Fast ein Jahr nach dem „Schrems II“-Urteil durch den Europäischen Gerichtshof beginnen die Mühlen einiger deutscher Datenschutz-Aufsichtsbehörden zu mahlen. Deutsche Unternehmen müssen nun damit rechnen, in den kommenden Wochen auf Datenübermittlungen in Staaten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraumes kontrolliert zu werden. Die breit angelegte Kontrolle hat die Durchsetzung der Anforderungen aus der Entscheidung „Schrems II“ vom 16.06.2020 zum Ziel.
In ihrem Newsletter vom 01.06.2021 hat die Landesbeauftragte für den Datenschutz (LfD) Niedersachen Barbara Thiel angekündigt, dass sich Niedersachsen an einer länderübergreifenden Kontrolle von Datenübermittlungen an Unternehmen außerhalb der EU oder des EWR beteiligen wird.
“Es dürfte offensichtlich sein, dass sich die Kontrolle der Aufsichtsbehörden primär auf die Datenübermittlung in die USA konzentriert.” – Eileen Binder
Ziel der Kontrolle ist die Umsetzung der Anforderungen aus dem „Schrems II“-Urteil vom 16.06.2021 (Rechtssache C‑311/18). Darin hatte der EuGH festgestellt, dass eine Datenübermittlung in die USA auf Grundlage des Privacy Shield nicht länger erfolgen kann (wir haben damals in unserem Beitrag „EuGH kippt EU-US-Privacy Shield“ berichtet). Die Verwendung der Standarddatenschutzklauseln für Datenübermittlungen in Drittstaaten können weiterhin verwendet werden, allerdings unter dem Vorbehalt der Verwendung wirksamer zusätzlicher Maßnahmen, wenn der Empfängerstaat kein angemessenes Datenschutzniveau für die übermittelten personenbezogenen Daten gewährleisten kann. Es dürfte offensichtlich sein, dass sich die Kontrolle der Aufsichtsbehörden primär auf die Datenübermittlung in die USA konzentriert. Wurde doch hier explizit durch die Aufsichtsbehörden festgestellt, dass auch die Standarddatenschutzklauseln aufgrund des US CLOUD Act keinen wirksamen Schutz vor Zugriffen durch US-Behörden bieten können.
Die Kontrolle erfolgt anhand von Fragebögen, u.a. zu den Themen Mail- und Web-Hosting. Die Fragebögen sind auf der Website der LfD Niedersachsen veröffentlicht.
An der Kontrolle beteiligen sich ebenfalls die Landesdatenschutzbehörden aus Baden-Württemberg, Bayern, Berlin, Bremen, Brandenburg, Hamburg, Rheinland-Pfalz und dem Saarland.
Die Pressemeldung der LfD Niedersachen finden Sie, wenn Sie diesem Link folgen.
Fazit
Wie die LfD Niedersachen Barbara Thiel richtig formuliert, liegt es an den Verantwortlichen sich mit den neuen Anforderungen ernsthaft auseinanderzusetzen und nach Lösungen zu suchen. Verantwortliche sind erneut angehalten, die sich aus dem Schrems II-Urteil ergebenden Folgen ernst zu nehmen und zu reagieren. Wer eine Website betreibt, einen E‑Mail-Service nutzt oder ein Bewerberportal führt, muss damit beginnen, sich mit den technischen Gegebenheiten auseinanderzusetzen und Datenübermittlungen in Drittstaaten, insb. in die USA, zu identifizieren. Die Fragebögen bieten einen guten Ansatz, die Problemfelder zu überblicken und mögliche Maßnahmen einzuleiten.
Was Sie noch interessieren könnte:
Die Revision der ISO/IEC 27001:2022 und der Datenschutz
Die im Oktober 2022 veröffentlichte ISO/IEC 27001 in der Version 2022 löst die ISO/IEC 27001:2013, wohl wichtigste Norm zur Informationssicherheit, […]
Ist löschen durch Anonymisierung möglich?
Kann der Pflicht zur Löschung personenbezogener Daten nach Zweckentfall oder die Erfüllung des Betroffenenrechts auf Löschung auch durch eine […]
Microsoft 365 und der kirchliche Datenschutz
Nachdem das KatholischeDatenschutzzentrum Frankfurt (KDSZ-FFM) sich bereits im Februar 2019 mit einer „Datenschutzrechtlichen Bewertung eines Einsatzes von Office 365 […]
Autorin des Artikels: