Deutsche Aufsichtsbehörden prüfen internationale Datenübermittlungen

Die „Schonfrist für Unternehmen“ nach Erlass des Schrems II-Urteils durch den EuGH ist nun endgültig vorüber.

Die „Schonfrist für Unternehmen“ nach Erlass des Schrems II-Urteils durch den EuGH ist nun endgültig vorüber. 

Am 1. Juni 2021 kündigten verschiedene Aufsichtsbehörden in Deutschland an, im Rahmen einer länderübergreifenden Kontrolle die Datenübermittlungen durch Unternehmen in Staaten außerhalb der Europäischen Union zu überprüfen. Vor allem Unternehmen in Bayern, Berlin, Brandenburg, Hamburg, Niedersachsen, Rheinland-Pfalz und dem Saarland müssen mit entsprechenden Anfragen der Aufsichtsbehörde rechnen. Es ist jedoch nicht ausgeschlossen, dass sich noch weitere Behörden an der Umfrage beteiligen.

Ziel der Prüfung ist es die Erwartungen des EuGHs zu erfüllen, dass Behörden unzulässige Transfers aussetzen oder verbieten. In seiner Schrems-II-Entscheidung erklärte der EuGH am 16. Juli 2020 das EU-US-Privacy-Shield ohne Übergangsfrist für ungültig. Gleichzeitig betonte er, dass Datenübermittlungen zwar auf Grundlage der Standarddatenschutzklauseln weiterhin zulässig sind. Der Verantwortliche muss sich jedoch davon überzeugen, dass diese auch eingehalten werden können und insofern ein gleichwertiges Schutzniveau für personenbezogenen Daten gewährleistet werden kann. Dies soll bei Bedarf durch die Verwendung wirksamer zusätzlicher Maßnahmen sichergestellt werden.

Obwohl es noch immer keine zufriedenstellende Lösung für eine rechtmäßige Datenübermittlung vor allem in die USA gibt, wird dies nun durch die Aufsichtsbehörden geprüft. Die teilnehmenden Behörden werden ausgewählte Unternehmen in ihrem Zuständigkeitsbereich auf Grundlage von gemeinsamen Fragenkatalogen anschreiben. Zudem konzentrieren sich die Behörden auf verschiedene Bereiche: Mailhoster, Webhoster, Tracking, Bewerberportale und konzerninterner Datenverkehr. Jede Aufsichtsbehörde entscheidet dabei individuell, in welchen dieser Themenfelder sie prüft und ob der Fragenkatalog regional angepasst wird.

Praxistipp

Unternehmen sollten sich nach der Ankündigung darauf einstellen, von der zuständigen Aufsichtsbehörde angeschrieben zu werden. Die Fragebögen sollten dann nicht etwa ignoriert, sondern ordnungsgemäß mit anwaltlicher Unterstützung befüllt werden. Vor allem bei einer Datenübermittlung in die USA sind zudem die Empfehlungen des Europäischen Datenschutzausschusses zu berücksichtigen und im besten Fall zu dokumentieren. Demnach sind die folgenden Schritte durchzuführen:

1. Analyse der Datentransfers in Drittländer („Know Your Transfers“)
2. Identifikation der verwendeten Transferwerkzeuge
3. Beurteilung der Wirksamkeit der Transferwerkzeuge
4. Identifizierung angemessener ergänzender Maßnahmen
5. Implementierung ergänzender Maßnahmen
6. Regelmäßige Evaluierung

Gerne unterstützen wir Sie sowohl bei der Beantwortung der Fragebögen als auch bei Durchführung des empfohlenen Risk Assessments.