Die Durchsetzung von Schrems II beginnt in Deutschland und unterstreicht die ernsthafte und dringende Notwendigkeit für Unternehmen, Schritte in Richtung Compliance zu unternehmen
In einer Diskussion zwischen den deutschen Datenschutzbehörden (DPA) auf ihrer gemeinsamen Sitzung der Datenschutzkonferenz (DSK) wurden die folgenden Schritte einer Schrems II-Task Force hervorgehoben: Die von Hamburg und Berlin geleiteten Datenschutzbehörden werden mit Durchsetzungsmaßnahmen beginnen.
Insbesondere wird die Hamburger Datenschutzbehörde stichprobenartig prüfen, ob Unternehmen die Anforderungen von Schrems II erfüllen oder nicht. Dies unterstreicht die hohe Priorität der Bedenken von Schrems II für Verwaltungsräte und Führungskräfte der C-Suite, da Ermittlungen und Durchsetzungsmaßnahmen in anderen Gerichtsbarkeiten voraussichtlich in Kürze folgen werden.
Ein weiterer Indikator für den zunehmenden Druck in anderen Ländern ist NOYB – Europäisches Zentrum für digitale Rechte, die von Max Schrems gegründete gemeinnützige Datenschutzorganisation. In einem Fragebogen, der 2020 an zahlreiche Unternehmen gesendet wurde, fragte NOYB:
Welche technischen Maßnahmen ergreifen Sie, wenn Sie personenbezogene Daten in die USA senden, damit meine personenbezogenen Daten nicht von der US-Regierung auf der Durchreise abgefangen werden?
33 Unternehmen erhielten diesen Fragebogen im Rahmen der „Opening Pandora’s Box Survey“ von NOYB, aber nur wenige konnten zufriedenstellend antworten. Durchsetzungsmaßnahmen und Compliance-Druck kommen eindeutig sowohl von den Aufsichtsbehörden als auch von den Datenschutzorganisationen, was die Dringlichkeit der Einhaltung von Schrems II unterstreicht.
In einem kürzlich durchgeführten Webinar zum Thema „Unterrichtung der C-Suite und des Verwaltungsrats über das Risiko von Schrems II“ beantworteten 83% der Befragten die folgende Frage mit „Nein“:
Könnte Ihr Unternehmen eine ähnliche Frage von NOYB zu den technischen Maßnahmen beantworten, die Sie zur Einhaltung von Schrems II ergriffen haben?
Diese Antwort weist auf ein hohes Maß an Unvorbereitetheit für die Einhaltung von Schrems II hin. Neben der Ungültigmachung des Privacy Shield Agreement für den transatlantischen Datenfluss zwischen der EU und den USA stellt das Schrems II-Urteil kein „neues Gesetz“ dar, sondern stellt klar, dass die Anforderungen der EU-Datenschutzgrundverordnung (DSGVO) 2016 verabschiedet wurden . Die Grundrechte einzelner betroffener Personen müssen im Rahmen der DSGVO geschützt werden. Das Schrems II-Urteil präzisiert die DSGVO-Anforderungen zum Schutz personenbezogener Daten in der EU durch technische Maßnahmen, wenn Daten verwendet werden. Bisher haben sich die meisten Unternehmen auf den Schutz von Daten im Ruhezustand oder während des Transports konzentriert, aber dieser Ansatz reicht nicht mehr aus. Organisationen, bei denen festgestellt wird, dass sie nicht Schrems II-konform sind, sind daher möglicherweise nicht generell mit der DSGVO konform.
Das Gericht in Schrems II entschied, dass die angemessene Bestimmung für die Nichteinhaltung eine gerichtliche Einstellung der Verarbeitung und nicht die Beurteilung von Sanktionen ist, was auf die Möglichkeit einer sofortigen wesentlichen Störung des Geschäfts hinweist. Dies verlagert die Beweislast auf die für die Verarbeitung Verantwortlichen, um das Recht zur Verarbeitung ihrer Daten wiederzugewinnen. Da es keine Nachfrist gibt, wurde die Einhaltung am 16. Juli 2020, dem Datum des Gerichtsurteils von Schrems II, sofort verpflichtend. Jetzt, mehr als sechs Monate später, müssen Unternehmen bewerten, ob die von ihnen eingeführten technischen Kontrollen ausreichen, um Ansprüche wegen Nichteinhaltung zu überwinden. Da das European Data Protection Board (EDPB) bereits vorläufige Empfehlungen zur Einhaltung von Schrems II abgegeben hat, ist das Ergreifen von Maßnahmen keine Strategie mit hohem Risiko.
Aktionsplan
In Deutschland empfiehlt der jüngste Datenschutzbericht der Anwaltskanzlei Norton Rose Fulbright: „Unternehmen mit Hauptsitz in Deutschland oder mit verbundenen Unternehmen außerhalb Deutschlands sollten sich darüber im Klaren sein, dass sie möglicherweise einen Fragebogen von ihrer Aufsichtsbehörde erhalten. [and] sollten sich darauf vorbereiten, wie sie reagieren könnten “. Insbesondere stellen sie fest, dass deutsche Datenschutzbehörden, die willkürliche Fragebögen oder Konformitätsprüfungen durchführen, von Unternehmen erwarten, dass sie bereits Schritte unternehmen, um die EDPB-Empfehlungen für Schrems einzuhalten !!
Unternehmen außerhalb Deutschlands müssen ebenfalls Maßnahmen ergreifen, um der EDPB-Empfehlung zu entsprechen, bevor Datenschutzbehörden in anderen Ländern strengere Durchsetzungsmaßnahmen ergreifen oder Datenschutzorganisationen neue Ermittlungen einleiten. Vervollständigung der EDPB-Richtlinien und des neuen Standards
Vertragsklauseln (SCCs) werden voraussichtlich Ende März 2021 eintreten, so dass Unternehmen nur wenige Optionen haben, wenn sie untersucht werden und sich als nicht konform herausstellen. Briefing Boards und C-Suite Executives sowie die Bewertung und der Kauf relevanter Technologien können mindestens mehrere Monate dauern. Selbst Unternehmen, die bereits mit den zur Einhaltung von Schrems II erforderlichen Arbeiten begonnen haben, haben möglicherweise zu langsam reagiert.
Das Ergreifen technischer Maßnahmen zum Schutz von Daten ist von entscheidender Bedeutung, und Unternehmen mit geringeren Risikotoleranzen müssen sofort Maßnahmen ergreifen. Unternehmen, die jetzt keine Maßnahmen ergreifen, sollten ihren Entscheidungsprozess zur Bewertung des Risikos der Nichteinhaltung dokumentieren
Folgen von unterbrochenen Datenflüssen und Betriebsunterbrechungen.
Die Teilnehmer des Schrems II-Webinars wurden ebenfalls zu diesem möglichen Ergebnis befragt, nämlich:
Was sind die unmittelbaren Konsequenzen für Ihr Unternehmen, wenn Ihr Unternehmen aufgefordert wird, die Verarbeitung und / oder Datenübertragung einzustellen?
89% der Befragten in der „Unterrichtung der C-Suite und des Verwaltungsrates über das Risiko von Schrems II“ bezeichneten die Ergebnisse einer nicht fortgeführten Verarbeitung als „katastrophal“ oder „schwerwiegend“ für ihre Geschäftstätigkeit. Alle Unternehmen werden aufgefordert, die möglichen Auswirkungen auf ihr eigenes Geschäft im Hinblick auf mögliche Durchsetzungsmaßnahmen zu prüfen.
Während dieses Prozesses ist es wichtig, dass Unternehmen verstehen, dass sie neue technisch durchgesetzte „zusätzliche Maßnahmen“ implementieren müssen, um Standardvertragsklauseln (SCCs) zu unterstützen, um die Anforderungen von Schrems II zu erfüllen. Nur die Aktualisierung von SCCs ohne Implementierung neuer technisch durchgesetzter „zusätzlicher Maßnahmen“ ist nicht möglich
genug. Ohne geeignete technische Maßnahmen zum Schutz der Daten während des Gebrauchs – nicht nur in Ruhe und während des Transports – wird die Einhaltung nicht erreicht. Wenn die Durchsetzungsmaßnahmen näher rückt, sollten Unternehmen nicht warten, um herauszufinden, was in Deutschland passiert, bevor sie selbst Maßnahmen ergreifen.
Über den Autor
Gary LaFever, CEO & General Counsel bei Anonos: Rechtliche Daten ohne Grenzen. Die von Anonos patentierte „Data Liquidity“ -Technologie bietet gleichzeitig universellen Datenschutz und beispiellose Datendienstprogramme, indem Steuerelemente eingebettet werden, die mit den Daten fließen, um die Prinzipien der Datenbotschaft durchzusetzen. Anonos ermöglicht den maximalen rechtlichen Liquiditätswert von Daten für den Austausch zwischen Parteien zur Unterstützung von AI-, ML- und BI-Anwendungen und vielen anderen.
Ausgewähltes Bild: © Twenty20