Datentransfer in Drittländer? – Sofortmaßnahmen dringend empfohlen

Stefan Hessel

In den vergangenen Monaten gab es bereits vereinzelte Prüfverfahren der Datenschutzaufsichtsbehörden zur Umsetzung der "Schrems II"-Entscheidung bei Drittlandsübermittlungen, insbesondere in die USA. Nun zeichnet sich jedoch ab, dass die europäischen Datenschutzaufsichtsbehörden in den kommenden Wochen mithilfe von Fragebögen eine massive Kampagne zur Prüfung von Drittlandsübermittlungen starten werden. Am Ende der Prüfungen könnten zahlreiche Untersagungsverfügungen und weitere Sanktionen stehen. Wir möchten Ihnen in diesem Beitrag daher einen Überblick über die Hintergründe und aktuellen Entwicklungen verschaffen und Tipps zum Umfang mit den erwarteten Fragebögen geben. 

Was ist der Anlass für die Kampagne der Aufsichtsbehörden?

Fast jährt sich die für alle weitreichende "Schrems II"-Entscheidung des EuGHs, in der er den US-Privacy-Shield-Beschluss kippte. Ein Regelwerk über die Datenübermittlung zwischen der EU und den USA. Seitdem müssen viele Unternehmen ihre bisherige Praxis der Datenübermittlung in Drittstaaten überarbeiten und an die DSGVO als neue Grundlage anpassen. Häufige Rückfragen von Unternehmen haben uns gezeigt, dass hier noch ein hoher Klärungsbedarf besteht und es auch einer besseren Sensibilisierung seitens der Aufsichtsbehörden bedarf. Wie genau es um die Datenübermittlungen in die USA steht, ist noch ungewiss. Die Kommission hat noch keinen rechtssicheren Angemessenheitsbeschluss (Art. 45 DSGVO) vorgelegt. Unternehmen müssen deswegen selbst handeln.

Welche aktuellen Entwicklungen gibt es?

Anfang Mai hat die portugiesische Datenschutzaufsichtsbehörde Datenübermittlungen im Zusammenhang mit IT-Sicherheitsdienstleistungen durch ein US-Unternehmen mit einer behördlichen Anordnung untersagt.

Die Datenschutzaufsicht Hamburg hat öffentlich ein "Vollzugsdefizit" bei Drittlandsübermittlungen bemängelt und angekündigt, dass in Kürze länderübergreifende Stichproben stattfinden werden.

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat einem Unternehmen aus München kürzlich den Einsatz des E-Mail-Anbieters Mailchimp untersagt, weil dieses keine Prüfung zur Datenübermittlung in die USA vorgenommen hatte.

Die Datenschutzbehörde Österreich dürfte in Kürze über eine durch den Datenschutzaktivisten Max Schrems eingelegte Beschwerde wegen Drittlandsübermittlungen durch Google entscheiden. Vergleichbare Beschwerden wurden von Max Schrems auch in Deutschland erhoben.

Die Datenschutzaufsicht Rheinland-Pfalz hat eine Informationsoffensive zur Datenübermittlung in Drittländer gestartet und Unternehmen aufgefordert umgehend aktiv zu werden. Gleichzeitig kündigt die Behörde stichprobenartige Kontrollen an und stellt weiterhin fest:

 "Das Grundsatzurteil des Europäischen Gerichtshofs, das sogenannte Schrems II-Urteil, betrifft fast jedes Unternehmen, jede Behörde, Kommune, Schule, Organisation oder Arztpraxis. Denn sie verarbeiten automatisiert personenbezogene Daten, übermitteln diese dabei – oft unbewusst – in Länder außerhalb der Europäischen Union beziehungsweise des Europäischen Wirtschaftsraums. Sie bewegen sich damit datenschutzrechtlich auf dünnem Eis. Im Laufe dieses Jahr ist es unsere Aufgabe zu prüfen, ob gegebenenfalls Datenschutzvergehen vorliegen und Sanktionen verhängt werden müssen."

Womit ist jetzt zu rechnen?

Mit den nun erwarteten Fragebögen verschärfen die Aufsichtsbehörden ihre Untersuchungen und versetzen sich zugleich in die Lage, Untersagungsverfügungen auszusprechen und weitere Sanktionen zu verhängen.  Wenn Sie Empfänger eines Fragebogens werden sollten, raten wir Ihnen zu Folgendem:

  1. Sofern dem Schreiben keine Rechtsbelehrung beiliegt (sehr wahrscheinlich), handelt es sich nur um eine Bitte zur Auskunft. Der Fragebogen stellt kein Verwaltungsakt der Behörden dar. Eine Verpflichtung zur Beantwortung unter dem Druck von Sanktionen kann es vonseiten der Aufsichtsbehörden dann nicht geben.
  2. Die Fragebögen sind eine Vorstufe und dienen den Behörden als ersten Überblick für weitere Untersuchungen. Es ist jedoch sehr wahrscheinlich, dass auf die Fragebögen weitere Maßnahmen, insbesondere Untersagungsverfügungen bei vermeintlich unzulässigen Drittlandsübermittlungen folgen. Aus diesem Grund sollten die Fragebögen stets mit Bedacht beantwortet werden.
  3. Holen Sie sich in jedem Fall anwaltliche Unterstützung, wenn Sie bisher keinen oder wenig Kontakt mit der für Sie zuständigen Aufsichtsbehörde hatten oder, wenn Sie sich unsicher im Umgang mit der Aufsichtsbehörde fühlen. Wir verfügen über umfangreiche Erfahrung im Umgang mit den deutschen und europäischen Aufsichtsbehörden und unterstützen Sie bei Bedarf gerne.
  4. In welchem Umfang mit Untersagungsverfügungen und weiteren Sanktionen wie Bußgeldern zu rechnen ist, ist noch unklar. Um jedoch negativen Konsequenzen vorzubeugen, sollten Verantwortliche umgehend ihre Drittlandsübermittlungen prüfen, soweit dies noch nicht geschehen ist und diese Prüfungen dokumentieren. Sollten die Aufsichtsbehörden zu einem späteren Zeitpunkt trotz der erfolgten Prüfung einen Verstoß annehmen, kann die dokumentierte Prüfung sanktionsmildernd wirken. Dies stellen die Aufsichtsbehörden ausdrücklich fest.

Wie geht es weiter?

Leider muss jetzt erst einmal abgewartet werden, wie intensiv die Aufsichtsbehörden ihre Untersuchungen durchführen und mit ihren Ergebnissen weiter verfahren. Von der politischen Ebene ist derzeit nicht zu erwarten, dass es zeitnah zu mehr Rechtssicherheit schaffenden Regelungen kommt. Deswegen müssen Unternehmen jetzt über eine Umstrukturierung ihrer Prozesse nachdenken. Microsoft hat eben wegen dieser unsicheren Datenübermittlung zwischen den USA und der EU vor Kurzem versprochen, Daten aus der EU nur auf Servern in der EU verarbeiten zu wollen.

[Mai 2021]