Datenschutzbehörden kündigen Prüfung der Datenübertragung in Drittländer an

Zusätzliche Sicherungsmaßnahmen verlangt

Am 1.6.2021 haben gleich mehrere Aufsichtsbehörden eine koordinierte Prüfung des internationalen Datentransfers angekündigt. Hintergrund dieser Kontrolle ist das Schrems-II-Urteil des EuGH aus dem Sommer 2020. Mit diesem Urteil wurde das Privacy-Shield-Abkommen zwischen den USA und der EU aufgehoben, auf dessen Grundlage bis zu diesem Zeitpunkt der Transfer personenbezogener Daten in die USA ermöglicht wurde. Außerdem wurde in diesem Zusammenhang betont, dass die Standardvertragsklauseln der Europäischen Kommission zwar gültig bleiben, aber allein keine Garantie dafür bieten, dass in dem Drittland der Datenschutz auch tatsächlich eingehalten werden kann. In den USA gibt es beispielsweise Gesetze, die es Ermittlungsbehörden ermöglichen, die Herausgabe von Daten durch US-Unternehmen zu verlangen, selbst wenn diese Daten bei Tochterunternehmen in Europa gespeichert werden. Betroffene Personen, die keine US-Bürger:innen sind, stehen dabei keine ausreichenden Rechtsschutzmöglichkeiten zur Verfügung. Aus diesem Grund werden von den Aufsichtsbehörden zusätzliche Sicherungsmaßnahmen (vertraglicher oder technischer Art) verlangt, die den Schutz vor solchen Zugriffen erhöhen.

Inhalte der Fragebögen

Ob genau diese zusätzlichen Sicherungsmaßnahmen eingerichtet wurden, wollen die Behörden nun mit ihren vorgestellten Fragebögen überprüfen.

Sie stellten fünf Fragebögen vor, die eine Prüfung der folgenden Bereiche ermöglichen:

• Bewerberportale
• Konzerninterner Datenverkehr
• Mail-Hoster
• Tracking
• Web-Hoster

Auch wenn die Fragebögen damit auf verschiedene Bereiche abzielen, ähneln sie sich in ihrer Fragestruktur. Es wird etwa nach den Gründen gefragt, die zu der Entscheidung für das konkrete Tool/den konkreten Dienstleister geführt haben, seit wann das Tool eingesetzt wird und welche Daten verarbeitet werden, ob eine Datenübertragung in ein Drittland erfolgt und wenn ja, auf welcher rechtlichen Grundlage und welche zusätzlichen Sicherungsmethoden bei einem Einsatz der Standardvertragsklauseln eingerichtet wurden. Abschließend wird der entsprechende Auszug aus dem Verfahrensverzeichnis gefordert.

Abruf der Fragebögen

Die Fragebögen können Sie im Einzelnen z.B. auf der Website des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz finden.

Welche Unternehmen welche Fragebögen erhalten, liegt dabei in der Verantwortung der einzelnen Aufsichtsbehörden der Länder.

Konsequenz

Spätestens jetzt sollten Unternehmen also genau prüfen, ob sie Dienstleister in einem Drittland einsetzen und die entsprechenden Maßnahmen treffen. Idealerweise wird dies kombiniert mit der Überprüfung der Standardvertragsklauseln, zu denen es eine Neufassung der EU-Kommission gibt.

Gerne unterstützen wir Sie bei der Auswahl Ihres Dienstleisters oder bei der Beantwortung des Fragebogens einer Aufsichtsbehörde.