Die Auswirkungen des EuGH-Urteils in Schrems II (C-311/18) sind in der Praxis weiterhin ein wichtiges Thema. Viele Unternehmen versuchen (Anm: viel mehr geht aktuell wohl auch nicht), ihre eigenen Datentransfers zu prüfen und, wo möglich, zusätzliche Garantien mit Datenempfängern zu vereinbaren. Wie diese vom EuGH angesprochenen „zusätzlichen Maßnahmen“ (Rz. 133) konkret aussehen, wissen wir immer noch nicht. Der EDSA soll hierzu wohl noch Leitlinien veröffentlichen.
Bis es soweit ist, könnte für Unternehmen eventuell auch eine Veröffentlichung des Bundesbeauftragten für Datenschutz (BfDI) interessant sein. Der BfDI veröffentlicht auf seiner Webseite ein „Prüfschema Drittländertransfer“ (PDF). Laut den Angaben auf der Webseite dient das Prüfschema „der strukturierten Überprüfung zum Datentransfer in Drittländer“. Zudem verlangt der BfDI, dass das Ergebnis dieser Prüfung nachvollziehbar und überprüfbar dokumentiert wird. Zwar ist der BfDI vor allem für die öffentlichen Stellen des Bundes und im privatwirtschaftlichen Bereich für Unternehmen aus den Branchen Post und Telekommunikation zuständig. Nichts desto trotz kann ein Blick in das Prüfschema meines Erachtens auch für Unternehmen, die nicht direkt der Aufsicht des BfDI unterliegen, sinnvoll sein. Denn wie sagt ein von mir sehr geschätzter Landesbeauftragter immer (frei zitiert): „Kein Unternehmen muss schlauer als die Aufsichtsbehörde sein“.
Das Prüfschema enthält verschiedene Prüfschritte:
- Datentransfers prüfen
- Vorliegen Angemessenheitsbeschluss
- Schutzniveau im Drittland: Einzelfallanalyse
- Prüfung Schutzmechanimus
- Definierung zusätzlicher Maßnahmen
- Implementierung zusätzlicher Maßnahmen
- Ausnahmen nach Art. 49 DSGVO
- Dokumentation
- Meldung an die Aufsichtsbehörde
Ganz interessant in Bezug auf die Frage, ob Standardvertragsklauseln (SCC) genehmigungsfrei angepasst werden dürfen (hier meine Meinung zu dieser Frage), finde ich die folgende Aussage des BfDI:
„Hinweis: Eigenständige vertragliche Lösungen bedürfen als ad-hoc-Klauseln einer Genehmigung durch die zuständige Aufsichtsbehörde. Änderungen an Standard-Datenschutzklauseln behalten ihre Gemehmigungsfreiheit nur, solange diese weder mittelbar noch unmittelbar im Widerspruch zum Inhalt der erlassenen Standard-Datenschutzklauseln stehen“.
Der BfDI geht also meiner Ansicht davon aus, dass 1) eine Anpassung der SCC nicht per se zur Genehmigungspflicht führt und 2), dass die Genehmigungsfreiheit dann besteht, wenn die Anpassungen nicht im „Widerspruch“ zu den Klauseln stehen. Dies ist aus praktischer Sicht auf jeden Fall begrüßenswert. Natürlich wird in der Praxis dann immer die entscheidende Frage sein, wann denn ein solcher Widerspruch vorliegt.
Guten Morgen Herr Dr. Piltz,
vielen Dank für diesen interessanten Hinweis!
Ich vermute, dass der BfDI wie auch Dr. Brink in seiner OH Änderungen an SCC dann als genehmigungsfrei ansieht, wenn sie darauf abzielen das Schutzniveau anzuheben und nicht zu unterlaufen. D.h. alle Maßnahmen die den Schutz der Betroffenendaten erhöhen, dürften imho genehmigungsfrei sein, weil sie dem „Telos“ der SCC nicht zuwiderlaufen.
Besten Gruß
M. Atzert
Vollkommen gaga. Der Bundesbeauftragte hat meiner Meinung nach nicht die geringste Vorstellung von den realen Arbeitsabläufen und den rechtlichen Kapazitäten in den Unternehmen. Offenbar geht er davon aus, dass alle Unternehmen dieselben Möglichkeiten wie Siemens haben.
Was ist das für eine Rechtsordnung, die völlig offensichtlich an der Realität vorbeigeht?
Das prüft doch keiner. Wozu auch. Es ist wie es immer war. Jeder spioniert aus, was er ausspionieren will und gibt es an jeden weiter, der danach verlangt, verteidigen kann man sich nicht. Versucht man sich zu verteidigen, den Landesdatenschutzbeauftragten darauf anzusetzen, geschieht nichts. Nie. Warum nicht? Weil Datenschutzbeauftragte unsere Daten nicht schützen sollen. Es ist nur ein anderes Mittel der Kontrolle. Die DSGVO zu lesen bringt Aufschluss. Sie erlaubt alles und jedem, sofern er sich auf die DSGVO bezieht, es ist also keine Frage des Ob, nur des Wie, und dem Staat sowieso alles. Insbesondere die Sinnhaftigkeit ist interessant. Die Datenverarbeitung müsse einen Sinn haben, sonst sei sie unzulässig. Staatliche Datenerhebung und -nutzung ist davon jedoch ausdrücklich ausgenommen. Weil damit, dass keine staatliche Zwangsdatenerhebung und -nutzung Sinn ergibt, hätten wir uns effektiv verteidigen können. Die einzige Verteidigungsmöglichkeit, die wir gehabt hätten.
Die DSGVO schützt uns und usnere Daten, wie alle Gesetze, nicht. Eigentlich müsste man Informationen statt Daten sagen, weil die es sind, nicht nur die uns gestohlenen Daten. Es sind vor Allem die daraus gewonnen Informationen, die gegen uns verwendet werden, die uns schaden. Wir sollten uns also nicht mit der nutzlosen DSGVO aufhalten, sondern schädliche Gesetze ignorieren, Widerstand gegen staatlichen Zwang uns diesem zu unterwerfen leisten, und unserem Schutz zuwenden:
„Privatsphäre ist das, was jeder Einzelne sich selbst betreffend als Privatsphäre definiert. Und niemand hat ohne unsere Zustimmung in unsere selbst definierte Privatsphäre einzudringen.“
https://www.oqgc.com/veroeffentlichungen/download/Wir_Menschen-OQGC.pdf
DAS ist Datenschutz.
Art. 8 EMRK lässt sich auch so interpretieren, als staatliches Gesetz dient er aber nur unserer Ruhigstellung und wird nicht angewendet.