Anfang Juni 2021 haben die Datenschutzaufsichtsbehörden länderübergreifend koordiniert mit der Kontrolle der internationalen Datentransfers bei deutschen Unternehmen begonnen. Überprüft werden Datenübermittlungen durch Unternehmen in sogenannte "Drittstaaten" außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums. Es drohen Untersagungsverfügungen und Bußgelder.
Ziel dieser koordinierten Prüfung ist die breite Durchsetzung der Anforderungen des Europäischen Gerichtshofs EuGH in dessen Schrems-II-Entscheidung vom 16. Juli 2020. Darin hatte das Gericht festgestellt, dass Übermittlungen in die USA nicht länger auf Basis des sogenannten "Privacy Shields" erfolgen können (
Wir berichteten hier).
 |
| Achtung Kontrolle - Landesdatenschutzbeauftragte verschicken Fragebögen zu internationalen Datentransfers |
Die für den Datenschutz Verantwortlichen in den Unternehmen (= Geschäftsführer, Vorstände, etc.) sind seither aufgefordert, ihre Datentransfers in Drittländer (insbesondere in die USA) dahingehend zu überprüfen, ob im Empfängerstaat ein gleichwertiges Schutzniveau für personenbezogene Daten gewährleistet werden kann. Trifft dies nicht zu, ist der Einsatz der Standarddatenschutzklauseln für Datenübermittlungen in Drittstaaten (insbesondere in die USA) nur noch unter Verwendung wirksamer zusätzlicher Maßnahmen ausreichend. Hierzu müssen zusätzliche Garantien geschaffen werden. Dies ist jedoch insbesondere bei Datenübermittlungen in die USA wegen der dortigen Eingriffsbefugnisse der Sicherheitsbehörden nur schwer möglich. Das Urteil des EuGH erfordert damit eine grundlegende Umstellung lange praktizierter Geschäftsmodelle und -abläufe.
So gehen die Landesdatenschutzbeauftragten vor
Die Datenschutzaufsichtsämter haben für die Kontrollen einen gemeinsamen Fragenkatalog erarbeitet.
Die an der Kontrolle teilnehmenden Datenschutzaufsichtsbehörden schreiben aktuell von ihnen ausgewählte Unternehmen an. Die Landesdatenschützer wollen zunächst "hören" (Audit?!), welche Gedanken sich die Verantwortlichen knapp ein Jahr nach dem Schrems II Urteil gemacht haben, um auf die geänderte Rechtslage zu reagieren. Die Herausforderungen für die verantwortlichen Stellen sind groß, das ist allen Seiten bewusst. Die Aufsichtsämter erwarten zumindest, dass die von der Drittstaatenproblematik betroffenen Unternehmen ernsthaft nach tragfähigen Lösungen suchen. Ein "Weiter so!" wird definitiv nicht toleriert.
Was soll schon passieren...
Im Schrems-II-Urteil Mitte 2020 hat der EuGH seine Erwartungshaltung klar formuliert; Die Datenschutzaufsichtsbehörden sollen unzulässige Transfers „aussetzen oder verbieten“. Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI-BW) Stefan Brink geht davon aus, dass das Aussetzen einer Übermittlung voraussichtlich in vielen Fällen im kooperativen Dialog mit den Unternehmen gelingen kann. "Wo dies nicht möglich ist, wird mit den zur Verfügung stehenden aufsichtsbehördlichen Maßnahmen reagiert. Die Aufsichtsbehörden sind sich der besonderen Herausforderungen, die das EuGH-Urteil zu Schrems II für die Unternehmen in Deutschland und Europa mit sich bringt, bewusst. Sie stehen für Verständnisfragen auch im weiteren Verlauf des Prüfungsverfahrens zur Verfügung, soweit dies nach Maßgabe der vorhandenen Kapazitäten möglich ist."
Machen Sie sich bitte bewusst: Untersagen ist hier unter Umständen weit folgenreicher als ein Bußgeld. Was tun Sie, wenn Ihre zuständige Datenschutzaufsichtsbehörde Ihnen die Nutzung von Microsoft 365 untersagt? Es lohnt sich also definitiv, sich mit dem Thema zu beschäftigen...
