Die Schrems II - Taskforce des EDPB

Arnold Redhammer | 10.September 2020

EDPB was ist das überhaupt ? Von Schrems II hat schon der Ein oder Andere gehört, da gehts im Großen und Ganzen um die Übermittlung von Daten in die unsichere USA - das EDPB ist das European Data Protection Board. Also so etwas wie das oberste Gremium der europäischen Datenschutzbehörden. Die haben jetzt eine Taskforce ins Leben gerufen, für dieses sowohl politisch als auch wirtschaftlich heikle Thema. Mehr wie immer bei uns....

Das 37. Meeting von Europas obersten Datenschützern resultierte unter anderem in der Gründung einer Taskforce welche sich intensivst mit dem Schrems II Urteil des EuGH auseinandersetzen soll - so weit, so gut.

Guidelines zu Social Media

Als ersten Output gibts von diesem Meeting auch gleich mal angepasste Guidelines sowohl zu den Themen Verantwortlicher und Auftragsverarbeiter als auch zum Umgang mit mittlerweile weit verbreitetem Social Media User - Tagging. Hintergrund hierfür ist, dass diese Art von Datenverarbeitung durchaus riskant und mit Risiken, wie etwa Diskriminerung unterschiedlichster Art verbunden sein kann. Wir haben die beiden PDFs in Form von Links bereitgestellt.

Die Guidelines sollen es vereinfachen die eigene Targeting-Vorgehensweise in der praktischen Umsetzung an die Vorgaben der DSGVO anzupassen. Der Schwerpunkt liegt in den Guidelines klar darauf, sich die Rollen und Verantwortlichkeiten sowohl der Social Media-Provider als auch der Benutzer und der vorliegenden potentiellen Risiken aus Sicht des Datenschutzes zu vergegenwärtigen.

Was im Original so klingt:
"The main aim of the Guidelines is to clarify the roles and responsibilities of the social media provider and the targeted individual. To this purpose, the Guidelines, among others, identify the potential risks for the freedoms of individual, the main actors and their roles, the application of key data protection requirements, such as lawfulness and transparency and DPIA, as well as key elements of arrangements between social media providers and the targeted individuals. In addition, the Guidelines focus on the different targeting mechanisms, the processing of special categories of data and the obligation for joint controllers to put in place an appropriate arrangement pursuant to Article 26 GDPR."

Die Beschwerde-Taskfoce

Desweiteren gibts künftig eine Taskforce welche sich mit den Beschwerden auf Grund des Schrems II Urteils befassen soll und eine weitere Taskforce welche sich mit den daraus resultierenden - nun nennen wir es Problemen - befassen wird und den Versuch unternimmt so etwas wie Lösungen zu liefern.

Die Haupttätigkeit dieser Taskforce wird wohl in erster Linie darin liegen sich mit den Implikationen, welche sich durch das Urteil selbst (101 Beschwerdepunkte) und der unbeeindruckten weiteren Vorgehensweise von Facebook und Google ergeben, auseinander zu setzen.

So wurde bereits ausdrücklich klar gemacht, dass es nicht ausreichen wird eine Auftragsverarbeitervereinbarung durch Standard Datenschutzklauseln zu ersetzen.
Das Schrems II-Urteil macht unmissverständlich klar wie sehr der Verantwortliche in der Pflicht ist, wenn es darum geht Sorge zu tragen für die Sicherheit der übermittelten Daten in Drittländer - wie eben auch die USA.
Aufrund der Komplexität dieser Situation mit Drittländern im Allgemeinen und den USA (welche Datenschutz für Nicht-Amerikaner seit jeher nicht sonderlich ernst nehmen) im Speziellen, können wir davon ausgehen, dass es keine einfache All-in-One-Lösung geben wird. Jedes Unternehmen wird seine Datentransfers evaluieren müssen und versuchen mit geeigneten Mitteln die Sicherheit dieser künftig sicher zu stellen. Wir empfehlen weiterhin wo immer auch möglich US-Dienste durch europäische oder Dienste aus Ländern mit ähnlichem Datenschutzniveau zu ersetzen.

So sieht das Andrea Jelinek, die Vorsitzende des EDPD - hier im Originalzitat:

"The EDPB is well aware that the Schrems II ruling gives controllers an important responsibility. In addition to the statement and the FAQ we put out shortly following the judgment, we will prepare recommendations to support controllers and processors regarding their duty in identifying and implementing appropriate supplementary measures of a legal, technical and organizational nature to meet the essential equivalence standard when transferring personal data to third countries. However, the implications of the judgment are wide-ranging, and the contexts of data transfers to third countries very diverse. Therefore, there cannot be a one-size-fits-all, quick fix solution. Each organisation will need to evaluate its own data processing operations and transfers and take appropriate measures.”

Fazit

Es bleibt somit weiterhin spannend im Match, Datenschutz gegen Datenspionage in den USA. Es stehen ja bald Wahlen an in den USA welche diesbezüglich theoretisch Entspannung bringen könnten, davon ist jedoch beim bisherigen Umgang mit Menschenrechten in den USA vor allem für Nicht US-Bürger auch bei einem Präsidentenwechsel nicht wirklich auszugehen.

Wie dem auch sei, wir werden weiterhin versuchen relevante Information zum Thema Schrems II leicht verdaubar aufzubereiten.

Links zum Artikel

20200902plen1.2agenda_public.pdf
Agenda des 37. Meetings (engl.)
edpb_guidelines_202007.pdf
Verantwortlicher/Auftragsverarbeiter (engl.)
edpb_guidelines_202008.pdf
Umgang mit SocialMedia Usern (engl.)

EDPB News zum 37. Meeting - (engl.)
GDPRhub
DSGVO Wissensdatenbank von noyb
noyb
Non-Profit-Organisation um Max Schrems

---