Wer ist eigentlich dieser Schrems II und wieso hat er Auswirkung auf Datentransfers in Drittländer?
Seit dem Wegfall des „EU-US Privacy Shield“-Abkommens im Juli 2020 kursiert das „Schreckgespenst“ durch Medien und sorgt für Unsicherheit in deutschen Unternehmen: Schrems II.
Gemeint ist hierbei das Urteil des Europäischen Gerichtshofs (EuGH), der darüber entschieden hat, wie personenbezogene Daten aus der EU heraus transferiert werden sollen. Der Spitzname für diese Rechtssache beruht auf dem Nachnamen des beteiligten Maximilian „Max“ Schrems.
Für deutsche oder europäische Unternehmen hat das Schrems II-Urteil weitreichende Folgen, denn: Auch ohne die konkrete Absicht, personenbezogene Daten in die USA und andere Länder außerhalb des europäischen Wirtschaftsraums zu übermitteln, kann dies bereits durch die Nutzung bestimmter E-Mail-Dienste, Programme wie Microsoft 365 oder Cloud-Server gegeben sein. Damit ist nahezu jedes Unternehmen von Schrems II betroffen – ob gewollt oder ungewollt.
Welche Konsequenzen – schlimmstenfalls Sanktionen – sich daraus ergeben, aber auch welche konkreten Maßnahmen Ihr Unternehmen absichern und ggf. sogar einen Wettbewerbsvorteil verschaffen, haben wir für Sie in unserem Webcast „Schrems II – Fluch oder doch Segen?“ zusammengefasst.
Für die fachliche Expertise und das rechtliche Know-how konnten wir Rechtsanwältin Katharina Raabe-Stuppnig gewinnen. Die Wienerin vertrat seinerzeit Max Schrems in dieser Rechtssache. Neben allgemeinen Informationen zu Schrems II geht Frau Raabe-Stuppnig in unserem Webcast auch gezielt auf technische Anforderungen sowie Empfehlungen zur IT-Sicherheit ein. Ergänzend tritt ihr unser Kollege und Teamleiter IT-Infrastruktur, Tobias Pustal, zur Seite. Als Microsoft 365-Spezialist zeigt er praxisnah sichere Nutzungsmöglichkeiten auf.
Schrems II Zusammenfassung & Lösungen für die Microsoft 365 Praxis
Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren
Alles auf einen Blick:
Hier finden Sie den technischen Part des Webcasts samt aller Service-Links als PDF zum Download.
The Day after Schrems II
Der Europäische Gerichtshof hat mit dem Urteil 2020 und dem damit verbundenen Aus des „EU-US Privacy Shield“-Abkommens für Furore bei Unternehmen jeglicher Art gesorgt. Begründet wurde dieses Urteil mit den:
- Zugriffsbefugnissen der US-Sicherheitsbehörden (Section 702 FISA, Presidential Policy Directive 28, Executive Order 12333) als unverhältnismäßiger Eingriff in die Grundrechte (Art. 7 (Privatheit) und 8 (Schutz p.b.D.) GRCh) von EU-Bürgern
- sowie fehlende wirksame Rechtsschutzmöglichkeit für EU-Bürger (Art. 48 (Recht auf wirksame Rechtbehelfe) GrCh).
Die Standarddatenschutzklauseln bzw. EU-Standardvertragsklauseln bleiben grundsätzlich für den Datenverkehr außerhalb der EU wirksam. Dies gilt auch für Binding Corporate Rules (BCR). Hier ist jetzt aber der Begriff „grundsätzlich“ nochmal zu verfeinern. Momentan wird dies unter dem Vorbehalt der Einzelfallprüfung zu einem angemessenem Datenschutzniveau des jeweiligen Drittstaates geduldet. D.h. bei der Verwendung dieser Klauseln muss der Verantwortliche, somit die jeweilige Organisation, im Einzelfall prüfen, ob ein angemessenes Datenschutzniveau im Drittstaat eingehalten werden kann.
Die neuen SCCs
Am 7. Juni 2021 veröffentlichte die EU-Kommission die neuen Standardvertragsklauseln für Übermittlungen personenbezogener Daten in ein Drittland, da diese nicht mehr dem aktuellsten Stand entsprachen.
Die neuen Standardvertragsklauseln (SCCs) sorgen dabei auch für mehr Rechtssicherheit nach der Entscheidung des Europäischen Gerichtshofes in der Rechtssache Schrems II.
ACHTUNG: Verträge, die nach den alten Standardvertragsklauseln abgeschlossen wurden, sind maximal noch 18 Monate wirksam, d.h. bis zum 27. Dezember 2022.
Die Sechs-Schritte-Empfehlung
Darf man also keine Daten mehr auf Drittland-Server speichern oder gar nur noch mit europäischen Diensten arbeiten?
Auf Dienste amerikanischer Anbieter müssen Sie in Zukunft nicht verzichten. Jedoch sind hierfür zusätzliche Maßnahmen notwendig. Der Europäische Datenschutzausschuss (EDSA) hat dazu eine Sechs-Punkte-Empfehlung für den Datentransfer entworfen:
Ergänzende Maßnahmen sind unter anderem, dass Daten nur verschlüsselt übermittelt werden oder die verschlüsselte Speicherung dieser Daten. Dabei ist darauf zu achten, dass der Schlüssel dieser Daten nicht beim Dienstleister liegen darf (Zero-Knowledge-Prinzip). Dieses Prinzip ist wichtig, da die Behörden ebenfalls zu diesem Schlüssel zugreifen könnten, wenn dieser beim Dienstleister liegt, und alles ohne richterliche Anordnung.
Fehler passieren, Strafen leider auch
Sollten diese ergänzenden Maßnahmen nicht durchgeführt werden, ist mit Sanktionen zu rechnen. Diese sind zum Beispiel Bußgelder von bis zu 20 Millionen Euro oder im jeden Fall 4% des weltweit erzielten Jahresumsatzes des vergangenen Jahres. Ausschlaggebend für die Höhe des Bußgeldes sind vor allem Art, Schwere und Dauer des Verstoßes und auch, auch ob der Verstoß vorsätzlicher oder fahrlässiger Weise begangen wurde. Des Weiteren ist für die Festlegung des Bußgeldes auch wichtig in welcher Weise die Aufsichtsbehörde von dem Verstoß erfahren hat. Diese Bußgelder sollen im Einzelfall wirksam, verhältnismäßig und abschreckend wirken. Außerdem ist es möglich, dass eine geschädigte Person von Schadensersatzansprüchen gebraucht macht.
Als Fazit bleibt zu sagen, dass durch den Wegfall des EU-US Privacy Shields die Unternehmen erst einmal einen gewissen Mehraufwand haben.
Sie benötigen Unterstützung in der Umsetzung oder ein zusätzliches Beratungsgespräch?
Kontaktieren Sie uns gern telefonisch +49 431 6703 0 oder per E-Mail an informationssicherheit@lmbit.de