Suche
deen

Rechtsberatung

Deutschlandweite Prüfung internationaler Datentransfers von Unternehmen

Mit ei­ner Pres­se­mit­tei­lung ha­ben sie­ben deut­sche Da­ten­schutz­auf­sichts­behörden an­gekündigt, ge­mein­sam ab­ge­stimmte Kon­trol­len zur Ein­hal­tung da­ten­schutz­recht­li­cher Vor­ga­ben zu in­ter­na­tio­na­len Da­tenüber­mitt­lun­gen durch­zuführen. Die Kon­trolle fin­det mit­hilfe von fünf ver­schie­de­nen Fra­gebögen zu fünf The­men­kom­ple­xen statt, die an aus­gewählte Un­ter­neh­men ver­sen­det wer­den. Jede Behörde ent­schei­det da­bei in­di­vi­du­ell, in wel­chem die­ser The­men­kom­plexe kon­trol­liert wird und wel­che Un­ter­neh­men von den Kon­trol­len be­trof­fen sein sol­len.

In der Schrems-II-Ent­schei­dung vom 16.07.2020 (Rs. C-311/18) hat der EuGH fest­ge­stellt, dass Da­tenüber­mitt­lun­gen in die USA nicht länger auf der Ba­sis des Pri­vacy Shields er­fol­gen können. Außer­dem ist der Ein­satz der Stan­dard­ver­trags­klau­seln bei Da­tenüber­mitt­lun­gen in alle Drittländer nur noch un­ter Ver­wen­dung wirk­sa­mer zusätz­li­cher Maßnah­men aus­rei­chend, die ein dem Schutz­ni­veau der EU gleich­wer­ti­ges Schutz­ni­veau für die per­so­nen­be­zo­ge­nen Da­ten gewähr­leis­ten (mehr dazu le­sen Sie hier).

Das bal­dige einjährige Ju­biläum der Schrems-II-Ent­schei­dung könnte der An­lass sein, wes­halb die deut­schen Da­ten­schutz­auf­sichts­behörden nun die breite Durch­set­zung der An­for­de­run­gen der Schrems-II-Ent­schei­dung in An­griff neh­men. Dafür ha­ben sie ge­mein­sam fünf Fra­gebögen zu fünf The­men­kom­ple­xen for­mu­liert, mit­hilfe de­ren sie Un­ter­neh­men hin­sicht­lich der Ein­hal­tung der An­for­de­run­gen zur in­ter­na­tio­na­len Da­tenüber­mitt­lung kon­trol­lie­ren wol­len. Die The­men­kom­plexe be­tref­fen Mail­hos­ter, Web­hos­ter, Tracking, Be­wer­ber­por­tale und der kon­zern­in­terne Da­ten­ver­kehr. Da­bei kann jede Behörde selbst ent­schei­den, wel­che Fra­gebögen sie an wel­ches Un­ter­neh­men her­aus­gibt und ob sie die Fra­gen re­gio­nal an­passt. So­mit kann der Kon­troll­um­fang von Bun­des­land zu Bun­des­land und von Un­ter­neh­men zu Un­ter­neh­men un­ter­schied­lich aus­fal­len.

Ne­ben tech­ni­schen Fra­gen, wie z. B. ob der Pro­gramm­code ei­nes Tracking Tools auf den In­ter­net­sei­ten ein­ge­bet­tet wor­den ist, wer­den auch Fra­gen zu Verträgen mit an­de­ren Un­ter­neh­men, z.B. mit Auf­trags­ver­ar­bei­tern, ab­ge­fragt. So wird in al­len Fra­gebögen nach den recht­li­chen Grund­la­gen bzw. Über­mitt­lungs­in­stru­men­ten ge­fragt, auf die die Dritt­landsüber­mitt­lung gestützt wird. Auch ha­ben alle Fra­gebögen ge­mein, dass in ih­nen die Zur­verfügung­stel­lung der zum ab­ge­frag­ten The­men­kom­plex pas­sen­den Teile des Ver­zeich­nis­ses der Ver­ar­bei­tungstätig­kei­ten ver­langt wird.

Sollte bei den Kon­trol­len her­aus­kom­men, dass die An­for­de­run­gen der Schrems-II-Ent­schei­dung nicht erfüllt wer­den, muss die Da­ten­schutz­auf­sichts­behörde die un­zulässige Da­tenüber­mitt­lung aus­set­zen oder ver­bie­ten. Nach ei­ge­ner Aus­sage ist den Da­ten­schutz­auf­sichts­behörden be­wusst, dass dies be­son­dere Her­aus­for­de­run­gen für die Un­ter­neh­men dar­stel­len kann, da bspw. auch der alltägli­che Ge­brauch von US-ame­ri­ka­ni­scher Pro­duk­ten, wie Out­look oder Teams/Skype, da­von be­trof­fen sind. Dies wird wohl aber nichts an dem mögli­chen Er­geb­nis ei­ner Prüfung ändern.

Pas­send zu der Ankündi­gung der Auf­sichts­behörden hat die Eu­ropäische Kom­mis­sion am 04.06.2021 neue Stan­dard­ver­trags­klau­seln her­aus­ge­ge­ben, die für die Über­mitt­lung per­so­nen­be­zo­ge­ner Da­ten in Drittländer ver­wen­det wer­den müssen. Die bis­he­ri­gen Stan­dard­ver­trags­klau­seln wer­den drei Mo­nate nach In­kraft­tre­ten (vor­aus­sicht­lich Ende Juni 2021) der neuen Klau­seln auf­ge­ho­ben. Verträge, die vor die­sem Da­tum ge­schlos­sen wur­den, wer­den wei­tere 15 Mo­nate an­er­kannt.

Handlungsempfehlungen

Der Start­schuss für die Durch­set­zung der Schrems-II-Ent­schei­dung ist ge­fal­len. Um gut durch die an­gekündig­ten Kon­trol­len der je­weils zuständi­gen Da­ten­schutz­auf­sichts­behörden zu kom­men, emp­feh­len wir be­reits jetzt, die kon­kre­ten Da­ten­ver­ar­bei­tun­gen in den be­nann­ten The­men­kom­ple­xen mit al­len in­vol­vier­ten Per­so­nen und Un­ter­neh­men wie ex­ter­nen Dienst­leis­tern in den Blick zu neh­men. Das Haupt­au­gen­merk sollte da­bei auf Da­tenüber­mitt­lun­gen in Dritt­staa­ten auf Grund­lage von Stan­dard­ver­trags­klau­seln lie­gen. Hierfür soll­ten alle Verträge vor­lie­gen und ge­sam­melt wer­den, so­dass bei ei­ner Kon­trolle die er­for­der­li­chen In­for­ma­tio­nen schnell zu fin­den sind. Soll­ten Verträge über Da­ten­ver­ar­bei­tun­gen feh­len, ist jetzt die Zeit, die ge­schäft­li­che Be­zie­hung un­ter Ver­wen­dung der neuen Stan­dard­ver­trags­klau­seln auf eine ver­trag­li­che Grund­lage zu stel­len. Es ist zu­dem be­son­ders emp­feh­lens­wert, die be­trof­fe­nen Teile des Ver­zeich­nis­ses der Ver­ar­bei­tungstätig­kei­ten auf Vollständig­keit und In­halt zu überprüfen, um sie bei ei­ner Kon­trolle her­aus­ge­ben zu können. Ein vollständi­ges und gut geführ­tes Ver­zeich­nis von Ver­ar­bei­tungstätig­kei­ten hilft u. a. sehr bei der Be­ant­wor­tung der Fra­gebögen. Schließlich sollte auch be­reits jetzt die An­pas­sung der be­ste­hen­den Verträge mit „al­ten“ Stan­dard­ver­trags­klau­seln an die neuen Stan­dard­ver­trags­klau­seln be­gon­nen wer­den.

Selbst­verständ­lich un­terstützen wir Sie bei Be­darf bei al­len an­ge­spro­che­nen Punk­ten. Spre­chen Sie uns gern an.

Laurent Meister, LL.M., Philipp M. Kühn, 09.06.2021 nach oben

Das könnte Sie auch interessieren

RSM Eb­ner Stolz er­nennt neun Part­ne­rin­nen und Part­ner

RSM Eb­ner Stolz hat zum 1. Ja­nuar 2024 dis­zi­plinüberg­rei­fend neun neue Part­ne­rin­nen und Part­ner so­wie 25 Di­rec­tors und drei Coun­sel er­nannt. „Wir set­zen un­ser Wachs­tum fort und freuen uns, dass wir die er­folg­rei­che Ent­wick­lung der letz­ten Jahre mit der kon­ti­nu­ier­li­chen Er­wei­te­rung un­se­rer Part­ner­schaft un­ter­mau­ern können. Vor al­lem die stei­gende Zahl un­se­rer Kol­le­gin­nen, die den Schritt in Führungs­po­si­tio­nen schaf­fen, setzt da­bei wich­tige Im­pulse für die Wei­ter­ent­wick­lung un­se­res Un­ter­neh­mens“, sagt Prof. Dr. Hol­ger Jen­zen, Part­ner und Spre­cher der Part­ner­schaft von RSM Eb­ner Stolz  ...lesen Sie mehr

Da­ten­schutz­kon­for­mer Ein­satz von Cloud-Diens­ten – Mi­cro­soft 365 im Fo­kus der Auf­sichts­behörden

Im­mer mehr Un­ter­neh­men ver­la­gern ihre IT in die Cloud. Doch mit der Nut­zung von Cloud-Diens­ten sind eine Viel­zahl recht­li­cher Hürden ver­bun­den. Vor al­lem die Ein­hal­tung des Da­ten­schut­zes stellt Un­ter­neh­men nicht zu­letzt auf­grund der im ver­gan­ge­nen Jahr er­gan­ge­nen Schrems II-Ent­schei­dung des EuGH vor große Her­aus­for­de­run­gen. Nun ste­hen er­neut Mi­cro­softs On­line-Dienste im Fo­kus der Auf­sichts­behörden.  ...lesen Sie mehr

Neue EU-Stan­dard­ver­trags­klau­seln für in­ter­na­tio­nale Da­ten­trans­fers

Die Eu­ropäische Kom­mis­sion hat am 04.07.2021 die fi­nale Ver­sion der neuen „EU-Stan­dard­ver­trags­klau­seln“ für die Über­mitt­lung per­so­nen­be­zo­ge­ner Da­ten ins EU-AUs­land veröff­ent­licht. Mit den neuen EU-Stan­dard­ver­trags­klau­seln sol­len in­ter­nati-onale Da­ten­trans­fers ver­ein­facht und die An­for­de­run­gen der Schrems II-Ent­schei­dung berück­sich­tigt wer­den.  ...lesen Sie mehr