Datenschutz in einer globalen Welt (Schrems II)
Was bedeutet Schrems II für den Datentransfer im unternehmerischen Alltag. Dies war Thema des 8. Münchner Datenschutz-Tags.
8. Münchner Datenschutz-Tag – Datenschutz in einer globalen Welt (Schrems II)
Der 8. Münchner Datenschutz-Tag befasste sich am 12. November 2020 mit der Frage, "Datenschutz in einer globalen Welt (Schrems II) - Wie geht es nach der Schrems II Entscheidung weiter? Virtuell verfolgten ca. 400 Teilnehmer die Veranstaltung.
Die Vorträge zum Download finden Sie hier.
- Begrüßung Münchner Datenschutztag
- Michael Will, BayLDA: EDSA Empfehlungen
- Prof. Dr. Herwig Hofmann: Schrems Ergebnisse
- David Bitkower: Applicability to U.S. Laws to Personal Data of EU Subjects
Prof. Dr. Sibylle Gierschmann, Kooperationspartnerin und Begründerin der Münchner Datenschutz-Tage, betonte zu Beginn ihrer Moderation, dass Schrems II große wie kleine Unternehmen vor kaum lösbare Probleme stelle. Unternehmen bräuchten hier Unterstützung sowohl von Seiten der EU-Kommission als auch von Seiten der Datenschutzaufsichtsbehörden.
Unternehmen in Europa haben seit 16.07.2020 bei Datentransfers in Drittstaaten das EuGH-Urteil zu Schrems II zu beachten. Die Verunsicherung hierbei ist groß. Schrems II habe weitreichende Auswirkungen auf Drittstaatentransfers. Sowohl die EU-Kommission als auch die Datenschutzaufsichtsbehörden haben auf Schrems II reagiert. Erste Arbeitsergebnisse liegen vor.
Michael Will, Präsident des Bayerischen Landesamtes für Datenschutzausschuss, erläuterte die am 10. November 2020 vom Europäischen Datenschutzausschuss (EDPB) herausgegebenen Empfehlungen für Datenexporteure. Unternehmen hätten hier ihre Hausaufgaben zu machen. Zumindest müsse ein Unternehmen darlegen können, dass es alles in seiner Macht stehende getan habe, um die Konformität eines internationalen Datenverkehrs herzustellen. Unternehmen hätten Dokumentationspflichten und seien verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Insofern müssen sie Auskunft darüber geben können, ob und welche personenbezogenen Daten sie in Drittstaaten transferieren. Könne dies nicht darlegt werden, würde seine Behörde definitiv genauer hinsehen und detaillierter prüfen. Nach Schrems II sei es in jedem Fall wichtig zu klären, ob im jeweiligen Drittland ein angemessenes Datenschutzniveau bestehe. Es gehe um eine Einzelfallbetrachtung. Bei dieser spielen die Sensibilität der Daten und eine Implementierung zusätzlicher Schutzmaßnahmen (z. B. technischer Maßnahmen wie eine Verschlüsselung) eine Rolle. Aktuell, so betonte Will, würden die Empfehlungen des EDPB nur einen Teil der Fragen lösen. Große Fragezeichen gebe es nach wie vor, soweit Datentransfers verknüpft seien mit nicht europäischen Zugriffsbedingungen. Hier bedürfe es einer Lösung für Datentransfers wie z. B. solche in die USA als auch ab 2021 solchen nach UK.
Prof. Dr. Herwig Hofmann, Universität Luxemburg, gab einen Überblick über die Schrems-Verfahren. Die Grundrechte nach Art 7 und 8 EU-Grundrechtecharta seien zu wahren. In Ländern mit Massenüberwachung könne kein angemessenes Datenschutzniveau bestehen. Da staatliche Zugriffe sich auf aus Daten in Europa erstrecken können, seien auch die Standorte der US-Unternehmen in Europa betroffen. Das EU-U.S. Privacy Shield habe aus Safe Harbor keine Lehren gezogen. Im Falle von Massenüberwachung gebe es keine adäquaten Schutzmechanismen.
Dr. Ralf Sauer, EU-Kommission, stellte diese Ausführungen als sehr einseitig dar. Die EU-Kommission habe sehr wohl das EuGH-Urteil zu Safe Harbor analysiert. Schrems II bringe wichtige Klarstellungen zu Angemessenheitsentscheidungen. Dies betreffe die Bestimmtheit von Ermächtigungsgrundlagen ebenso wie Befugnisse und Instanzen, die eine solche Einrichtung haben müsse. Diese Einrichtung müsse kein Gericht, aber eine unabhängige Instanz sein. Sauer betonte, nur eine übergreifende Lösung könne letztlich Rechtssicherheit schaffen. Allein durch zusätzliche Sicherungsmaßnahmen könne man das Thema Drittstaatentransfers nicht in den Griff bekommen. Die US-Regierung habe ihre Bereitschaft signalisiert, gemeinsam mit der EU-Kommission an einem „neuen Privacy Shield“ zu arbeiten. Diese Gespräche befänden sich in der Sondierungsphase. Ferner werde die EU-Kommission zeitnah neue, an die DSGVO angepasste Standardvertragsklauseln herausgeben. Die Entwürfe für die neuen SCC werden am 12.11.2020 veröffentlicht (Begutachtungsfrist 10.12.2020). Gleichwohl wies er darauf hin, dass einige der vom EDPB empfohlenen Schutzmaßnahmen nicht für SCC geeignet seien.
David Bitkower, Partner der Kanzlei Jenner - Block LLP, erläuterte die Zugriffsbefugnisse von US-Behörden. Sein Fazit: Zwischen den Rechtsregimen bestehe kein „essentially equivalent“. Demzufolge müssten als Reaktion auf Schrems II für transatlantische Datentransfers rechtliche Lösungen gefunden werden.
Kooperations- und Medienpartner
Kooperationspartner des 8. Münchner Datenschutz-Tages sind:
- Kanzlei Gierschmann Legal
- Wirtschaftskammer Österreich (WKÖ)
Medienpartner des 8. Münchner Datenschutz-Tages sind:
- C.H.Beck Verlag
- Reguvis Fachmedien GmbH
Wir danken unseren Kooperations- und Medienpartner für die angenehme und konstruktive Zusammenarbeit.