FAQ: Folgen des EuGH ‘Schrems II’ Urteils für die Praxis
Das sog. Schrem II Urteil des EuGH ist noch wenige Wochen alt und dennoch klären sich langsam die wichtigesten Fragen. Diese haben wir in diesem Artikel zusammengefasst.
Ich nutze Auftragnehmer (‘Importeure’) in Drittländern (bspw. USA). Was jetzt?
Wenn Datenimporteure in Drittländern, im speziellen in den USA genutzt werden, so muss die Datenverarbeitung mit diesen Importeuren auf den Prüfstand. Zumeisst sind hier 4 Themen von Belang:
- Bezug auf das Privacy Shield: Wenn die Verarbeitung in der Datenschutzerklärung (DSE) und oder im VVT (Verzeichnis der Verarbeitungstätigkeiten) noch auf das “Privacy Shield” gestützt wird, dann ist dies zu ändern.
- Prüfung auf Standard-Verfahrensklauseln (Standard Contractual Clauses – SCC) gem. Art. 26 Abs. 1 Nr. DSGVO: Es muss geprüft werden, ob der Vertrag mit dem US-Unternehmen ggf. SCCs enthält. Wenn ja könnte dies, vorläufig, eine Möglichkeit sein, den Datenexport abzusichern. Das Ganze ist jedoch nicht unproblematisch.
- Anpassung im VVT: Die Verfahren müssen im VVT angepasst werden
- Anpassung der DSE: Viele DSE beziehen sich noch auf das Provacy Shield. Das ist ebenfalls anzupassen.
Was passiert mit meinen Google-Tracking Tools?
Es muss hier natürlich weiterhin eine Einwilligung vor dem Setzen des Cookies eingeholt werden. Diese Einwilligung muss deutlich auf das Tracking mit GA hinweisen.
Die Verarbeitung in das Drittland USA ist von Google auf die oben beschriebenen SCCs umgestellt worden. Ob diese überhaupt wirksam vereinbart werden können ist sehr fraglich. Dennoch muss aus der DSE und ggf. aus dem VVT ein Verweis auf das Privacy Shield entfernt werden.
Eine Lösung könnte hier die informierte Einwilligung in die Datenübermittlung in die USA sein. Dazu müsste der Nutzer aber vor der Entscheidung zum Zulassen der Cookies über die Situation bei einer solchen Datenübermittlung aufgeklärt werden. Zu dieser Aufklärung gerhört u.a. :
- Zugriff der Behörden und Geheimdienste auf die Daten des Nutzers
- Keine ausreichenden rechtlichen Abwaehrmöglichkeiten des Nutzers
Da dies den Cookie Banner wohl überfrachten würde ist zusätzlich fraglich, ob Nutzer in diesem Szenario zustimmen würden.
Mein Auftragnehmer-Tool bezeiht sich weiter auf das Privacy Shield. Was tun?
Man sollte den Betreiber auf die neue Rechtslage in der EU hinweisen. Kleinere Unternehmen in den USA haben ggf. noch nichts hiervon gehört. In einem zweiten Schritt könnte ein AVV der Standard-Vertragsklauseln beinhaltet abgeschlossen werden.
Diese SCCs könnten ggf. nach den Vorgaben der Datenschutzbehörden in Deutschland angepasst werden (Orientierungshilfe zu Schrems II ), wobei diese Anpassung in anderen Bundesländern als BW neue Probleme aufwerfen könnte.
Weigert sich der Auftragnehmer oder ignoriert er die Kontaktversuche, muss man das Tool wechseln.
Was passiert mit Anbietern aus dem Vereinigten Königreich?
Da das Vereinigte Königreich noch bis zum 31.12.2020 Teil der EU ist, passiert erst einmal nichts. AVVs sind auch ohne SCCs abschließbar. Allerdings hängt die Situation stark von den Verhandlungen mit der EU ab. Sollte kein geordneter Austritt erfolgen (“no deal”), dann könnten auch hier ab dem 1.1.2021 SCCs mit den Auftragnehmer abzuschließen sein.
Wonach sollte ich neue Auftragnehmer aussuchen?
Hier kann man eine recht einfache Leitlinie geben. Den geringsten Aufwand in Beratung, Dokuemntation und Vertragsgestaltung erzeugt eine Beauftragung von EU-Unternehmen, die keine US-Mutter haben. Gleiches gilt für Unternehmen in einem “sicheren Drittstaat”, wie der Schweiz, Israel, Japan (hier eine Liste: Liste der Drittstaaten mit Angemessenheitsbeschluss)
Weniger Probleme sollten Konstellationen haben, in denen deutsche Töchter von US-Unternehmen kontraktiert werden aber regelmäßig kein Datenfluss in die USA stattfindet. Allerdings muss hier immer geprüft werden, ob nicht direkt mit dem US-Unternehmen ein Vertrag mit SCCs abgeschlossen werden muss (Fall Microsoft, Apple, AWS etc.). Diese Frage ist von den Aufsichtsbehörden, vor allem vor dem Hintergrund der Marktmacht dieser Unternehmen, zu klären.
Zulässigkeit der Nutzung von Gesundheitsdaten im Prozess – VG Wiesbaden
Das Verwaltungsgerichts Wiesbaden stellte in einem Urteil (VG Wiesbaden, Urteil vom 19.1.2022 – 6...
OLG Köln: Schadensersatz bei verspäteter Datenschutz-Auskunft
Das OLG Köln hat in einer jüngst vergangenen Entscheidung (Urteil vom 14.7.2022 – 15 U 137/21 (LG...
EuGH Urteil C-184/20 – Sensible Daten schon bei indirektem Bezug
Der europäische Gerichtshof hat in einem jüngst erschienenen Urteil festgestellt, dass sensible...