Inter­na­tio­na­le Daten­trans­fers: Daten­schutz­auf­sichts­be­hör­den star­ten Prüf­ak­ti­on und ver­schi­cken Fragebögen

Unter­sa­gungs­ver­fü­gun­gen und Buß­gel­der drohen

Meh­re­re deut­sche Daten­schutz­auf­sichts­be­hör­den haben aktu­ell ange­kün­digt, dass im Rah­men einer län­der­über­grei­fen­den Kon­trol­le Daten­über­mitt­lun­gen durch Unter­neh­men in Staa­ten außer­halb der EU oder des Euro­päi­schen Wirt­schafts­raums (Dritt­staa­ten) über­prüft wer­den sol­len. An der Prü­fung, die mit­tels Fra­ge­bö­gen erfolgt, sind min­des­tens Behör­den aus Bay­ernBaden-WürttembergBer­linHam­burgNie­der­sach­senRheinland-PfalzBran­den­burg und dem Saar­land  betei­ligt. Die Prü­fung dient zur Durch­set­zung der durch den EuGH in der “Schrems II”-Entscheidung  vom 16. Juli 2020 (Rs. C‑311/18) auf­ge­stell­ten Anfor­de­run­gen an inter­na­tio­na­le Datentransfers.

Hin­ter­grund: die Kern­aus­sa­gen der “Schrems II”-Entscheidung

Mit sei­ner “Schrems II”-Entscheidung im ver­gan­ge­nen Som­mer hat der EuGH die Hür­de für Daten­über­mitt­lun­gen in Dritt­staa­ten (insb. die USA) deut­lich nach oben ver­la­gert, da er nicht nur das EU-US Pri­va­cy Shield als Ange­mes­sen­heits­be­schluss für einen Daten­aus­tausch zwi­schen der EU und den USA für ungül­tig erklärt hat, son­dern zugleich auch hohe Anfor­de­run­gen an den Ein­satz von Stan­dard­ver­trags­klau­seln als Basis für eine Daten­über­mitt­lung in Dritt­staa­ten gestellt hat. Ver­ant­wort­li­che müs­sen dem­nach bei der Ver­wen­dung von Stan­dard­ver­trags­klau­seln zunächst prü­fen, ob die Ver­ein­ba­rung der Klau­seln ein hin­rei­chen­des Daten­schutz­ni­veau gewähr­leis­tet. Maß­stab hier­für ist das euro­päi­sche Recht, ins­be­son­de­re die EU-Grundrechtecharta. Ist die Wah­rung eines ange­mes­se­nen Daten­schutz­ni­veaus nicht aus­rei­chend, müs­sen zusätz­li­che Garan­tien geschaf­fen wer­den, was ins­be­son­de­re bei Daten­über­mitt­lun­gen in die USA wegen der dor­ti­gen Ein­griffs­be­fug­nis­se der Sicher­heits­be­hör­den nur schwer mög­lich ist.

Vor­ge­hens­wei­se der Datenschutzaufsichtsbehörden

Die Daten­schutz­auf­sichts­be­hör­den der Län­der tre­ten aktu­ell auf Basis gemein­sa­mer Fra­gen­ka­ta­lo­ge an Unter­neh­men her­an, um die Umset­zung der “Schrems II”-Entscheidung durch Ver­ant­wort­li­che zu prü­fen. Die der­zeit ver­öf­fent­lich­ten Fra­ge­bö­gen kon­zen­trie­ren sich dabei auf die fol­gen­den Bereiche:

Den ein­zel­nen Auf­sichts­be­hör­den steht jedoch ein indi­vi­du­el­les Vor­ge­hen offen. So kön­nen sie ent­schei­den, auf wel­che The­men­be­rei­che sie ihre Prü­fung erstre­cken und wel­che Fra­ge­bö­gen sie in wel­chem Umfang an Ver­ant­wort­li­che ver­schi­cken. Bemer­kens­wert ist jedoch, dass die Daten­schutz­auf­sichts­be­hör­den Dritt­lands­über­mitt­lun­gen bei Video­kon­fe­renz­diens­ten und ande­ren Kol­la­bo­ra­ti­ons­lö­sun­gen  – ver­mut­lich vor dem Hin­ter­grund der Corona-Pandemie – schein­bar zunächst nicht dezi­diert prü­fen wol­len.

Aus­ge­hend von unse­rer Ana­ly­se der Fra­ge­bö­gen lässt sich dar­über hin­aus fest­hal­ten, dass sich die­se – ähn­lich wie bei dem zuletzt durch die Daten­schutz­auf­sicht Ham­burg ver­sand­ten Fra­ge­bo­gen  zu Office 365  – inhalt­lich dar­auf beschrän­ken, in Erfah­rung zu brin­gen, ob der Ver­ant­wort­li­che den Emp­feh­lun­gen der Auf­sichts­be­hör­den zur Umset­zung der “Schrems II”-Entscheidung nach­ge­kom­men ist. Dies soll­ten Ver­ant­wort­li­che jedoch nicht zum Anlass für eine Unter­schät­zung der Fra­ge­bö­gen nehmen.

Wel­che Kon­se­quen­zen müs­sen Unter­neh­men fürch­ten und was kön­nen Unter­neh­men nun tun?

Fol­ge der jetzt ein­ge­lei­te­ten Prü­fun­gen kön­nen, wie die Daten­schutz­auf­sicht Rheinland-Pfalz ankün­digt, ins­be­son­de­re Unter­sa­gungs­ver­fü­gun­gen, aber auch wei­te­re Sank­tio­nen, wie z.B. Buß­gel­der, sein . Die “Schrems II”-Entscheidung des EuGHs hat inso­weit für Dritt­lands­über­mitt­lun­gen neue Grund­sät­ze fest­ge­legt, die nahe­zu jedes Unter­neh­men tan­gie­ren, da fast jedes Unter­neh­men – sei es bewusst oder unbe­wusst – per­so­nen­be­zo­ge­ne Daten in Dritt­staa­ten übermittelt.

Emp­fän­gern eines Fra­ge­bo­gens ist daher zu raten:

  • Liegt dem Schrei­ben kei­ne Rechts­mit­tel­be­leh­rung vor  (wovon nach jet­zi­gem Kennt­nis­stand aus­zu­ge­hen ist), han­delt es sich nur um eine Bit­te zur Aus­kunft. Dem Fra­ge­bo­gen kommt dann kei­ne Ver­wal­tungs­akt­qua­li­tät zu. Eine Ver­pflich­tung zur Beant­wor­tung unter dem Druck von Sank­tio­nen kann es von­sei­ten der Auf­sichts­be­hör­den dann nicht geben.
  • Die Fra­ge­bö­gen die­nen einem ers­ten Über­blick. Sehr wahr­schein­lich sind aber wei­te­re Maß­nah­men, ins­be­son­de­re Unter­sa­gungs­ver­fü­gun­gen. Vor die­sem Hin­ter­grund soll­ten die Fra­ge­bö­gen stets mit Bedacht beant­wor­tet werden.
  • Stan­den Sie bis­her nicht oder nur sel­ten in Kon­takt mit der zustän­di­gen Auf­sichts­be­hör­de oder füh­len Sie sich unsi­cher im Umgang mit der Auf­sichts­be­hör­de, las­sen Sie sich in jedem Fall anwalt­lich unter­stüt­zen. Wir ver­fü­gen über umfang­rei­che Erfah­rung im Umgang mit den deut­schen und euro­päi­schen Auf­sichts­be­hör­den und unter­stüt­zen Sie bei Bedarf gerne.
  • Auch Unter­neh­men, die bis­lang kei­nen Fra­ge­bo­gen erhal­ten haben, sind vor dem Hin­ter­grund von Unter­sa­gungs­ver­fü­gun­gen und wei­te­ren Sank­tio­nen wie Buß­gel­dern gut bera­ten, umge­hend ihre Dritt­lands­über­mitt­lun­gen zu über­prü­fen, soweit dies noch nicht gesche­hen ist, und die­se Prü­fun­gen zu doku­men­tie­ren. Soll­ten die Auf­sichts­be­hör­den zu einem spä­te­ren Zeit­punkt trotz der erfolg­ten Prü­fung einen Ver­stoß anneh­men, kann die doku­men­tier­te Prü­fung sank­ti­ons­mil­dernd wir­ken. Dies stel­len die Auf­sichts­be­hör­den aus­drück­lich fest.

Soll­ten Sie einen Fra­ge­bo­gen erhal­ten haben oder daten­schutz­recht­li­che Unter­stüt­zung bei Daten­trans­fers in Dritt­staa­ten benö­ti­gen, neh­men Sie ger­ne Kon­takt mit dem Co-Head unse­rer Digi­tal Busi­ness Unit, Herrn Rechts­an­walt Ste­fan Hes­sel, auf.

Wei­te­re Infor­ma­tio­nen zur “Schrems II”-Entscheidung des EuGHs und zu mög­li­chen Maß­nah­men durch die Auf­sichts­be­hör­den fin­den Sie auch in unse­rem Bei­trag “Daten­trans­fer in Dritt­län­der? – Sofort­maß­nah­men drin­gend emp­foh­len”.

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.