"Reizthema Datenverarbeitung und aktuelle EU-Richtlinien: Als Externer Datenschutzbeauftragter und Berater für Datenschutz und Informationssicherheit ist Gastautor Ingo Goblirsch immer auf dem neuesten Stand. Bereits im ersten und zweiten Teil seiner Artikelreihe »Datenschutz: Mythen – und die Fakten« räumte er mit gängigen Falschannahmen rund um den Datenschutz im schulischen Umfeld auf. Jetzt, im dritten Teil, geht’s um den Privacy Shield, Hyperscaler – und den ganz normalen Schulalltag. 

• Hier geht es zu Teil eins der Reihe.

• Hier geht es zu Teil zwei der Reihe.

1. Mythos: Der Europäische Gerichtshof (EuGH) hat die Datenübermittlung in die USA verboten. 
Die Wahrheit: Der EuGH hat in der Rechtssache C-311/18 »Schrems II« hauptsächlich das den EU-US-Privacy-Shield-Beschluss für ungültig erklärt. Dieser Beschluss kann nicht mehr als Rechtsgrundlage zur Übermittlung von Daten in die USA als »unsicheren Drittstaat« herangezogen werden. Der Privacy Shield war allerdings auch keine EU-Gütesiegel, sondern lediglich eine informelle, transatlantische Vereinbarung. Um »Privacy-Shield-zertifiziert« zu sein, musste ein Dienstleister einfach auf einer Website ein Formular ausfüllen und den dort aufgeführten Vorgaben zustimmen. Kontrolle und inhaltliche Qualität waren natürlich bei einem solchen Verfahren nicht gegeben und entsprechend war es abzusehen, dass der EU-Gesetzgeber ein Verbot aussprechen würde.

Stattdessen hat die EU-Kommission jetzt neue EU-Standardvertragsklauseln veröffentlicht, welche den EuGH-Datenschutzanforderungen deutlich entgegenkommen. Außerdem sind diese Vertragsklauseln sicherer als das Privacy Shield. In der Praxis sieht es so aus, dass zwei Parteien einen Vertrag miteinander schließen, also eine einzelvertragliche Regelung vereinbaren, in der sie die EU-Standardvertragsklauseln für gültig erklären. Letztere legen genau fest, was die Vertragspartner tun müssen, um datenschutzkonform zu handeln.

Die neue Version der EU-Standardvertragsklauseln muss seit dem 27. Oktober 2021 bei jedem Vertragsabschluss auf Basis von Standardvertragsklauseln zugrunde gelegt werden.  Bestehende Verträge mit bestehenden Standardvertragsklauseln müssen bis zum 27. Dezember 2022 vollständig auf die neuen EU-Standardvertragsklauseln umgestellt worden sein..."

Der Autor: Ingo Goblirsch ist seit über 15 Jahren als Externer Datenschutzbeauftragter und Datenschutzberater für Unternehmen, Selbständige, Städte und Gemeinden tätig. Er arbeitete unter anderem als Projektleiter EU-Datenschutz-Grundverordnung (EU-DSGVO), IT-Revisor und IT-Compliance Officer. Auf seiner Homepage erfahren Sie mehr: www.goblirsch.org

Zum ungekürzten Gastbeitrag auf News4teachers.de.