Mehrere deutsche Datenschutzaufsichtsbehörden führen seit dem 01.06.2021 länderübergreifend und koordiniert Prüfungen internationaler Datentransfers durch.
Vorgehen der Datenschutzaufsichtsbehörden
Im Rahmen dieser Kontrollen prüfen die Datenschutzaufsichtsbehörden bei bestimmten Unternehmen, ob und auf welche Weise sie personenbezogene Daten in Drittstaaten, d.h. Staaten außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR), übermitteln.
Die Datenschutzaufsichtsbehörden richten Fragenkataloge an ausgewählte Unternehmen zu folgenden Themen:
Die Fragenkataloge sind u.a. vom Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit veröffentlicht unter:
https://datenschutz-hamburg.de/pages/fragebogenaktion/
Ziel der Datenschutzaufsichtsbehörden und datenschutzrechtlicher Hintergrund
Mit ihren Kontrollen möchten die Datenschutzaufsichtsbehörden die aktuellen datenschutzrechtlichen Anforderungen des Europäischen Gerichtshofs (EuGH) an internationale Datentransfers verstärkt durchsetzen.
In seiner „Schrems-II-Entscheidung“ vom 16. Juli 2020 (Rs. C-311/18) erklärte der EuGH den EU-/US-Privacy-Shield-Beschluss für ungültig, so dass auf dieser Rechtsgrundlage ein Transfer personenbezogener Daten in die USA nicht mehr zulässig ist. Das Privacy Shield habe personenbezogene Daten in den USA nicht ausreichend vor dem Zugriff durch amerikanische Behörden geschützt. Daher gewähre es kein zur DSGVO gleichwertiges Datenschutzniveau.
Durch das Schrems II-Urteil des EuGH sind internationale Datentransfers und der Einsatz von digitalen Produkten und Cloud-Lösungen neuen Anforderungen ausgesetzt, da sie regelmäßig Server in Drittländern außerhalb der EU /des EWR nutzen und überwiegend nicht die neuen datenschutzrechtlichen Anforderungen einhalten.
Fazit und Handlungsempfehlungen
Nahezu jedes Unternehmen nutzt heutzutage digitale Produkte und Cloud-Lösungen mit Servern in Drittstaaten (z.B. Microsoft 365, Amazon Web Services) und kann daher von den angekündigten Kontrollen der Datenschutzaufsichtsbehörden getroffen werden.
Wir empfehlen deshalb den Unternehmen, sich proaktiv auf Kontrollen einzustellen und die datenschutzrechtlichen Anforderungen aus dem Schrems II-Urteil des EuGH soweit wie möglich umzusetzen. Hilfreich sind z.B. Verträge unter ergänzender Verwendung der EU Standardvertragsklauseln. Dabei sollten Unternehmen zumindest folgende zusätzliche Maßnahmen ergreifen, um ihr datenschutzrechtliches Risiko zu reduzieren:
Haben Sie Fragen? Wir beraten Sie gerne!