Seiten

Freitag, 4. Juni 2021

Achtung Kontrolle - Landesdatenschutzbeauftragte verschicken Fragebögen zu internationalen Datentransfers

Anfang Juni 2021 haben die Datenschutzaufsichtsbehörden länderübergreifend koordiniert mit der Kontrolle der internationalen Datentransfers bei deutschen Unternehmen begonnen. Überprüft werden Datenübermittlungen durch Unternehmen in sogenannte "Drittstaaten" außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums. Es drohen Untersagungsverfügungen und Bußgelder.

Ziel dieser koordinierten Prüfung ist die breite Durchsetzung der Anforderungen des Europäischen Gerichtshofs EuGH in dessen Schrems-II-Entscheidung vom 16. Juli 2020. Darin hatte das Gericht festgestellt, dass Übermittlungen in die USA nicht länger auf Basis des sogenannten "Privacy Shields" erfolgen können (Wir berichteten hier).

Achtung Kontrolle - Landesdatenschutzbeauftragte verschicken Fragebögen zu internationalen Datentransfers
Achtung Kontrolle - Landesdatenschutzbeauftragte verschicken Fragebögen zu internationalen Datentransfers

Die für den Datenschutz Verantwortlichen in den Unternehmen (= Geschäftsführer, Vorstände, etc.) sind seither aufgefordert, ihre Datentransfers in Drittländer (insbesondere in die USA) dahingehend zu überprüfen, ob im Empfängerstaat ein gleichwertiges Schutzniveau für personenbezogene Daten gewährleistet werden kann. Trifft dies nicht zu, ist der Einsatz der Standarddatenschutzklauseln für Datenübermittlungen in Drittstaaten (insbesondere in die USA) nur noch unter Verwendung wirksamer zusätzlicher Maßnahmen ausreichend. Hierzu müssen zusätzliche Garantien geschaffen werden. Dies ist jedoch insbesondere bei Datenübermittlungen in die USA wegen der dortigen Eingriffsbefugnisse der Sicherheitsbehörden nur schwer möglich. Das Urteil des EuGH erfordert damit eine grundlegende Umstellung lange praktizierter Geschäftsmodelle und -abläufe.

So gehen die Landesdatenschutzbeauftragten vor

Die Datenschutzaufsichtsämter haben für die Kontrollen einen gemeinsamen Fragenkatalog erarbeitet. 

Die an der Kontrolle teilnehmenden Datenschutzaufsichtsbehörden schreiben aktuell von ihnen ausgewählte Unternehmen an. Die Landesdatenschützer wollen zunächst "hören" (Audit?!), welche Gedanken sich die Verantwortlichen knapp ein Jahr nach dem Schrems II Urteil gemacht haben, um auf die geänderte Rechtslage zu reagieren. Die Herausforderungen für die verantwortlichen Stellen sind groß, das ist allen Seiten bewusst. Die Aufsichtsämter erwarten zumindest, dass die von der Drittstaatenproblematik betroffenen Unternehmen ernsthaft nach tragfähigen Lösungen suchen. Ein "Weiter so!" wird definitiv nicht toleriert.

Was soll schon passieren...

Im Schrems-II-Urteil Mitte 2020 hat der EuGH seine Erwartungshaltung klar formuliert; Die Datenschutzaufsichtsbehörden sollen unzulässige Transfers „aussetzen oder verbieten“. Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI-BW) Stefan Brink geht davon aus, dass das Aussetzen einer Übermittlung voraussichtlich in vielen Fällen im kooperativen Dialog mit den Unternehmen gelingen kann. "Wo dies nicht möglich ist, wird mit den zur Verfügung stehenden aufsichtsbehördlichen Maßnahmen reagiert. Die Aufsichtsbehörden sind sich der besonderen Herausforderungen, die das EuGH-Urteil zu Schrems II für die Unternehmen in Deutschland und Europa mit sich bringt, bewusst. Sie stehen für Verständnisfragen auch im weiteren Verlauf des Prüfungsverfahrens zur Verfügung, soweit dies nach Maßgabe der vorhandenen Kapazitäten möglich ist."

Machen Sie sich bitte bewusst: Untersagen ist hier unter Umständen weit folgenreicher als ein Bußgeld. Was tun Sie, wenn Ihre zuständige Datenschutzaufsichtsbehörde Ihnen die Nutzung von Microsoft 365 untersagt? Es lohnt sich also definitiv, sich mit dem Thema zu beschäftigen...


Das könnte Sie auch interessieren:


Datenschutz-Dienstag, 13. Juli 2021
In der Cloud ist alles besser? Eine Geschichte über E-Mail-Server nach dem HAFNIUM-Angriff

Datenschutz-Dienstag, 06. Juli 2021
Internationale Datentransfers - Das How-To

Datenschutz-Dienstag, 29. Juni 2021
Internationale Datentransfers - Dokumentieren statt abschaffen! Am Beispiel Mailchimp

Datenschutz-Dienstag, 22. Juni 2021
Microsoft 365 rechtskonform einsetzen - auf die Konfiguration kommt es an!

Datenschutz-Dienstag, 15. Juni 2021
Datentransfer in die USA – eine Dauerbaustelle? Oder ein akuter Flächenbrand?!

Freitag, 4. Juni 2021
Achtung Kontrolle - Landesdatenschutzbeauftragte verschicken Fragebögen zu internationalen Datentransfers

Donnerstag, 8. April 2021
Office 365: Was sagt der Datenschutz?

Montag, 3. August 2020
Was sagen die Aufsichtsbehörden zum Aus für das Privacy Shield? Ein erster Überblick...

Samstag, 18. Juli 2020
Unternehmer-Tipps nach dem Aus für das "Privacy Shield" zwischen der EU und den USA

Freitag, 14. Juni 2019
EU-DSGVO - Das sollten Unternehmen bei der Nutzung von Public-Cloud-Diensten aus den USA beachten

Donnerstag, 9. Februar 2017
Was ist der Privacy Shield?