Fast ein Jahr nach dem „Schrems II“-Urteil durch den Europäischen Gerichtshof beginnen die Mühlen einiger deutscher Datenschutz-Aufsichtsbehörden zu mahlen. Deutsche Unternehmen müssen nun damit rechnen, in den kommenden Wochen auf Datenübermittlungen in Staaten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraumes kontrolliert zu werden. Die breit angelegte Kontrolle hat die Durchsetzung der Anforderungen aus der Entscheidung „Schrems II“ vom 16.06.2020 zum Ziel.
In ihrem Newsletter vom 01.06.2021 hat die Landesbeauftragte für den Datenschutz (LfD) Niedersachen Barbara Thiel angekündigt, dass sich Niedersachsen an einer länderübergreifenden Kontrolle von Datenübermittlungen an Unternehmen außerhalb der EU oder des EWR beteiligen wird.
“Es dürfte offensichtlich sein, dass sich die Kontrolle der Aufsichtsbehörden primär auf die Datenübermittlung in die USA konzentriert.” – Eileen Binder
Ziel der Kontrolle ist die Umsetzung der Anforderungen aus dem „Schrems II“-Urteil vom 16.06.2021 (Rechtssache C‑311/18). Darin hatte der EuGH festgestellt, dass eine Datenübermittlung in die USA auf Grundlage des Privacy Shield nicht länger erfolgen kann (wir haben damals in unserem Beitrag „EuGH kippt EU-US-Privacy Shield“ berichtet). Die Verwendung der Standarddatenschutzklauseln für Datenübermittlungen in Drittstaaten können weiterhin verwendet werden, allerdings unter dem Vorbehalt der Verwendung wirksamer zusätzlicher Maßnahmen, wenn der Empfängerstaat kein angemessenes Datenschutzniveau für die übermittelten personenbezogenen Daten gewährleisten kann. Es dürfte offensichtlich sein, dass sich die Kontrolle der Aufsichtsbehörden primär auf die Datenübermittlung in die USA konzentriert. Wurde doch hier explizit durch die Aufsichtsbehörden festgestellt, dass auch die Standarddatenschutzklauseln aufgrund des US CLOUD Act keinen wirksamen Schutz vor Zugriffen durch US-Behörden bieten können.
Die Kontrolle erfolgt anhand von Fragebögen, u.a. zu den Themen Mail- und Web-Hosting. Die Fragebögen sind auf der Website der LfD Niedersachsen veröffentlicht.
An der Kontrolle beteiligen sich ebenfalls die Landesdatenschutzbehörden aus Baden-Württemberg, Bayern, Berlin, Bremen, Brandenburg, Hamburg, Rheinland-Pfalz und dem Saarland.
Die Pressemeldung der LfD Niedersachen finden Sie, wenn Sie diesem Link folgen.
Fazit
Wie die LfD Niedersachen Barbara Thiel richtig formuliert, liegt es an den Verantwortlichen sich mit den neuen Anforderungen ernsthaft auseinanderzusetzen und nach Lösungen zu suchen. Verantwortliche sind erneut angehalten, die sich aus dem Schrems II-Urteil ergebenden Folgen ernst zu nehmen und zu reagieren. Wer eine Website betreibt, einen E‑Mail-Service nutzt oder ein Bewerberportal führt, muss damit beginnen, sich mit den technischen Gegebenheiten auseinanderzusetzen und Datenübermittlungen in Drittstaaten, insb. in die USA, zu identifizieren. Die Fragebögen bieten einen guten Ansatz, die Problemfelder zu überblicken und mögliche Maßnahmen einzuleiten.
Was Sie noch interessieren könnte:
Einwilligung – Drahtseilakt zwischen rechtlicher Ausgestaltung und praktischer Handhabung
Es begegnet uns nahezu alltäglich – das Erfordernis der Einwilligung. Im beruflichen wie auch im privaten Kontext. In der datenschutzrechtlichen […]
Interne Mitteilungen über Beschäftigte
Manche Dinge sind so trivial, man macht sie einfach. Aus Nettigkeit, aus Rücksicht, aus Freude, weil man eben muss […]
EU-US Data Privacy Framework – was lange währt wird endlich gut?
Am 10.07.2023 verabschiedete die EU-Kommission den neuen Angemessenheitsbeschluss für die USA – das Transatlantic Data Privacy Framework, kurz TADPF. […]