Fast ein Jahr nach dem „Schrems II“-Urteil durch den Europäischen Gerichtshof beginnen die Mühlen einiger deutscher Datenschutz-Aufsichtsbehörden zu mahlen. Deutsche Unternehmen müssen nun damit rechnen, in den kommenden Wochen auf Datenübermittlungen in Staaten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraumes kontrolliert zu werden. Die breit angelegte Kontrolle hat die Durchsetzung der Anforderungen aus der Entscheidung „Schrems II“ vom 16.06.2020 zum Ziel.
In ihrem Newsletter vom 01.06.2021 hat die Landesbeauftragte für den Datenschutz (LfD) Niedersachen Barbara Thiel angekündigt, dass sich Niedersachsen an einer länderübergreifenden Kontrolle von Datenübermittlungen an Unternehmen außerhalb der EU oder des EWR beteiligen wird.
“Es dürfte offensichtlich sein, dass sich die Kontrolle der Aufsichtsbehörden primär auf die Datenübermittlung in die USA konzentriert.” – Eileen Binder
Ziel der Kontrolle ist die Umsetzung der Anforderungen aus dem „Schrems II“-Urteil vom 16.06.2021 (Rechtssache C‑311/18). Darin hatte der EuGH festgestellt, dass eine Datenübermittlung in die USA auf Grundlage des Privacy Shield nicht länger erfolgen kann (wir haben damals in unserem Beitrag „EuGH kippt EU-US-Privacy Shield“ berichtet). Die Verwendung der Standarddatenschutzklauseln für Datenübermittlungen in Drittstaaten können weiterhin verwendet werden, allerdings unter dem Vorbehalt der Verwendung wirksamer zusätzlicher Maßnahmen, wenn der Empfängerstaat kein angemessenes Datenschutzniveau für die übermittelten personenbezogenen Daten gewährleisten kann. Es dürfte offensichtlich sein, dass sich die Kontrolle der Aufsichtsbehörden primär auf die Datenübermittlung in die USA konzentriert. Wurde doch hier explizit durch die Aufsichtsbehörden festgestellt, dass auch die Standarddatenschutzklauseln aufgrund des US CLOUD Act keinen wirksamen Schutz vor Zugriffen durch US-Behörden bieten können.
Die Kontrolle erfolgt anhand von Fragebögen, u.a. zu den Themen Mail- und Web-Hosting. Die Fragebögen sind auf der Website der LfD Niedersachsen veröffentlicht.
An der Kontrolle beteiligen sich ebenfalls die Landesdatenschutzbehörden aus Baden-Württemberg, Bayern, Berlin, Bremen, Brandenburg, Hamburg, Rheinland-Pfalz und dem Saarland.
Die Pressemeldung der LfD Niedersachen finden Sie, wenn Sie diesem Link folgen.
Fazit
Wie die LfD Niedersachen Barbara Thiel richtig formuliert, liegt es an den Verantwortlichen sich mit den neuen Anforderungen ernsthaft auseinanderzusetzen und nach Lösungen zu suchen. Verantwortliche sind erneut angehalten, die sich aus dem Schrems II-Urteil ergebenden Folgen ernst zu nehmen und zu reagieren. Wer eine Website betreibt, einen E‑Mail-Service nutzt oder ein Bewerberportal führt, muss damit beginnen, sich mit den technischen Gegebenheiten auseinanderzusetzen und Datenübermittlungen in Drittstaaten, insb. in die USA, zu identifizieren. Die Fragebögen bieten einen guten Ansatz, die Problemfelder zu überblicken und mögliche Maßnahmen einzuleiten.
Was Sie noch interessieren könnte:
Neue Orientierungshilfe zu Cookie-Bannern
Kurz vor Weihnachten hat die Datenschutzkonferenz noch ein besonderes Geschenk dagelassen: Die neue Orientierungshilfe zu Cookie-Bannern. Wir haben zusammengefasst, […]
Das Datenschutz-Postfach – Wer darf Zugriff haben?
An vielen Stellen fordern die DSGVO und das BDSG die Bekanntgabe der Kontaktdaten des Datenschutzbeauftragten. Zu jedem guten Datenschutz-Management […]
Das neue TTDSG
Das Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien („TTDSG“) tritt […]
Autorin des Artikels: