Fast ein Jahr nach dem „Schrems II“-Urteil durch den Europäischen Gerichtshof beginnen die Mühlen einiger deutscher Datenschutz-Aufsichtsbehörden zu mahlen. Deutsche Unternehmen müssen nun damit rechnen, in den kommenden Wochen auf Datenübermittlungen in Staaten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraumes kontrolliert zu werden. Die breit angelegte Kontrolle hat die Durchsetzung der Anforderungen aus der Entscheidung „Schrems II“ vom 16.06.2020 zum Ziel.
In ihrem Newsletter vom 01.06.2021 hat die Landesbeauftragte für den Datenschutz (LfD) Niedersachen Barbara Thiel angekündigt, dass sich Niedersachsen an einer länderübergreifenden Kontrolle von Datenübermittlungen an Unternehmen außerhalb der EU oder des EWR beteiligen wird.
“Es dürfte offensichtlich sein, dass sich die Kontrolle der Aufsichtsbehörden primär auf die Datenübermittlung in die USA konzentriert.” – Eileen Binder
Ziel der Kontrolle ist die Umsetzung der Anforderungen aus dem „Schrems II“-Urteil vom 16.06.2021 (Rechtssache C‑311/18). Darin hatte der EuGH festgestellt, dass eine Datenübermittlung in die USA auf Grundlage des Privacy Shield nicht länger erfolgen kann (wir haben damals in unserem Beitrag „EuGH kippt EU-US-Privacy Shield“ berichtet). Die Verwendung der Standarddatenschutzklauseln für Datenübermittlungen in Drittstaaten können weiterhin verwendet werden, allerdings unter dem Vorbehalt der Verwendung wirksamer zusätzlicher Maßnahmen, wenn der Empfängerstaat kein angemessenes Datenschutzniveau für die übermittelten personenbezogenen Daten gewährleisten kann. Es dürfte offensichtlich sein, dass sich die Kontrolle der Aufsichtsbehörden primär auf die Datenübermittlung in die USA konzentriert. Wurde doch hier explizit durch die Aufsichtsbehörden festgestellt, dass auch die Standarddatenschutzklauseln aufgrund des US CLOUD Act keinen wirksamen Schutz vor Zugriffen durch US-Behörden bieten können.
Die Kontrolle erfolgt anhand von Fragebögen, u.a. zu den Themen Mail- und Web-Hosting. Die Fragebögen sind auf der Website der LfD Niedersachsen veröffentlicht.
An der Kontrolle beteiligen sich ebenfalls die Landesdatenschutzbehörden aus Baden-Württemberg, Bayern, Berlin, Bremen, Brandenburg, Hamburg, Rheinland-Pfalz und dem Saarland.
Die Pressemeldung der LfD Niedersachen finden Sie, wenn Sie diesem Link folgen.
Fazit
Wie die LfD Niedersachen Barbara Thiel richtig formuliert, liegt es an den Verantwortlichen sich mit den neuen Anforderungen ernsthaft auseinanderzusetzen und nach Lösungen zu suchen. Verantwortliche sind erneut angehalten, die sich aus dem Schrems II-Urteil ergebenden Folgen ernst zu nehmen und zu reagieren. Wer eine Website betreibt, einen E‑Mail-Service nutzt oder ein Bewerberportal führt, muss damit beginnen, sich mit den technischen Gegebenheiten auseinanderzusetzen und Datenübermittlungen in Drittstaaten, insb. in die USA, zu identifizieren. Die Fragebögen bieten einen guten Ansatz, die Problemfelder zu überblicken und mögliche Maßnahmen einzuleiten.
Was Sie noch interessieren könnte:
Die Haftung von Verantwortlichen, Gemeinsam Verantwortlichen und Auftragsverarbeitern
Die Funktion als Verantwortlicher, gemeinsam Verantwortlicher oder Auftragsverarbeiter ist für Unternehmen vor allem in Haftungssituationen rund um den Datenschutz […]
Die Erstellung eines Löschkonzepts – das gilt es zu beachten!
In der DSGVO finden sich an einigen Stellen Verpflichtungen zur Löschung personenbezogener Daten. Darunter beispielsweise das Recht auf Löschung in […]
Künstliche Intelligenz und Datenschutz – woran Verantwortliche im Unternehmen denken sollten
Laut dem statistischen Bundesamt nutzen Unternehmen Künstliche Intelligenz (KI) am häufigsten zur Spracherkennung, gefolgt von der Automatisierung von Arbeitsabläufen oder […]