Nach Schrems-II-Urteil: Fragebogen als Arbeitshilfe auch für Arbeitgeber

Von und am Februar 24, 2021

Das Portal fragdenstaat.de (Link) hat einen Fragebogen der Hamburgischen Datenschutzbehörde veröffentlicht, mit Hilfe dessen die Behörde die Umsetzung des Schrems-II-Urteils exemplarisch am Einsatz von Office 365 überprüft. Der Fragebogen ist nicht nur für Hamburg, sondern für ganz Deutschland von Relevanz, da der Hamburger und der Berliner Datenschutzbeauftragte die Federführung einer Task Force deutscher Datenschutzbehörden zur Überprüfung der Umsetzung des Urteils innehat (Link). Die Hamburger Behörde fragt im Fragebogen u.a. ab, auf welcher Rechtsgrundlage die Drittlandübermittlung erfolgt, welche zusätzlichen Maßnahmen unternommen wurden oder in Planung sind, und bittet um Vorlage der betreffenden Teile des Verarbeitungsverzeichnisses.

Zum Hintergrund
Im Juli vergangenen Jahres hat sich der EuGH im sog. Schrems-II-Urteil mit Übermittlungen personenbezogener Daten in Drittländer, dem EU-US Privacy Shield sowie Standardvertragsklauseln befasst. Das Gericht erklärte die Regelungen des Privacy Shield für unwirksam und sieht die EU-Standardvertragsklauseln nur noch unter gewissen Voraussetzungen als Grundlage für die Übermittlung personenbezogener Daten in Drittländer an. So ist u.a. vor einer Übermittlung zu prüfen, ob das vom EU-Recht geforderte Schutzniveau in dem Zielland der Datenübermittlung eingehalten wird. Um das zu erreichen, müssen ggf. zusätzliche Schutzmaßnahmen (z.B. Verschlüsselung) für die personenbezogenen Daten mit dem Datenimporteur vereinbart und regelmäßig überprüft werden.

Folgen für Arbeitgeber
In Folge des Urteils sollten sich Arbeitgeber einen Überblick über ihre Drittlandübermittlungen und deren Rechtsgrundlagen verschafft haben; die Informationen hierzu sind idealerweise bereits im Verarbeitungsverzeichnis enthalten. Bei Drittlandübermittlungen, die auf Standardvertragsklauseln beruhen, sollte unbedingt geprüft werden, ob wirksame Mechanismen zur Einhaltung der Vorschriften vorhanden sind und ob zusätzliche Schutzmaßnahmen technischer oder rechtlicher Art erforderlich sein könnten, um ein angemessenes Datenschutzniveau zu gewährleisten. Doch das Urteil hat nicht nur Bedeutung für Datenübermittlungen in die USA. Deutsche Datenschutzbehörden haben vereinzelt bereits durchblicken lassen, dass Übermittlungen z.B. nach China, Indien und Russland nun ebenfalls vor diesem Hintergrund ins Auge genommen werden.

Nächste Schritte
Arbeitgeber sollten den Fragenbogen der Hamburgischen Datenschutzbehörde zum Anlass nehmen, ihre internationalen Datentransfers (und insbesondere die Rechtsgrundlagen für die Drittlandübermittlung) zu überprüfen. Das Privacy Shield kann Datentransfers nicht mehr legitimieren. Bei Übermittlungen auf Grundlage der Standardvertragsklauseln ist eine Risikobewertung durchzuführen, die auch die Rechtslage im Empfängerland zum Gegenstand hat. Je nach Risiko, das u.a. von der Rechtslage im Drittland, den Kategorien betroffener personenbezogener Daten und dem Zweck der Verarbeitung abhängt, sind ggf. ergänzende Schutzmaßnahmen mit dem Empfänger der Daten zu vereinbaren. Zudem sollte das Verfahrensverzeichnis auf Aktualität und Vollständigkeit überprüft werden.“

Volker TeigelkötterVolker Teigelkötter
Volker Teigelkötter betreut Mandanten im gesamten Spektrum des deutschen und europäischen Arbeitsrechts. Er berät Mandanten bei Restrukturierungen und Reorganisationen, Personalabbaumaßnahmen, Schließung und Verlagerung von Betrieben, Outsourcing von Geschäftsaktivitäten, Verhandlungen mit Arbeitnehmervertretungen über Betriebsvereinbarungen und Sozialpläne und andere Themen des kollektiven Arbeitsrechts. Herr Teigelkötter berät im Bereich des transaktionsbezogenen Arbeitsrechts und verfügt über umfangreiche Erfahrungen bei der Integration von Unternehmen und Betrieben nach Unternehmensübernahmen. Ein weiterer Tätigkeitsbereich liegt in der Beratung zu Dienstverträgen von Vorstandsmitgliedern, Geschäftsführern und Führungskräften, einschließlich der Beratung zu Pensionsplänen sowie Incentive- und Bonus-Programmen.


Dr. Philip UeckerDr. Philip Uecker
Dr. Philip Uecker berät umfassend zu den Themen Gewerblicher Rechtsschutz und Datenschutzrecht. Herr Dr. Uecker ist Certified Information Privacy Professional Europe (CIPP/E) und Digital Legal Counsel (BUJ certified). Vor seiner Zeit als Rechtsanwalt bei McDermott war Herr Dr. Uecker als Syndikusrechtsanwalt im Data Protection Office einer großen deutschen Bank tätig. Während des Referendariats arbeitete er u.a. für die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) in Bonn und war im Bereich Gewerblicher Rechtsschutz in einer international führenden Wirtschaftskanzlei in Düsseldorf und einer Boutique-Kanzlei in Mailand tätig.

FOLGE UNS

THEMENBEREICHE

ARCHIV