IT & Datenschutz
Vorheriger Beitrag
Nächster Beitrag

Aktualisierte Hinweise des LfDI Baden-Württemberg zum Schrems II – Urteil

15. September 2020 von Robert Faußner, M.A., Marcel Schieß

Wie wir bereits auf diesem Blog berichteten, hat der EuGH im Juli 2020 das sogenannte „Privacy Shield“-Abkommen gekippt und auch die Validität von Datenübermittlungen in die USA auf anderen Grundlagen in Frage gestellt. Dies hat bei denjenigen Unternehmen, in der die Übermittlung von personenbezogenen Daten an US-basierte Dienste zum Tagesgeschäft gehört, für große Verunsicherung gesorgt.

Die deutschen Datenschutzaufsichtsbehörden halten sich derzeit noch überwiegend bedeckt, was Ratschläge zur neuen Rechtslage angeht. Lediglich der baden-württembergische Landesbeauftragte für den Datenschutz und die Informationsfreiheit, Dr. Stefan Brink, hat am 24.08.2020 eine Orientierungshilfe für jetzt von betroffenen Unternehmen vorzunehmende Schritte veröffentlicht.

Am Montag, den 07.09.2020, hat die Behörde eine aktualisierte Version der Orientierungshilfe veröffentlicht. Überwiegend geht es um die – sehr praxisrelevante – Aufzählung der möglichen Klauseln, die Datenexporteuren beim Abschluss von sog. Standardvertragsklauseln empfohlen werden. Die Änderungen gegenüber der ersten Version sind überschaubar, sollten aber bei der jetzt dringend zu empfehlender Auseinandersetzung mit dem Thema Beachtung finden.

Die wesentlichen Ergänzungen sind:

  • Hinweis auf notwendige Anpassung von Datenschutzerklärung und Verarbeitungsverzeichnis
  • Dringende Empfehlung zur Anweisung an Auftragsverarbeiter, die Daten auf Basis des Privacy Shields übermitteln, diese Übermittlung mit sofortiger Wirkung (vorläufig) auszusetzen
  • Neuer Ergänzungsvorschlag zu Ziffer 5 (h) und Ziffer 6 der Standardvertragsklauseln (Erweiterung der Benachrichtigungspflicht auf Betroffene, Benachrichtigungspflicht bei Behördenanfragen, Erweiterung der Schadensersatzpflicht auf den Datenimporteur)
  • Wegfall des Ergänzungsvorschlags zu Ziffer 7 der Standardvertragsklauseln (Vereinbarung eines Gerichtsstands am Sitz des Datenexporteurs)
  • Neue Empfehlung zur Verpflichtung des Datenimporteurs auf die Freistellung des Betroffenen von allen Schäden, die ihm durch Zugriff von staatlichen Stellen auf seine Daten entstehen
  • Klarstellung, dass Ergänzungen der Standardvertragsklauseln im Hauptvertrag oder in einer gesonderten Vereinbarung festgehalten werden sollen (vormals war von Änderungen der Standardvertragsklauseln die Rede)
  • Hinweis auf die Dokumentations- und Nachweispflicht hinsichtlich aller Anstrengungen um Datenschutzkonformität

Die aktuelle Version der Orientierungshilfe finden sie hier.