Koordinierte Prüfung internationaler Datentransfer

Koordinierte Prüfung internationaler Datentransfer

Länderübergreifende Kontrolle der Datenschutzaufsichtsbehörden von Unternehmen zur Umsetzung der Schrems II Entscheidung des Europäischen Gerichtshofs

Im Rahmen einer länderübergreifenden Kontrolle werden Datenübermittlungen durch Unternehmen in Staaten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums (Drittstaaten) überprüft. Das Ziel ist die breite Durchsetzung der Anforderungen des Europäischen Gerichtshofs in seiner Schrems-II-Entscheidung vom 16. Juli 2020 (Rs. C-311/18). Darin hat das Gericht festgestellt, dass Übermittlungen in die USA nicht länger auf Basis des sogenannten Privacy Shields erfolgen können. Der Einsatz der Standarddatenschutzklauseln für Datenübermittlungen in Drittstaaten ist ferner nur noch unter Verwendung wirksamer zusätzlicher Maßnahmen ausreichend, wenn die Prüfung des Verantwortlichen ergeben hat, dass im Empfängerstaat kein gleichwertiges Schutzniveau für die personenbezogenen Daten gewährleistet werden kann. Das Urteil des EuGH erfordert in vielen Fällen eine grundlegende Umstellung lange praktizierter Geschäftsmodelle und -abläufe.

Die an der Kontrolle teilnehmenden Behörden schreiben nun die jeweils ausgewählten Unternehmen auf der Basis eines gemeinsamen Fragekatalogs an. Dabei wird es unter anderem um den Einsatz von Dienstleistern zum E-Mail-Versand, zum Hosting von Internetseiten, zum Webtracking, zur Verwaltung von Bewerberdaten und um den konzerninternen Austausch von Kundendaten und Daten der Beschäftigten gehen. Jede Aufsichtsbehörde entscheidet individuell, in welchen dieser Themenfelder sie tätig wird.

Der Gerichtshof hat seine Erwartung klar formuliert, dass die Behörden unzulässige Transfers „aussetzen oder verbieten“. Das Aussetzen einer Übermittlung kann voraussichtlich in vielen Fällen im kooperativen Dialog mit den Unternehmen gelingen. Wo dies nicht möglich ist, wird mit den zur Verfügung stehenden aufsichtsbehördlichen Maßnahmen reagiert. Die Aufsichtsbehörden sind sich der besonderen Herausforderungen, die das EuGH-Urteil zu Schrems II für die Unternehmen in Deutschland und Europa mit sich bringt, bewusst. Sie stehen für Verständnisfragen auch im weiteren Verlauf des Prüfungsverfahrens zur Verfügung, soweit dies nach Maßgabe der vorhandenen Kapazitäten möglich ist.

Der Fragenkatalog zu den jeweiligen Fallgruppen kann hier abgerufen werden.

Hierzu Johannes Caspar, Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit: „Angesichts der Betroffenheit vieler Unternehmen lässt sich ein einheitlicher Vollzug hier nur sehr schwer herstellen. Aber die Augen zu verschließen ist keine Lösung. Häufig wird ein grenzüberschreitender Datenverkehr bereits durch die Nutzung von handelsüblichen Diensten zur Bürokommunikation ausgelöst, ohne dass ein direkter internationaler Austausch der Daten im Geschäftsverkehr durch die jeweiligen Unternehmen überhaupt bezweckt wird. Gerade zur Bürokommunikation oder der Datenspeicherung kann gewöhnlich auf Dienste ohne unzulässige Drittstaatenübermittlung zurückgegriffen werden. Die Umsetzung des Grundsatzes der digitalen Souveränität wird diese Möglichkeiten in Europa künftig weiter erleichtern. Die Fragebogenaktion soll insoweit vor allem dazu beitragen, den Unternehmen Lösungen mit angemessenem Datenschutzniveau zu unterbreiten. Das Schrems-II-Urteil setzt für viele Unternehmen Hürden, aus Gründen, für die sie letztlich nicht selbst verantwortlich sind. Es ist daher immer wieder daran zu erinnern, dass der Schlüssel für das Grundrecht der informationellen Selbstbestimmung in den Empfängerstaaten liegt. Gerade die Politik in den USA sollte erkennen: Geeignete Garantien gegenüber dem Zugriff der US-Sicherheitsbehörden zum Schutz der übermittelten Daten sowie ein wirksamer Rechtsschutz für Menschen aus der EU sind zentrale Voraussetzung für einen freien Datenverkehr. Eine Lösung liegt im beiderseitigen Interesse.“