Konzertierte Kontrollaktion einiger LfDs gegen Alleingelassene
Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen beteiligt sich gemäß eigener Pressemitteilung vom 01.06. 2021 an einer länderübergreifenden Kontrolle von Datenübermittlungen durch Unternehmen in Staaten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums (sogenannte Drittstaaten). Ziel dieser Prüfung ist die breite Durchsetzung der Anforderungen des Europäischen Gerichtshofs (EuGH) in seiner Entscheidung „Schrems II“ vom 16. Juli 2020. Darin hat das Gericht festgestellt, dass Übermittlungen in die USA nicht länger auf Basis des sogenannten Privacy Shield erfolgen können.
Der Einsatz der Standarddatenschutzklauseln für Datenübermittlungen in Drittstaaten ist ferner nur noch unter Verwendung wirksamer zusätzlicher Maßnahmen ausreichend, wenn die Prüfung des Verantwortlichen ergeben hat, dass im Empfängerstaat kein (im Vergleich zur EU) gleichwertiges Schutzniveau für die personenbezogenen Daten gewährleistet werden kann. Das Urteil des EuGH erfordert in vielen Fällen eine grundlegende Umstellung lange praktizierter Geschäftsmodelle und -abläufe. Das passt ja auch mal wieder so richtig toll zusammen, da die EU-weit vorgegebenen Standartvertragsklausel erst gerade nunmehr angepasst und veröffentlicht wurden. Wäre ich böse gesinnt, würde ich an dieser Stelle anmerken: Erst kassieren, dann Abhilfe anbieten!
Neben der LfD Niedersachsen beteiligen sich Landesdatenschutzbehörden aus Baden-Württemberg, Bayern, Berlin, Bremen, Brandenburg, Hamburg, Rheinland-Pfalz und dem Saarland an der Prüfung.
Sie schreiben die jeweils ausgewählten Unternehmen auf der Basis eines gemeinsamen Fragekatalogs an. Dabei wird es unter anderem um den Einsatz von Dienstleistern zum E-Mail-Versand, zum Hosting von Internetseiten, zum Webtracking, zur Verwaltung von Bewerberdaten und um den konzerninternen Austausch von Kundendaten sowie Daten der Beschäftigten gehen. Jede Aufsichtsbehörde entscheidet individuell, in welchen dieser Themenfelder sie tätig wird.
Die LfD Niedersachsen versendet Fragebögen zu den Themen Mail- und Web-Hosting an 18 niedersächsische Unternehmen verschiedener Branchen. „Die Entscheidung des EuGH hat viele Unternehmen und andere verantwortliche Stellen in Bezug auf den internationalen Datentransfer in eine schwierige Situation gebracht“, sagt die Landesdatenschutzbeauftragte Barbara Thiel. „Wir erwarten aber als Aufsichtsbehörde, dass sich die Verantwortlichen mit den neuen Anforderungen ernsthaft auseinandersetzen und eigenständig nach Lösungen suchen.“ Verhöhnung also obendrauf!
Link zu den Fragebögen
Der EuGH hat seine Erwartung klar formuliert, dass die Behörden unzulässige Transfers „aussetzen oder verbieten“. Das Aussetzen einer Übermittlung kann voraussichtlich in vielen Fällen im kooperativen Dialog mit den Unternehmen gelingen. Wo dies nicht möglich ist, wird mit den zur Verfügung stehenden aufsichtsbehördlichen Maßnahmen reagiert, auf gut Deutsch die große Keule geschwungen!
Die Aufsichtsbehörden sind sich der besonderen Herausforderungen bewusst, die das EuGH-Urteil zu Schrems II für die Unternehmen in Deutschland und Europa mit sich bringt. Sie stehen für Verständnisfragen auch im weiteren Verlauf des Prüfungsverfahrens zur Verfügung, soweit dies nach Maßgabe der vorhandenen Kapazitäten möglich ist (Hauptsache, die Unternehmen haben genug Kapazitäten im Trüben zu fischen, welches EuGH und Aufsichtsbehörden gerührt haben, immerhin haben sie ja ganze 11 Monate „gewartet“).
Immerhin werden so hilfreiche Hinweise wie „Das Schrems II-Urteil des Europäischen Gerichtshofs und seine Bedeutung für Datentransfers in Drittländer“ etwa durch die nds. LfDI zur Verfügung gestellt.
Ich kann nur dringend empfehlen, den dortigen Hinweisen nachzugehen und dies für eine eventuelle Überprüfung zu dokumentieren!
Nach Art. 58 Abs.1 lit. a) und b) DSGVO können Aufsichtsbehörden den Verantwortlichen anweisen, alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben erforderlich sind. Darüber hinaus sind sie befugt Untersuchungen in Form von Datenschutzüberprüfungen durchzuführen.
Die Fragebögen selbst sind selbstredend sehr umfangreich und fragen fein gestrickt Informationen zu den jeweiligen Themenkomplexen ab. Zudem müssen Unterlagen, etwa Kopien der abgeschlossenen und unterzeichneten Standardvertragsklauseln, bereitgestellt werden.
Diese Aktion der Aufsichtsbehörden macht deutlich: Datentransfers in die sogenannten unsicheren Drittländer sind erhebliche Risikofaktoren.
Sind Lösungen in Sicht?
Die angepassten Standartvertragsklauseln sind veröffentlicht.
