Fast ein Jahr nach dem Urteil des Europäischen Gerichtshofs (EuGH) über die Übermittlung personenbezogener Daten an Länder außerhalb der EU hat der Datenschutzbeauftragte für Rheinland-Pfalz, Dieter Kugelmann, einen strengeren Ansatz angekündigt. Nach einer letzten Verwarnung will er die Bekanntgabe der luxemburgischen Gerichte strenger durchsetzen und gegebenenfalls Geldbußen verhängen.
Betroffen sind Unternehmen, Behörden, Kommunen, Schulen, Organisationen oder Arztpraxen
Mitte Juli hob der EuGH nach einer Klage des österreichischen Anwalts Max Schrems und seiner Datenschutzorganisation Noyb gegen Facebook den transatlantischen „Privacy Shield“ für die Übermittlung von Kundendaten aus der EU in die USA auf. Dies würde bedeuten, dass solche Übertragungen teilweise „auf eine neue Rechtsgrundlage gestellt“ und zusätzlich gesichert werden müssten, erklärte Kugelmann. Im Rahmen einer Informationskampagne hat er inzwischen an Dutzende Unternehmen, Verbände und Regierungsbehörden in Rheinland-Pfalz geschrieben, um Verstöße in diesem Bereich zu verhindern.
Er weist dringend darauf hin, dass die gesamte Datenverarbeitung in einem Unternehmen mit Drittländern zusammenhängt Testpläne zur Verfügung gestellt Um ihre Zulässigkeit zu prüfen und gegebenenfalls Anpassungen vorzunehmen, erklärte der Inspektor. Als grundlegende Entscheidung betrifft das „Schrems II-Urteil“ „fast jedes Unternehmen, jede Behörde, Gemeinde, Schule, Organisation oder medizinische Praxis“. Diese verarbeiten personenbezogene Daten in der Regel automatisch und geben sie – oft unwissentlich – an Länder außerhalb der EU weiter.
Datenschutzgesetz auf dünnem Eis
„Sie laufen datenschutzrechtlich auf dünnem Eis“, Kugelmann fordert zum Handeln auf. „Im Laufe dieses Jahres wird es unsere Aufgabe sein, zu prüfen, ob es zu Datenschutzverletzungen gekommen ist und ob Sanktionen verhängt werden sollten.“ Wer noch nicht auf die neue Rechtslage reagiert hat, „sollte gegebenenfalls sofort handeln“.
Das Europäische Datenschutzgremium (EDSB) hatte bereits Ende Juli betont, dass es keine „Nachfrist“ für die Datenverarbeitung auf der Grundlage des vom Gerichtshof angezeigten „Datenschutzschilds“ geben werde. Im November schlug die Europäische Kommission als Alternative zu dem Abkommen, das die Aufsichtsbehörden im Januar grundsätzlich unterstützt hatten, neue Standardvertragsklauseln vor.
„Random Checks“ angekündigt
Die Verwendung solcher Standardklauseln für die Datenübertragung in Drittländer erfordert im Allgemeinen „wirksame zusätzliche Maßnahmen“, wenn das Empfangsland kein gleichwertiges Schutzniveau für personenbezogene Daten garantieren kann, sagt Kugelmann. Der EuGH habe „seine Erwartung klar zum Ausdruck gebracht, dass die Behörden“ inakzeptable Übertragungen aussetzen oder verbieten „“. Dies könnte „wahrscheinlich in vielen Fällen in einem kollaborativen Dialog mit den Unternehmen gelingen“.
Nach dem nun erfolgten Informationsschreiben kündigte die Datenschutzbehörde „Stichproben“ an. Sein Tipp: „Wenn der für die Verarbeitung Verantwortliche oder Verarbeiter zu dem Schluss kommt, dass eine Änderung seiner Verträge oder Prozesse nicht erforderlich ist, sollte er dies und die Gründe für die Entscheidung dokumentieren. Dies kann die Strafen verringern, wenn meine Behörde feststellt, dass Anpassungen vorgenommen wurden und vorgenommen werden sollten . „
(BME)