Daten­trans­fer in Dritt­län­der? – Sofort­maß­nah­men drin­gend empfohlen

In den ver­gan­ge­nen Mona­ten gab es bereits ver­ein­zel­te Prüf­ver­fah­ren der Daten­schutz­auf­sichts­be­hör­den zur Umset­zung der “Schrems II”-Entscheidung bei Dritt­lands­über­mitt­lun­gen, ins­be­son­de­re in die USA. Nun zeich­net sich jedoch ab, dass die euro­päi­schen Daten­schutz­auf­sichts­be­hör­den in den kom­men­den Wochen mit­hil­fe von Fra­ge­bö­gen eine mas­si­ve Kam­pa­gne zur Prü­fung von Dritt­lands­über­mitt­lun­gen star­ten wer­den. Am Ende der Prü­fun­gen könn­ten zahl­rei­che Unter­sa­gungs­ver­fü­gun­gen und wei­te­re Sank­tio­nen ste­hen. Wir möch­ten Ihnen in die­sem Bei­trag daher einen Über­blick über die Hin­ter­grün­de und aktu­el­len Ent­wick­lun­gen ver­schaf­fen und Tipps zum Umfang mit den erwar­te­ten Fra­ge­bö­gen geben. 

Was ist der Anlass für die Kam­pa­gne der Aufsichtsbehörden?

Fast jährt sich die für alle weit­rei­chen­de “Schrems II”-Entscheidung des EuGHs, in der er den US-Privacy-Shield-Beschluss kipp­te. Ein Regel­werk über die Daten­über­mitt­lung zwi­schen der EU und den USA. Seit­dem müs­sen vie­le Unter­neh­men ihre bis­he­ri­ge Pra­xis der Daten­über­mitt­lung in Dritt­staa­ten über­ar­bei­ten und an die DSGVO als neue Grund­la­ge anpas­sen. Häu­fi­ge Rück­fra­gen von Unter­neh­men haben uns gezeigt, dass hier noch ein hoher Klä­rungs­be­darf besteht und es auch einer bes­se­ren Sen­si­bi­li­sie­rung sei­tens der Auf­sichts­be­hör­den bedarf. Wie genau es um die Daten­über­mitt­lun­gen in die USA steht, ist noch unge­wiss. Die Kom­mis­si­on hat noch kei­nen rechts­si­che­ren Ange­mes­sen­heits­be­schluss (Art. 45 DSGVO) vor­ge­legt. Unter­neh­men müs­sen des­we­gen selbst handeln.

Wel­che aktu­el­len Ent­wick­lun­gen gibt es?

Anfang Mai hat die por­tu­gie­si­sche Daten­schutz­auf­sichts­be­hör­de Daten­über­mitt­lun­gen im Zusam­men­hang mit IT-Sicherheitsdienstleistungen durch ein US-Unternehmen mit einer behörd­li­chen Anord­nung unter­sagt.

Die Daten­schutz­auf­sicht Ham­burg hat öffent­lich ein “Voll­zugs­de­fi­zit” bei Dritt­lands­über­mitt­lun­gen bemän­gelt und ange­kün­digt, dass in Kür­ze län­der­über­grei­fen­de Stich­pro­ben statt­fin­den wer­den.

Das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (BayL­DA) hat einem Unter­neh­men aus Mün­chen kürz­lich den Ein­satz des E‑Mail-Anbieters Mailchimp unter­sagt, weil die­ses kei­ne Prü­fung zur Daten­über­mitt­lung in die USA vor­ge­nom­men hatte.

Die Daten­schutz­be­hör­de Öster­reich dürf­te in Kür­ze über eine durch den Daten­schutz­ak­ti­vis­ten Max Schrems ein­ge­leg­te Beschwer­de wegen Dritt­lands­über­mitt­lun­gen durch Goog­le ent­schei­den. Ver­gleich­ba­re Beschwer­den wur­den von Max Schrems auch in Deutsch­land erhoben.

Die Daten­schutz­auf­sicht Rheinland-Pfalz hat eine Infor­ma­ti­ons­of­fen­si­ve zur Daten­über­mitt­lung in Dritt­län­der gestar­tet und Unter­neh­men auf­ge­for­dert umge­hend aktiv zu wer­den. Gleich­zei­tig kün­digt die Behör­de stich­pro­ben­ar­ti­ge Kon­trol­len an und stellt wei­ter­hin fest:

 “Das Grund­satz­ur­teil des Euro­päi­schen Gerichts­hofs, das soge­nann­te Schrems II-Urteil, betrifft fast jedes Unter­neh­men, jede Behör­de, Kom­mu­ne, Schu­le, Orga­ni­sa­ti­on oder Arzt­pra­xis. Denn sie ver­ar­bei­ten auto­ma­ti­siert per­so­nen­be­zo­ge­ne Daten, über­mit­teln die­se dabei – oft unbe­wusst – in Län­der außer­halb der Euro­päi­schen Uni­on bezie­hungs­wei­se des Euro­päi­schen Wirt­schafts­raums. Sie bewe­gen sich damit daten­schutz­recht­lich auf dün­nem Eis. Im Lau­fe die­ses Jahr ist es unse­re Auf­ga­be zu prü­fen, ob gege­be­nen­falls Daten­schutz­ver­ge­hen vor­lie­gen und Sank­tio­nen ver­hängt wer­den müs­sen.”

Womit ist jetzt zu rechnen?

Mit den nun erwar­te­ten Fra­ge­bö­gen ver­schär­fen die Auf­sichts­be­hör­den ihre Unter­su­chun­gen und ver­set­zen sich zugleich in die Lage, Unter­sa­gungs­ver­fü­gun­gen aus­zu­spre­chen und wei­te­re Sank­tio­nen zu ver­hän­gen.  Wenn Sie Emp­fän­ger eines Fra­ge­bo­gens wer­den soll­ten, raten wir Ihnen zu Folgendem:

  1. Sofern dem Schrei­ben kei­ne Rechts­be­leh­rung bei­liegt (sehr wahr­schein­lich), han­delt es sich nur um eine Bit­te zur Aus­kunft. Der Fra­ge­bo­gen stellt kein Ver­wal­tungs­akt der Behör­den dar. Eine Ver­pflich­tung zur Beant­wor­tung unter dem Druck von Sank­tio­nen kann es von­sei­ten der Auf­sichts­be­hör­den dann nicht geben.
  2. Die Fra­ge­bö­gen sind eine Vor­stu­fe und die­nen den Behör­den als ers­ten Über­blick für wei­te­re Unter­su­chun­gen. Es ist jedoch sehr wahr­schein­lich, dass auf die Fra­ge­bö­gen wei­te­re Maß­nah­men, ins­be­son­de­re Unter­sa­gungs­ver­fü­gun­gen bei ver­meint­lich unzu­läs­si­gen Dritt­lands­über­mitt­lun­gen fol­gen. Aus die­sem Grund soll­ten die Fra­ge­bö­gen stets mit Bedacht beant­wor­tet werden.
  3. Holen Sie sich in jedem Fall anwalt­li­che Unter­stüt­zung, wenn Sie bis­her kei­nen oder wenig Kon­takt mit der für Sie zustän­di­gen Auf­sichts­be­hör­de hat­ten oder, wenn Sie sich unsi­cher im Umgang mit der Auf­sichts­be­hör­de füh­len. Wir ver­fü­gen über umfang­rei­che Erfah­rung im Umgang mit den deut­schen und euro­päi­schen Auf­sichts­be­hör­den und unter­stüt­zen Sie bei Bedarf gerne.
  4. In wel­chem Umfang mit Unter­sa­gungs­ver­fü­gun­gen und wei­te­ren Sank­tio­nen wie Buß­gel­dern zu rech­nen ist, ist noch unklar. Um jedoch nega­ti­ven Kon­se­quen­zen vor­zu­beu­gen, soll­ten Ver­ant­wort­li­che umge­hend ihre Dritt­lands­über­mitt­lun­gen prü­fen, soweit dies noch nicht gesche­hen ist und die­se Prü­fun­gen doku­men­tie­ren. Soll­ten die Auf­sichts­be­hör­den zu einem spä­te­ren Zeit­punkt trotz der erfolg­ten Prü­fung einen Ver­stoß anneh­men, kann die doku­men­tier­te Prü­fung sank­ti­ons­mil­dernd wir­ken. Dies stel­len die Auf­sichts­be­hör­den aus­drück­lich fest.

Wie geht es weiter?

Lei­der muss jetzt erst ein­mal abge­war­tet wer­den, wie inten­siv die Auf­sichts­be­hör­den ihre Unter­su­chun­gen durch­füh­ren und mit ihren Ergeb­nis­sen wei­ter ver­fah­ren. Von der poli­ti­schen Ebe­ne ist der­zeit nicht zu erwar­ten, dass es zeit­nah zu mehr Rechts­si­cher­heit schaf­fen­den Rege­lun­gen kommt. Des­we­gen müs­sen Unter­neh­men jetzt über eine Umstruk­tu­rie­rung ihrer Pro­zes­se nach­den­ken. Micro­soft hat eben wegen die­ser unsi­che­ren Daten­über­mitt­lung zwi­schen den USA und der EU vor Kur­zem ver­spro­chen, Daten aus der EU nur auf Ser­vern in der EU ver­ar­bei­ten zu wol­len.

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.