Datenschutzbehörden kündigen Prüfung der Datenübertragung in Drittländer an
Zusätzliche Sicherungsmaßnahmen verlangt
Am 1.6.2021 haben gleich mehrere Aufsichtsbehörden eine koordinierte Prüfung des internationalen Datentransfers angekündigt. Hintergrund dieser Kontrolle ist das Schrems-II-Urteil des EuGH aus dem Sommer 2020. Mit diesem Urteil wurde das Privacy-Shield-Abkommen zwischen den USA und der EU aufgehoben, auf dessen Grundlage bis zu diesem Zeitpunkt der Transfer personenbezogener Daten in die USA ermöglicht wurde. Außerdem wurde in diesem Zusammenhang betont, dass die Standardvertragsklauseln der Europäischen Kommission zwar gültig bleiben, aber allein keine Garantie dafür bieten, dass in dem Drittland der Datenschutz auch tatsächlich eingehalten werden kann. In den USA gibt es beispielsweise Gesetze, die es Ermittlungsbehörden ermöglichen, die Herausgabe von Daten durch US-Unternehmen zu verlangen, selbst wenn diese Daten bei Tochterunternehmen in Europa gespeichert werden. Betroffene Personen, die keine US-Bürger:innen sind, stehen dabei keine ausreichenden Rechtsschutzmöglichkeiten zur Verfügung. Aus diesem Grund werden von den Aufsichtsbehörden zusätzliche Sicherungsmaßnahmen (vertraglicher oder technischer Art) verlangt, die den Schutz vor solchen Zugriffen erhöhen.
Inhalte der Fragebögen
Ob genau diese zusätzlichen Sicherungsmaßnahmen eingerichtet wurden, wollen die Behörden nun mit ihren vorgestellten Fragebögen überprüfen.
Sie stellten fünf Fragebögen vor, die eine Prüfung der folgenden Bereiche ermöglichen:
- Bewerberportale
- Konzerninterner Datenverkehr
- Mail-Hoster
- Tracking
- Web-Hoster
Auch wenn die Fragebögen damit auf verschiedene Bereiche abzielen, ähneln sie sich in ihrer Fragestruktur. Es wird etwa nach den Gründen gefragt, die zu der Entscheidung für das konkrete Tool/den konkreten Dienstleister geführt haben, seit wann das Tool eingesetzt wird und welche Daten verarbeitet werden, ob eine Datenübertragung in ein Drittland erfolgt und wenn ja, auf welcher rechtlichen Grundlage und welche zusätzlichen Sicherungsmethoden bei einem Einsatz der Standardvertragsklauseln eingerichtet wurden. Abschließend wird der entsprechende Auszug aus dem Verfahrensverzeichnis gefordert.
Abruf der Fragebögen
Die Fragebögen können Sie im Einzelnen z.B. auf der Website des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz finden.
Welche Unternehmen welche Fragebögen erhalten, liegt dabei in der Verantwortung der einzelnen Aufsichtsbehörden der Länder.
Konsequenz
Spätestens jetzt sollten Unternehmen also genau prüfen, ob sie Dienstleister in einem Drittland einsetzen und die entsprechenden Maßnahmen treffen. Idealerweise wird dies kombiniert mit der Überprüfung der Standardvertragsklauseln, zu denen es eine Neufassung der EU-Kommission gibt.
Gerne unterstützen wir Sie bei der Auswahl Ihres Dienstleisters oder bei der Beantwortung des Fragebogens einer Aufsichtsbehörde.