Fast ein Jahr nach dem „Schrems II“-Urteil durch den Euro­päi­schen Gerichts­hof begin­nen die Müh­len eini­ger deut­scher Datenschutz-Aufsichtsbehörden zu mah­len. Deut­sche Unter­neh­men müs­sen nun damit rech­nen, in den kom­men­den Wochen auf Daten­über­mitt­lun­gen in Staa­ten außer­halb der Euro­päi­schen Uni­on oder des Euro­päi­schen Wirt­schafts­rau­mes kon­trol­liert zu wer­den. Die breit ange­leg­te Kon­trol­le hat die Durch­set­zung der Anfor­de­run­gen aus der Ent­schei­dung „Schrems II“ vom 16.06.2020 zum Ziel.

In ihrem News­let­ter vom 01.06.2021 hat die Lan­des­be­auf­trag­te für den Daten­schutz (LfD) Nie­der­sa­chen Bar­ba­ra Thiel ange­kün­digt, dass sich Nie­der­sach­sen an einer län­der­über­grei­fen­den Kon­trol­le von Daten­über­mitt­lun­gen an Unter­neh­men außer­halb der EU oder des EWR betei­li­gen wird.

Es dürf­te offen­sicht­lich sein, dass sich die Kon­trol­le der Auf­sichts­be­hör­den pri­mär auf die Daten­über­mitt­lung in die USA kon­zen­triert.” – Eileen Binder

Ziel der Kon­trol­le ist die Umset­zung der Anfor­de­run­gen aus dem „Schrems II“-Urteil vom 16.06.2021 (Rechts­sa­che C‑311/18). Dar­in hat­te der EuGH fest­ge­stellt, dass eine Daten­über­mitt­lung in die USA auf Grund­la­ge des Pri­va­cy Shield nicht län­ger erfol­gen kann (wir haben damals in unse­rem Bei­trag „EuGH kippt EU-US-Privacy Shield“ berich­tet). Die Ver­wen­dung der Stan­dard­da­ten­schutz­klau­seln für Daten­über­mitt­lun­gen in Dritt­staa­ten kön­nen wei­ter­hin ver­wen­det wer­den, aller­dings unter dem Vor­be­halt der Ver­wen­dung wirk­sa­mer zusätz­li­cher Maß­nah­men, wenn der Emp­fän­ger­staat kein ange­mes­se­nes Daten­schutz­ni­veau für die über­mit­tel­ten per­so­nen­be­zo­ge­nen Daten gewähr­leis­ten kann. Es dürf­te offen­sicht­lich sein, dass sich die Kon­trol­le der Auf­sichts­be­hör­den pri­mär auf die Daten­über­mitt­lung in die USA kon­zen­triert. Wur­de doch hier expli­zit durch die Auf­sichts­be­hör­den fest­ge­stellt, dass auch die Stan­dard­da­ten­schutz­klau­seln auf­grund des US CLOUD Act kei­nen wirk­sa­men Schutz vor Zugrif­fen durch US-Behörden bie­ten können.

Die Kon­trol­le erfolgt anhand von Fra­ge­bö­gen, u.a. zu den The­men Mail- und Web-Hosting. Die Fra­ge­bö­gen sind auf der Web­site der LfD Nie­der­sach­sen ver­öf­fent­licht.

An der Kon­trol­le betei­li­gen sich eben­falls die Lan­des­da­ten­schutz­be­hör­den aus Baden-Württemberg, Bay­ern, Ber­lin, Bre­men, Bran­den­burg, Ham­burg, Rheinland-Pfalz und dem Saarland.

Die Pres­se­mel­dung der LfD Nie­der­sa­chen fin­den Sie, wenn Sie die­sem Link folgen.

Fazit

Wie die LfD Nie­der­sa­chen Bar­ba­ra Thiel rich­tig for­mu­liert, liegt es an den Ver­ant­wort­li­chen sich mit den neu­en Anfor­de­run­gen ernst­haft aus­ein­an­der­zu­set­zen und nach Lösun­gen zu suchen. Ver­ant­wort­li­che sind erneut ange­hal­ten, die sich aus dem Schrems II-Urteil erge­ben­den Fol­gen ernst zu neh­men und zu reagie­ren. Wer eine Web­site betreibt, einen E‑Mail-Service nutzt oder ein Bewer­ber­por­tal führt, muss damit begin­nen, sich mit den tech­ni­schen Gege­ben­hei­ten aus­ein­an­der­zu­set­zen und Daten­über­mitt­lun­gen in Dritt­staa­ten, insb. in die USA, zu iden­ti­fi­zie­ren. Die Fra­ge­bö­gen bie­ten einen guten Ansatz, die Pro­blem­fel­der zu über­bli­cken und mög­li­che Maß­nah­men einzuleiten.

Was Sie noch interessieren könnte:

Autorin des Artikels:

Eileen Binder

Wirtschaftsjuristin LL.B. & Beraterin im Datenschutz