Aus für Privacy Shield: Datenschützer will durchgreifen

Der rheinland-pfälzische Datenschutzbeauftragte Kugelmann drängt mit einer letzten Mahnung, das Schrems-II-Urteil zu internationalen Datentransfers einzuhalten.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 245 Beiträge

(Bild: mixmagic / shutterstock.com)

Von
  • Stefan Krempl

Fast ein Jahr nach dem Urteil des Europäischen Gerichtshofs (EuGH) zu Übermittlungen personenbezogener Daten in Staaten außerhalb der EU hat der Datenschutzbeauftragte für Rheinland-Pfalz, Dieter Kugelmann, ein schärferes Vorgehen angekündigt. Nach einer letzten Warnung will er demnach die Ansage der Luxemburger Richter strenger durchsetzen und dabei gegebenenfalls Bußgelder verhängen.

Der EuGH hatte Mitte Juli nach einer Klage des österreichischen Juristen Max Schrems und seiner Datenschutzorganisation Noyb gegen Facebook den transatlantischen "Privacy Shield" für den Transfer von Kundendaten aus der EU in die USA für nichtig erklärt. Damit müssten solche Übermittlungen teils "auf eine neue Rechtsgrundlage" gestellt und zusätzlich abgesichert werden, erklärte Kugelmann. Im Rahmen einer Informationsoffensive habe er daher nun Dutzende Unternehmen, Verbände und staatliche Stellen in Rheinland-Pfalz angeschrieben, um Verstößen in diesem Bereich vorzubeugen.

Er rate dringend dazu, alle etwa in einem Betrieb stattfindenden Datenverarbeitungsvorgänge im Zusammenhang mit Drittländern anhand eines bereitgestellten Prüfschemas auf ihre Zulässigkeit hin zu untersuchen und notfalls nachzusteuern, erklärte der Kontrolleur. Das "Schrems II-Urteil" betreffe als Grundsatzentscheidung "fast jedes Unternehmen, jede Behörde, Kommune, Schule, Organisation oder Arztpraxis". Diese verarbeiten in der Regel automatisiert personenbezogene Daten und übermittelten diese dabei – oft unbewusst – in Länder außerhalb der EU.

"Sie bewegen sich damit datenschutzrechtlich auf dünnem Eis", mahnt Kugelmann zum Handeln. "Im Laufe dieses Jahr ist es unsere Aufgabe zu prüfen, ob gegebenenfalls Datenschutzvergehen vorliegen und Sanktionen verhängt werden müssen." Wer bis jetzt noch nicht auf die neue Rechtslage reagiert habe, "muss umgehend aktiv werden, sofern dies denn nötig ist".

Der Europäische Datenschutzausschuss (EDSA) hatte schon Ende Juli betont, dass es keine "Gnadenfrist" für Datenverarbeitungen auf Basis des vom EuGH gekippten "Privacy Shield" geben werde. Die EU-Kommission schlug im November neue Standardvertragsklauseln als Alternative zu dem Abkommen vor, die das Gremium der Aufsichtsbehörden im Januar prinzipiell befürwortete.

Auch der Einsatz solcher Standardklauseln für Datenübermittlungen in Drittstaaten erfordere aber generell "wirksame zusätzliche Maßnahmen", wenn im Empfängerstaat kein gleichwertiges Schutzniveau für die persönlichen Informationen gewährleistet werden könne, gibt Kugelmann zu bedenken. Der EuGH habe "seine Erwartung klar formuliert, dass die Behörden unzulässige Transfers 'aussetzen oder verbieten'". Dies könne "voraussichtlich in vielen Fällen im kooperativen Dialog mit den Unternehmen gelingen". Andernfalls müsse mit den verfügbaren "aufsichtsbehördlichen Maßnahmen reagiert" werden.

Nach den nun erfolgten Informationsschreiben kündigte der Datenschützer "stichprobenartige Kontrollen" an. Dazu sein Tipp: "Kommt der Verantwortliche oder Auftragsverarbeiter zu dem Schluss, dass eine Umstellung seiner Verträge oder Prozesse nicht erforderlich sei, sollte er dies sowie die Gründe für die Entscheidung dokumentieren. Dies kann sanktionsmildernd wirken, sollte meine Behörde zu dem Ergebnis kommen, dass sehr wohl Anpassungen zu treffen waren und sind."

(bme)