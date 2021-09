Die Übermittlung personenbezogener Daten in Länder ausserhalb Europas steht auf dem Prüfstand. Der Grund: Datentransfers in sogenannte Drittländer müssen nach der Datenschutzgrundverordnung (DSGVO) gewährleisten, dass das sogenannte Datenschutzniveau im Zielland dem der EU gleichwertig ist. Das hat der Europäischen Gerichtshof (EuGH) im Schrems-II-Urteil, das seit Mitte Juli 2020 rechtskräftig ist, so entschieden. Die USA beispielsweise gelten als unsicheres Drittland, weil sie kein solches vom EuGH gefordertes Schutzniveau bieten.

Ruhe vor dem Sturm

Obwohl beim Verstoß gegen das EuGH-Urteil empfindliche Geldbußen von bis zu 20 Millionen Euro drohen, war bislang kaum Bewegung in der Angelegenheit zu spüren. Das scheint sich nun zu ändern. Die Datenschutzaufsichtsbehörden überprüfen seit Juni 2021 länderübergreifend die Umsetzung der DSGVO bzw. des Schrems-II-Urteils. Stichprobenartig werden Unternehmen in einer Fragebogenaktion zu einer entsprechenden Stellungnahme aufgefordert.

EuGH: Schutzniveau ist entscheidend

Im Mittelpunkt der Fragebogenaktion stehen dabei die sogenannten Standardvertragsklauseln (SCCs), mit denen die EU-Kommission die Übermittlung personenbezogener Daten regelt. Diese SCCs sind zwar nach dem Schrems-II-Urteil weiterhin gültig, allerdings nur, wenn der Empfängerstaat ein der EU gleichwertiges Schutzniveau bieten kann. Ist dies nicht der Fall, wie im Beispiel USA, müssen die SCCs durch wirksame Maßnahmen entsprechend der Datenschutzgrundverordnung (DSGVO) ergänzt werden. Welche Anforderungen diese Maßnahmen erfüllen müssen, hat die EU-Kommission im Juni 2021 definiert.

Was Unternehmen jetzt tun sollten

Der Knackpunkt: Die reine Unterzeichnung, also ein Vertragsschluss, der neuen SCCs reicht nicht aus. Vielmehr müssen Unternehmen überzeugend darlegen, dass und welche technischen Maßnahmen ergriffen worden sind. Erst wenn diese Maßnahmen den neuen SCCs entsprechen, ist ein Datentransfer in Drittländer datenschutzkonform. Unternehmen, die dies nicht leisten, können laut EuGH die Einhaltung der DSGVO nicht garantieren und dürfen daher personenbezogene Daten nicht mehr auf Basis der alten SCCs in ein als unsicher geltendes Drittland übertragen.

– Unternehmen, die mit Dienstleistern in den USA personenbezogene Daten austauschen, ist dringend geraten, die neuen SCCs zu nutzen, um doppelten Aufwand zu vermeiden. Denn die alten SCCs verlieren ihre Wirksamkeit Ende Dezember 2022. Unternehmen können sich bei Datenübermittlungen in Drittländer wie den USA also spätestens 2023 nicht mehr auf die alten SCCs berufen.

– Eine der dringlichsten Maßnahmen ist das Risiko-Management. In erster Linie muss beantwortet werden, welche Technik eingesetzt wird und welche Daten betroffen sind.

– Unternehmen sollten Listen mit ihren Dienstleistern aus Drittländern erstellen und anhand von Fallkonstellationen prüfen, wie die SCCs ergänzt werden müssen. Sinnvoll dabei ist die Unterstützung durch einen externen Datenschutzbeauftragten, mit dem das Ergebnis dokumentiert wird.

– In jedem Fall sollte die Speicherung von Daten in Europa vereinbart werden. Kann ein Dienstleister dies nicht erfüllen, ist der Umstieg auf einen Dienstleister erwägenswert, der beispielsweise Softwareprodukte lokal installiert (On-premise) oder aber auf Cloud-Servern innerhalb der EU speichert.

Mit Enghouse UC auf Nummer sicher

Gemäß den amerikanischen Überwachungsgesetzen FISA-Act und Executive Order 12333 müssen US-Unternehmen personenbezogene Daten auch aus der EU an Nachrichtendienste weitergeben. Aktuell ist nicht davon auszugehen, dass die USA von dieser Praxis abweichen.

Um zu vermeiden, dass irgendwann ein Brief von einer Datenschutzbehörde mit einem Bußgeldbescheid in Millionenhöhe ins Haus flattert oder ein Rechtsanwalt vor der Tür steht, müssen EU-Unternehmen ihren Datentransfer in Drittländer entsprechend der DSGVO und dem Schrems-II-Urteil wie oben dargestellt datenschutzkonform gestalten.

Die Alternative sind Lösungen, bei denen ein Datentransfer in Drittländer überhaupt nicht stattfindet, weil alle Daten auf Servern innerhalb der EU gespeichert sind, wie dies beispielsweise bei Enghouse UC der Fall ist. Diese Kollaborations- und Video-Lösung kann lokal installiert (On-premise) oder auf Cloud-Servern in der EU gespeichert. Dies garantiert DSGVO- und Schrems-II-Konformität und damit größtmögliche Sicherheit im Umgang mit personenbezogenen Daten.

