Ausgabe Februar 2021

AUSZUG AUS DEM INHALT:

IM FOKUS
Folgen der Schrems-II-Entscheidung: Wie geht es weiter mit dem internationalen Datentransfer?

Mit Urteil vom 16.07.2020 (Rs. C-311/18 – „Schrems-II“) erklärte der Europäische Gerichtshof (EuGH) den durch das EU-U.S.-Privacy Shield konkretisierten eingeschränkten Angemessenheitsbeschluss zugunsten der Vereinigten Staaten von Amerika (USA) für ungültig. Zwar kam die Entscheidung zum Privacy Shield alles andere als unerwartet, ihre Brisanz liegt jedoch in den weitergehenden Vorgaben des EuGH zur Anwendung der sog. Standardvertragsklauseln (SCC – englisch: Standard Contractual Clauses). Diese bleiben zwar auch nach dem Urteil taugliche Grundlage für internationale Transfers personenbezogener Daten, jedoch verlangt der EuGH neben dem bloßen Abschluss der SCC die Einrichtung „zusätzlicher Maßnahmen“, soweit im Einzelfall erforderlich. Für unzählige Unternehmen stellt sich seitdem die Frage, welche „zusätzlichen Maßnahmen“ in welchen Sachverhalten konkret zu treff en sind. Nach zahlreichen Stellungnahmen nationaler Aufsichtsbehörden liegt seit dem 10.11.2020 nun eine umfangreiche Empfehlung des Europäischen Datenschutzausschusses (EDSA) vor. Zudem stellte die hierfür zuständige EU-Kommission am 12.11.2020 den Entwurf neuer SCC zur öffentlichen Konsultation bereit. Anlass genug für eine erste Analyse.

AKTUELLES

Datenübermittlungen nach UK vorerst nicht Übertragungen in Drittland

Unerlaubte Übermittlung von Gesundheitsdaten: 4.000 Euro Schadenersatz

10,4 Mio. Euro Bußgeld gegen Online-Händler

BERICHT AUS DER PRAXIS
Die Haftung des Datenschutzbeauftragten
Keine Stelle war 2018 mit Einführung der Datenschutz-Grundverordnung so gefragt wie die des Datenschutzbeauftragten (DSB). In Deutschland hatte man noch das „Glück“, dass die Position des DSB schon durch das Bundesdatenschutzgesetz etabliert war und man seine Rolle und Aufgaben im Unternehmen kannte. Andere europäische Nachbarn mussten sich neu mit dieser Institution auseinandersetzen. Wohl auch wegen der durch die DSGVO eingeführten hohen Bußgelder nach Art. 84 ff. DSGVO waren viele jedoch zögerlich, sich als Datenschutzbeauftragter zur Verfügung zu stellen. Befürchtet wurde, dass der DSB einem enormen Haftungsrisiko ausgesetzt ist. Dieser Artikel soll darstellen, welche Haftungsszenarien für den Datenschutzbeauftragten tatsächlich bestehen.

BERICHT AUS DER PRAXIS
Auskunftsersuchen im Gesundheitswesen
Im Gesundheitswesen bestehen zuweilen hohe Anforderungen hinsichtlich der Dokumentation, der Schweigepflicht und des Gesundheitsdatenschutzes. Dem stehen berechtigte Interessen der Patienten auf Information über ihre gesundheitliche Situation gegenüber, aber auch Dritter, die sich für diesen Zustand interessieren. Vor allem bei Auskunftsersuchen sind diese Interessen nicht immer leicht in Einklang zu bringen.

Liebe Leserinnen und Leser,

seit mehr als einem halben Jahr herrscht nun Verunsicherung bei der Datenübermittlung in Drittstaaten. Das Schrems-II-Urteil des EuGH hat den Privacy Shield für ungültig erklärt und Anforderungen an Datenübermittlungen in Drittstaaten formuliert. Leicht in die Praxis umzusetzen sind die Vorgaben allerdings nicht.

Wir versuchen in unserem Titelthema etwas „aufzuräumen“ und haben die zentralen Stellungnahmen sowie die Empfehlung des EDSA, die nach und nach zu Schrems II erschienen sind und eine Orientierung bieten, zusammengefasst. Hoffnung können die neuen Standardvertragsklauseln (SCC 2.0) bringen, die aktuell im Entwurf vorliegen.

Außerdem lesen Sie in dieser Ausgabe, wie es um die Haftung von Datenschutzbeauftragten bestellt ist und welche Besonderheiten bei Auskunftsersuchen im Gesundheitswesen bestehen.

Ich wünsche Ihnen eine aufschlussreiche Lektüre.

Ihre Monica Hochbauer
Redaktion Datenschutz für Praktiker