Infos und Prüfschema des BfDI zu Schrems II

Privacy Shield invalid

Bereits mit Schreiben vom 08.10.2020 adressierte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) ein Informationsschreiben zur Auswirkung der Rechtsprechung des EuGH auf den internationalen Datentransfer (Rechtssache C-311/18 „Schrems II“) an die öffentlichen Stellen des Bundes und Unternehmen unter der Aufsicht des BfDI.

Unter Ziffer 3. seines Informationsschreibens fasste der BfDI die Verpflichtung der Verantwortlichen zur Prüfung der Datentransfers in Drittländer wie folgt zusammen:
„Unternehmen und Behörden müssen als Reaktion auf die Vorgaben aus dem Urteil des EuGH in der Rechtssache C-311/18 „Schrems II“ als Verantwortliche ihre Datentransfers in Drittländer prüfen. Je nach bisher gewählter Grundlage für die Datenübermittlung muss diese – z.B. im Falle des EU-US Datenschutzschildes – durch eine neue Grundlage ersetzt werden. Zudem müssen alle Verantwortlichen bei der Verwendung von geeigneten Garantien nach Art. 46 DSGVO prüfen, ob und ggf. welche zusätzlichen Maßnahmen ergriffen werden müssen, um die übermittelten Daten im Drittland angemessen zu schützen. Das Ergebnis dieser Prüfung und die getroffenen Maßnahmen sind nachvollziehbar zu dokumentieren. „

Mittlerweile hat der BfDI die empfohlene Vorgehensweise verfeinert und in einem Prüfschema veröffentlicht. Das vorgestellte Prüfschema dürfte auch für Unternehmen interessant sein, die nicht unter der Aufsicht des BfDI stehen. Die Schritte der Prüfung des Drittlandtransfers strukturiert der BfDI folgendermaßen:

  1. Datentransfers prüfen
  2. Vorliegen Angemessenheitsbeschluss
  3. Schutzniveau im Drittland: Einzelfallanalyse
  4. Prüfung Schutzmechanimus
  5. Definierung zusätzlicher Maßnahmen
  6. Implementierung zusätzlicher Maßnahmen
  7. Ausnahmen nach Art. 49 DS-GVO
  8. Dokumentation
  9. Meldung an die Aufsichtsbehörde


Letztes Update:07.11.20

  • Online-Kompaktkurs: Ende des EU-US Privacy Shield - was nun?

    Online-Kompaktkurs: Ende des EU-US Privacy Shield - was nun?

    Online-Kompaktkurs

    138.04 € Mehr erfahren
  • Datenschutz Aktuell

    Datenschutz Aktuell

    Seminar

    678.60 € Mehr erfahren
  • BSI-Standard zum Notfallmanagement wird aktualisiert

    Das BSI entwickelt den IT-Grundschutz weiter fort. In absehbarer Zeit soll auch der Standard 100-4 ersetzt werden. Mit dem BSI-Standard 100-4 hatte das BSI begonnen, einen systematischen Weg aufzuzeigen, wie ein Notfallmanagement in einer Behörde oder einem Unternehmen aufgebaut werden kann, um die Kontinuität des Geschäftsbetriebs sicherzustellen.Der Standard 100-4 wird durch den neuen Standard 200-4

    Mehr erfahren
  • Datenschutzorganisationen prüfen und beurteilen mit begrenztem Zeitaufwand!

    Die Umsetzung der Datenschutz-Grundverordnung (DS-GVO) hält Unternehmen und andere datenverarbeitenden Stellen weiter in Atem. Auch lange nach ihrem Inkrafttreten stellt sie für viel Organisationen eine große Herausforderung dar. Aber auch dort, wo bereits viel Engagement in die Umsetzung des europäischen Datenschutzrechts gesteckt wurde, hat wohl noch niemand das Ziel der hundertprozentigen DS-GVO-Compliance erreicht. Komplexe Materie

    Mehr erfahren
  • Data Breach

    Beispiele für Informationspflichten bei Datenpannen

    Nach ErwG 85 der DS-GVO kann eine Verletzung des Schutzes personenbezogener Daten  – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der

    Mehr erfahren