriffe gab. Anschließend muss der Datenexporteur bewerten, ob dies den Anforderungen des EuGH an ein „mit der EU gleichwertiges Datenschutzniveau genügt. Der Exporteur sollte unseres Erachtens auch gezielt fragen, ob der US-Dienstleister unter FISA Sect. 702 fällt und ob ihm bekannt ist, ob US-Nachrichtendienste auf Daten, die an ihn übermittelt werden oder bei ihm verarbeitet werden, auf Grundlage von Executive Order 12.333 zugreifen. Ist das der Fall, muss der Exporteur prüfen, ob er durch „zusätzliche Maßnahmen“ solche Zugriffe ausschließen kann. Auch diesbezüglich sollte er den US-Dienstleister fragen, ob dieser evtl. selbst durch solche Maßnahmen die Zugriffe unterbinden bzw. unmöglich machen kann. Zu prüfen ist hier insb., ob Verschlüsselung und/oder Pseudonymisierung eine Lösung sein können. Gelingt ein Ausschluss der Zugriffe nicht, muss der Datenexporteur die Übermittlung beenden. Der EDSA (Europäischer Datenschutzausschuss) wird noch im Herbst nähere Hinweise dazu geben, welche „zusätzlichen Maßnahmen“ evtl. denkbar sind. Der Ausgang dieser Analyse durch den EDSA ist derzeit völlig offen.

Fazit: Datenübertragung in die USA gut überprüfen

Die Zusammenarbeit mit Dienstleistern aus der USA bleibt aus datenschutzrechtlichen Gesichtspunkten also höchst kritisch, da wohl die wenigsten Dienstleister die entsprechenden zusätzlichen Maßnahmen oder Garantien für einen Ausschluss des Zugriffs durch die US-Nachrichtendienste werden geben können.

Zum Aktivieren der eingebetteten Karte bitte auf den Link klicken. Durch das Aktivieren werden Daten an den jeweiligen Anbieter übermittelt. Weitere Informationen können unserer Datenschutzerklärung entnommen werden

Inhalt anzeigen

Ihr direkter Kontakt zu uns

SiDIT GmbH
Langgasse 20
97261 Güntersleben

Bürozeiten:
Montag bis Freitag von 8-16 Uhr.