Internationale Datentransfers: Datenschutzaufsichtsbehörden starten Prüfaktion und verschicken Fragebögen

Stefan Hessel

Untersagungsverfügungen und Bußgelder drohen

Mehrere deutsche Datenschutzaufsichtsbehörden haben aktuell angekündigt, dass im Rahmen einer länderübergreifenden Kontrolle Datenübermittlungen durch Unternehmen in Staaten außerhalb der EU oder des Europäischen Wirtschaftsraums (Drittstaaten) überprüft werden sollen. An der Prüfung, die mittels Fragebögen erfolgt, sind mindestens Behörden aus Bayern, Baden-Württemberg, Berlin, Hamburg, Niedersachsen, Rheinland-Pfalz, Brandenburg und dem Saarland  beteiligt. Die Prüfung dient zur Durchsetzung der durch den EuGH in der "Schrems II"-Entscheidung  vom 16. Juli 2020 (Rs. C-311/18) aufgestellten Anforderungen an internationale Datentransfers.

Hintergrund: die Kernaussagen der "Schrems II"-Entscheidung

Mit seiner "Schrems II"-Entscheidung im vergangenen Sommer hat der EuGH die Hürde für Datenübermittlungen in Drittstaaten (insb. die USA) deutlich nach oben verlagert, da er nicht nur das EU-US Privacy Shield als Angemessenheitsbeschluss für einen Datenaustausch zwischen der EU und den USA für ungültig erklärt hat, sondern zugleich auch hohe Anforderungen an den Einsatz von Standardvertragsklauseln als Basis für eine Datenübermittlung in Drittstaaten gestellt hat. Verantwortliche müssen demnach bei der Verwendung von Standardvertragsklauseln zunächst prüfen, ob die Vereinbarung der Klauseln ein hinreichendes Datenschutzniveau gewährleistet. Maßstab hierfür ist das europäische Recht, insbesondere die EU-Grundrechtecharta. Ist die Wahrung eines angemessenen Datenschutzniveaus nicht ausreichend, müssen zusätzliche Garantien geschaffen werden, was insbesondere bei Datenübermittlungen in die USA wegen der dortigen Eingriffsbefugnisse der Sicherheitsbehörden nur schwer möglich ist.

Vorgehensweise der Datenschutzaufsichtsbehörden

Die Datenschutzaufsichtsbehörden der Länder treten aktuell auf Basis gemeinsamer Fragenkataloge an Unternehmen heran, um die Umsetzung der "Schrems II"-Entscheidung durch Verantwortliche zu prüfen. Die derzeit veröffentlichten Fragebögen konzentrieren sich dabei auf die folgenden Bereiche:

Den einzelnen Aufsichtsbehörden steht jedoch ein individuelles Vorgehen offen. So können sie entscheiden, auf welche Themenbereiche sie ihre Prüfung erstrecken und welche Fragebögen sie in welchem Umfang an Verantwortliche verschicken. Bemerkenswert ist jedoch, dass die Datenschutzaufsichtsbehörden Drittlandsübermittlungen bei Videokonferenzdiensten und anderen Kollaborationslösungen  – vermutlich vor dem Hintergrund der Corona-Pandemie – scheinbar zunächst nicht dezidiert prüfen wollen.

Ausgehend von unserer Analyse der Fragebögen lässt sich darüber hinaus festhalten, dass sich diese – ähnlich wie bei dem zuletzt durch die Datenschutzaufsicht Hamburg versandten Fragebogen  zu Office 365  – inhaltlich darauf beschränken, in Erfahrung zu bringen, ob der Verantwortliche den Empfehlungen der Aufsichtsbehörden zur Umsetzung der "Schrems II"-Entscheidung nachgekommen ist. Dies sollten Verantwortliche jedoch nicht zum Anlass für eine Unterschätzung der Fragebögen nehmen.

Welche Konsequenzen müssen Unternehmen fürchten und was können Unternehmen nun tun?

Folge der jetzt eingeleiteten Prüfungen können, wie die Datenschutzaufsicht Rheinland-Pfalz ankündigt, insbesondere Untersagungsverfügungen, aber auch weitere Sanktionen, wie z.B. Bußgelder, sein . Die "Schrems II"-Entscheidung des EuGHs hat insoweit für Drittlandsübermittlungen neue Grundsätze festgelegt, die nahezu jedes Unternehmen tangieren, da fast jedes Unternehmen – sei es bewusst oder unbewusst – personenbezogene Daten in Drittstaaten übermittelt.

Empfängern eines Fragebogens ist daher zu raten:

  • Liegt dem Schreiben keine Rechtsmittelbelehrung vor  (wovon nach jetzigem Kenntnisstand auszugehen ist), handelt es sich nur um eine Bitte zur Auskunft. Dem Fragebogen kommt dann keine Verwaltungsaktqualität zu. Eine Verpflichtung zur Beantwortung unter dem Druck von Sanktionen kann es vonseiten der Aufsichtsbehörden dann nicht geben.
  • Die Fragebögen dienen einem ersten Überblick. Sehr wahrscheinlich sind aber weitere Maßnahmen, insbesondere Untersagungsverfügungen. Vor diesem Hintergrund sollten die Fragebögen stets mit Bedacht beantwortet werden.
  • Standen Sie bisher nicht oder nur selten in Kontakt mit der zuständigen Aufsichtsbehörde oder fühlen Sie sich unsicher im Umgang mit der Aufsichtsbehörde, lassen Sie sich in jedem Fall anwaltlich unterstützen. Wir verfügen über umfangreiche Erfahrung im Umgang mit den deutschen und europäischen Aufsichtsbehörden und unterstützen Sie bei Bedarf gerne.
  • Auch Unternehmen, die bislang keinen Fragebogen erhalten haben, sind vor dem Hintergrund von Untersagungsverfügungen und weiteren Sanktionen wie Bußgeldern gut beraten, umgehend ihre Drittlandsübermittlungen zu überprüfen, soweit dies noch nicht geschehen ist, und diese Prüfungen zu dokumentieren. Sollten die Aufsichtsbehörden zu einem späteren Zeitpunkt trotz der erfolgten Prüfung einen Verstoß annehmen, kann die dokumentierte Prüfung sanktionsmildernd wirken. Dies stellen die Aufsichtsbehörden ausdrücklich fest.

Sollten Sie einen Fragebogen erhalten haben oder datenschutzrechtliche Unterstützung bei Datentransfers in Drittstaaten benötigen, nehmen Sie gerne Kontakt mit dem Co-Head unserer Digital Business Unit, Herrn Rechtsanwalt Stefan Hessel, auf.

Weitere Informationen zur "Schrems II"-Entscheidung des EuGHs und zu möglichen Maßnahmen durch die Aufsichtsbehörden finden Sie auch in unserem Beitrag "Datentransfer in Drittländer? – Sofortmaßnahmen dringend empfohlen".

[Juni 2021]