Fast ein Jahr nach dem „Schrems II“-Urteil durch den Europäischen Gerichtshof beginnen die Mühlen einiger deutscher Datenschutz-Aufsichtsbehörden zu mahlen. Deutsche Unternehmen müssen nun damit rechnen, in den kommenden Wochen auf Datenübermittlungen in Staaten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraumes kontrolliert zu werden. Die breit angelegte Kontrolle hat die Durchsetzung der Anforderungen aus der Entscheidung „Schrems II“ vom 16.06.2020 zum Ziel.
In ihrem Newsletter vom 01.06.2021 hat die Landesbeauftragte für den Datenschutz (LfD) Niedersachen Barbara Thiel angekündigt, dass sich Niedersachsen an einer länderübergreifenden Kontrolle von Datenübermittlungen an Unternehmen außerhalb der EU oder des EWR beteiligen wird.
“Es dürfte offensichtlich sein, dass sich die Kontrolle der Aufsichtsbehörden primär auf die Datenübermittlung in die USA konzentriert.” – Eileen Binder
Ziel der Kontrolle ist die Umsetzung der Anforderungen aus dem „Schrems II“-Urteil vom 16.06.2021 (Rechtssache C‑311/18). Darin hatte der EuGH festgestellt, dass eine Datenübermittlung in die USA auf Grundlage des Privacy Shield nicht länger erfolgen kann (wir haben damals in unserem Beitrag „EuGH kippt EU-US-Privacy Shield“ berichtet). Die Verwendung der Standarddatenschutzklauseln für Datenübermittlungen in Drittstaaten können weiterhin verwendet werden, allerdings unter dem Vorbehalt der Verwendung wirksamer zusätzlicher Maßnahmen, wenn der Empfängerstaat kein angemessenes Datenschutzniveau für die übermittelten personenbezogenen Daten gewährleisten kann. Es dürfte offensichtlich sein, dass sich die Kontrolle der Aufsichtsbehörden primär auf die Datenübermittlung in die USA konzentriert. Wurde doch hier explizit durch die Aufsichtsbehörden festgestellt, dass auch die Standarddatenschutzklauseln aufgrund des US CLOUD Act keinen wirksamen Schutz vor Zugriffen durch US-Behörden bieten können.
Die Kontrolle erfolgt anhand von Fragebögen, u.a. zu den Themen Mail- und Web-Hosting. Die Fragebögen sind auf der Website der LfD Niedersachsen veröffentlicht.
An der Kontrolle beteiligen sich ebenfalls die Landesdatenschutzbehörden aus Baden-Württemberg, Bayern, Berlin, Bremen, Brandenburg, Hamburg, Rheinland-Pfalz und dem Saarland.
Die Pressemeldung der LfD Niedersachen finden Sie, wenn Sie diesem Link folgen.
Fazit
Wie die LfD Niedersachen Barbara Thiel richtig formuliert, liegt es an den Verantwortlichen sich mit den neuen Anforderungen ernsthaft auseinanderzusetzen und nach Lösungen zu suchen. Verantwortliche sind erneut angehalten, die sich aus dem Schrems II-Urteil ergebenden Folgen ernst zu nehmen und zu reagieren. Wer eine Website betreibt, einen E‑Mail-Service nutzt oder ein Bewerberportal führt, muss damit beginnen, sich mit den technischen Gegebenheiten auseinanderzusetzen und Datenübermittlungen in Drittstaaten, insb. in die USA, zu identifizieren. Die Fragebögen bieten einen guten Ansatz, die Problemfelder zu überblicken und mögliche Maßnahmen einzuleiten.
Was Sie noch interessieren könnte:
Löschkonzept nach DSGVO: Warum Daten wegkönnen, ja sogar müssen!
Einleitung: Digitale „Aufheberitis“ in Unternehmen Wir alle kennen diesen einen Kollegen, der E‑Mails aus dem Jahr 2005 aufbewahrt, “weil […]
Das Berechtigte Interesse – Worauf bei der Heranziehung als Rechtsgrundlage für die Datenverarbeitung zu achten ist
Möchte man personenbezogene Daten verarbeiten, kommt man nicht umhin, sich mit der dafür erforderlichen Rechtsgrundlage zu beschäftigen. Gerne wird […]
Neues Jahr – neue Themen…
Ein neues Jahr bringt auch eine neue Datenschutz-Agenda mit sich – Zeit um sich diejenigen Themen anzusehen, die das […]