Karsten Füllhaase

Dachverband EFDPO veröffentlicht Positionspapier zu „Schrems II“

Der Dachverband European Federation of Data Protection Officers (EFDPO), der vom BvD initiiert wurde, hat ein Positionspapier zum EuGH-Urteil „Schrems II“ veröffentlicht.

Unter dem Titel“DPOs left alone with unsolvable dilemmas“ betont das Papier, dass ein Gerichtsurteil, das mit sofortiger Wirkung in die Verarbeitung personenbezogener Daten in so umfassender und vielfältiger Weise eingreift, in der Praxis kaum umsetzbar sei. Dies gelte insbesondere für kleine und mittelständische Unternehmen, die oft nicht über ausreichende Ressourcen für eine schnelle Reaktion verfügen und im Prinzip von großen Anbietern von Cloud-Lösungen abhängig seien. In solchen Fällen würden sich Datenschutzbeauftragte bei der richtigen Beratung der Verantwortlichen und der Auftragsverarbeiter in einer sehr schwierigen Situation befinden. Daher sei es aus Sicht der EFDPO immer zu überlegen, ob es angemessen ist, Urteile zu erlassen, in denen „mit sofortiger Wirkung“ Verpflichtungen festgelegt werden, die von den Adressaten grundsätzlich kurzfristig nicht wirksam erfüllt werden können. Die Erwägung der aufgeschobenen Wirksamkeit des Urteils könnte eine geeignete Lösung sein.

Derzeit würden Datenschutzbeauftragten solchen Fällen vielfach um Beratung gebeten. Das Urteil übe Druck auf die Datenschutzbeauftragten aus, sich mit der Notwendigkeit auseinanderzusetzen, Datenübermittlungen sofort zu stoppen, wobei sie gleichzeitig wissen, dass ihre Unternehmen fast keine praktischen Handlungsmöglichkeiten haben. Derzeit würden die meisten Unternehmen von ihren Auftragnehmern zusätzliche Maßnahmen, die Standardvertragsklauseln anwendbar machen. Die  Datenschutzbeauftragten müssen die komplexen Umstände und Fehler erklären, die zu dieser Situation geführt haben, während es offensichtlich ist, dass viele Unternehmen nicht das gleiche Interesse am Datenschutz haben. Die damit verbundenen Schwierigkeiten, die durch die Entscheidung Schrems II noch verschärft werden, würden laut EFDPO weit über den Nutzen hinausgehen.

Aus der Sicht der EFDPO wären  daher schnelle und konkrete Schritte zur Klärung der Situation sehr begrüßenswert, unter anderem eine klare Anleitung der EDSA und nationalen Aufsichtsbehörden, wie Verantwortliche und Auftragsverarbeiter bei der Beurteilung der „angemessenen Schutzmaßnahmen“ im Zusammenhang mit der Verhinderung eines unbefugten Zugriffs auf persönliche Daten durch US-Behörden vorgehen sollen. Darüber hinaus sollte die Europäische Kommission schnellstmöglich aktualisierte Standardvertragsklauseln vorlegen und so bald wie möglich über ein neues Instrument verhandeln, das den ungültig gewordenen Privacy Shield ersetzt, damit die Zusammenarbeit zwischen der EU und den USA fortgesetzt werden kann und gleichzeitig die Rechte der betroffenen Personen angemessen geschützt werden können.

Das vollständige Positionspapier findet sich hier zum Nachlesen (in englischer Sprache).

Die EFDPO wurde am 7. Juni 2019 in Berlin gegründet . Gründungsmitglieder sind neben dem BvD nationale Verbände für Datenschutzbeauftragte aus Österreich, Frankreich, Portugal, Tschechien, der Slowakei, Griechenland und Liechtenstein. Hauptziel der Gründung ist es, die Datenschutzbeauftragten der EU-Mitgliedsstaaten miteinander zu vernetzen, gemeinsame Standards zu entwickeln und die Interessen der in Brüssel zu vertreten. Dabei soll Datenschutz als Wettbewerbs- und Standortvorteil für Europa gestärkt werden. Arbeitssitz des neuen Verbandes ist Brüssel.