(Rechtsprechung des EuGH auf den internationalen Datentransfer - Rechtssache C-311/18 "Schrems II" - Ungültigkeit des Privacy Shield)
Mit einem Informationsschreiben vom 08.10.2020 vom BfDI zur Auswirkung der Rechtsprechung des EuGH zum internationalen Datentransfer an die öffentlichen Stellen des Bundes und Unternehmen die unter der Aufsicht des BfDI liegen, fasste der BfDI die Verpflichtung öffentlicher als auch nichtöffentlicher Stellen der Verantwortlichen zur Prüfung der Datentransfers in Drittländer wie folgt zusammen:
"Unternehmen und Behörden müssen als Reaktion auf die Vorgaben aus dem Urteil des EuGH als Verantwortliche ihre Datentransfers in Drittländer prüfen. Je nach bisher gewählter Grundlage für die Datenübermittlung muss diese – z. B. für den Falle der Anwendung des EU-US Datenschutzschildes (Privacy Shield)
– durch eine neue Grundlage ersetzt werden. Zudem müssen alle Verantwortlichen bei der Verwendung von geeigneten Garantien nach Art. 46 DSGVO prüfen, ob und ggf. welche zusätzlichen Maßnahmen ergriffen werden müssen, um die übermittelten Daten im Drittland angemessen zu schützen. Das Ergebnis dieser Prüfung und die getroffenen Maßnahmen sind eindeutig und nachvollziehbar zu dokumentieren."
Die Schritte der Prüfung des Drittlandtransfers wurden folgendermaßen definiert:
Datentransfers prüfen
Vorliegen Angemessenheitsbeschluss
Schutzniveau im Drittland: Einzelfallanalyse
Prüfung Schutzmechanismus – Risikoanalyse mit geeigneten Technisch-Organisatorischen-Maßnahmen (TOM)
Definierung zusätzlicher Maßnahmen
Implementierung zusätzlicher Maßnahmen
Ausnahmen nach Art. 49 DS-GVO
Dokumentation
Meldung an die Aufsichtsbehörde
Was Sie jetzt genau tun sollten, sagen wir Ihnen gerne! Nehmen Sie kontakt mit uns auf!