de en
Nexia Ebner Stolz

Rechtsberatung

Deutschlandweite Prüfung internationaler Datentransfers von Unternehmen

Mit ei­ner Pres­se­mit­tei­lung ha­ben sie­ben deut­sche Da­ten­schutz­auf­sichts­behörden an­gekündigt, ge­mein­sam ab­ge­stimmte Kon­trol­len zur Ein­hal­tung da­ten­schutz­recht­li­cher Vor­ga­ben zu in­ter­na­tio­na­len Da­tenüber­mitt­lun­gen durch­zuführen. Die Kon­trolle fin­det mit­hilfe von fünf ver­schie­de­nen Fra­gebögen zu fünf The­men­kom­ple­xen statt, die an aus­gewählte Un­ter­neh­men ver­sen­det wer­den. Jede Behörde ent­schei­det da­bei in­di­vi­du­ell, in wel­chem die­ser The­men­kom­plexe kon­trol­liert wird und wel­che Un­ter­neh­men von den Kon­trol­len be­trof­fen sein sol­len.

In der Schrems-II-Ent­schei­dung vom 16.07.2020 (Rs. C-311/18) hat der EuGH fest­ge­stellt, dass Da­tenüber­mitt­lun­gen in die USA nicht länger auf der Ba­sis des Pri­vacy Shields er­fol­gen können. Außer­dem ist der Ein­satz der Stan­dard­ver­trags­klau­seln bei Da­tenüber­mitt­lun­gen in alle Drittländer nur noch un­ter Ver­wen­dung wirk­sa­mer zusätz­li­cher Maßnah­men aus­rei­chend, die ein dem Schutz­ni­veau der EU gleich­wer­ti­ges Schutz­ni­veau für die per­so­nen­be­zo­ge­nen Da­ten gewähr­leis­ten (mehr dazu le­sen Sie hier).

Das bal­dige einjährige Ju­biläum der Schrems-II-Ent­schei­dung könnte der An­lass sein, wes­halb die deut­schen Da­ten­schutz­auf­sichts­behörden nun die breite Durch­set­zung der An­for­de­run­gen der Schrems-II-Ent­schei­dung in An­griff neh­men. Dafür ha­ben sie ge­mein­sam fünf Fra­gebögen zu fünf The­men­kom­ple­xen for­mu­liert, mit­hilfe de­ren sie Un­ter­neh­men hin­sicht­lich der Ein­hal­tung der An­for­de­run­gen zur in­ter­na­tio­na­len Da­tenüber­mitt­lung kon­trol­lie­ren wol­len. Die The­men­kom­plexe be­tref­fen Mail­hos­ter, Web­hos­ter, Tracking, Be­wer­ber­por­tale und der kon­zern­in­terne Da­ten­ver­kehr. Da­bei kann jede Behörde selbst ent­schei­den, wel­che Fra­gebögen sie an wel­ches Un­ter­neh­men her­aus­gibt und ob sie die Fra­gen re­gio­nal an­passt. So­mit kann der Kon­troll­um­fang von Bun­des­land zu Bun­des­land und von Un­ter­neh­men zu Un­ter­neh­men un­ter­schied­lich aus­fal­len.

Ne­ben tech­ni­schen Fra­gen, wie z. B. ob der Pro­gramm­code ei­nes Tracking Tools auf den In­ter­net­sei­ten ein­ge­bet­tet wor­den ist, wer­den auch Fra­gen zu Verträgen mit an­de­ren Un­ter­neh­men, z.B. mit Auf­trags­ver­ar­bei­tern, ab­ge­fragt. So wird in al­len Fra­gebögen nach den recht­li­chen Grund­la­gen bzw. Über­mitt­lungs­in­stru­men­ten ge­fragt, auf die die Dritt­landsüber­mitt­lung gestützt wird. Auch ha­ben alle Fra­gebögen ge­mein, dass in ih­nen die Zur­verfügung­stel­lung der zum ab­ge­frag­ten The­men­kom­plex pas­sen­den Teile des Ver­zeich­nis­ses der Ver­ar­bei­tungstätig­kei­ten ver­langt wird.

Sollte bei den Kon­trol­len her­aus­kom­men, dass die An­for­de­run­gen der Schrems-II-Ent­schei­dung nicht erfüllt wer­den, muss die Da­ten­schutz­auf­sichts­behörde die un­zulässige Da­tenüber­mitt­lung aus­set­zen oder ver­bie­ten. Nach ei­ge­ner Aus­sage ist den Da­ten­schutz­auf­sichts­behörden be­wusst, dass dies be­son­dere Her­aus­for­de­run­gen für die Un­ter­neh­men dar­stel­len kann, da bspw. auch der alltägli­che Ge­brauch von US-ame­ri­ka­ni­scher Pro­duk­ten, wie Out­look oder Teams/Skype, da­von be­trof­fen sind. Dies wird wohl aber nichts an dem mögli­chen Er­geb­nis ei­ner Prüfung ändern.

Pas­send zu der Ankündi­gung der Auf­sichts­behörden hat die Eu­ropäische Kom­mis­sion am 04.06.2021 neue Stan­dard­ver­trags­klau­seln her­aus­ge­ge­ben, die für die Über­mitt­lung per­so­nen­be­zo­ge­ner Da­ten in Drittländer ver­wen­det wer­den müssen. Die bis­he­ri­gen Stan­dard­ver­trags­klau­seln wer­den drei Mo­nate nach In­kraft­tre­ten (vor­aus­sicht­lich Ende Juni 2021) der neuen Klau­seln auf­ge­ho­ben. Verträge, die vor die­sem Da­tum ge­schlos­sen wur­den, wer­den wei­tere 15 Mo­nate an­er­kannt.

Handlungsempfehlungen

Der Start­schuss für die Durch­set­zung der Schrems-II-Ent­schei­dung ist ge­fal­len. Um gut durch die an­gekündig­ten Kon­trol­len der je­weils zuständi­gen Da­ten­schutz­auf­sichts­behörden zu kom­men, emp­feh­len wir be­reits jetzt, die kon­kre­ten Da­ten­ver­ar­bei­tun­gen in den be­nann­ten The­men­kom­ple­xen mit al­len in­vol­vier­ten Per­so­nen und Un­ter­neh­men wie ex­ter­nen Dienst­leis­tern in den Blick zu neh­men. Das Haupt­au­gen­merk sollte da­bei auf Da­tenüber­mitt­lun­gen in Dritt­staa­ten auf Grund­lage von Stan­dard­ver­trags­klau­seln lie­gen. Hierfür soll­ten alle Verträge vor­lie­gen und ge­sam­melt wer­den, so­dass bei ei­ner Kon­trolle die er­for­der­li­chen In­for­ma­tio­nen schnell zu fin­den sind. Soll­ten Verträge über Da­ten­ver­ar­bei­tun­gen feh­len, ist jetzt die Zeit, die ge­schäft­li­che Be­zie­hung un­ter Ver­wen­dung der neuen Stan­dard­ver­trags­klau­seln auf eine ver­trag­li­che Grund­lage zu stel­len. Es ist zu­dem be­son­ders emp­feh­lens­wert, die be­trof­fe­nen Teile des Ver­zeich­nis­ses der Ver­ar­bei­tungstätig­kei­ten auf Vollständig­keit und In­halt zu überprüfen, um sie bei ei­ner Kon­trolle her­aus­ge­ben zu können. Ein vollständi­ges und gut geführ­tes Ver­zeich­nis von Ver­ar­bei­tungstätig­kei­ten hilft u. a. sehr bei der Be­ant­wor­tung der Fra­gebögen. Schließlich sollte auch be­reits jetzt die An­pas­sung der be­ste­hen­den Verträge mit „al­ten“ Stan­dard­ver­trags­klau­seln an die neuen Stan­dard­ver­trags­klau­seln be­gon­nen wer­den.

Selbst­verständ­lich un­terstützen wir Sie bei Be­darf bei al­len an­ge­spro­che­nen Punk­ten. Spre­chen Sie uns gern an.

nach oben