Nach dem Urteil des Europ\u00e4ischen Gerichtshofs in Sachen \u201eSchrems II\u201c im Juli 2020 war klar, dass das \u201ePrivacy Shield\u201c-Abkommen nicht weiter zur vereinfachten Durchf\u00fchrung von Datentransfers aus der EU in die USA herangezogen werden darf. In der Folge standen Tausende Unternehmen in der gesamten EU vor der Aufgabe, ihre internationalen Datentransfers (nicht nur) in die USA rechtm\u00e4\u00dfig auszugestalten. Eine \u00dcbergangsfrist gab es nicht, bislang waren die Aufsichtsbeh\u00f6rden jedoch noch nicht t\u00e4tig geworden.<\/p>\n\n\n\n
Am 1. Juni haben die deutschen Datenschutzaufsichtsbeh\u00f6rden jedoch konzertierte Kontrollen zur korrekten Umsetzung der \u201eSchrems II\u201c-Entscheidung angek\u00fcndigt und hierzu Frageb\u00f6gen ver\u00f6ffentlicht, die in den n\u00e4chsten Wochen an Unternehmen versandt werden sollen \u2013 und den Ausgangspunkt f\u00fcr entsprechende Pr\u00fcf- und gegebenenfalls auch Bu\u00dfgeldverfahren bilden k\u00f6nnten.<\/p>\n\n\n\n
1. Welche Anforderungen stellt die DSGVO an internationale Datentransfers?<\/strong> 2. \u00dcberpr\u00fcfung internationaler Datentransfers durch die Aufsichtsbeh\u00f6rden<\/strong> 3. Die Frageb\u00f6gen<\/strong><\/p>\n\n\n\n Die Aufsichtsbeh\u00f6rden der L\u00e4nder haben gemeinsam eine Reihe von Frageb\u00f6gen entworfen, um die Umsetzung der \u201eSchrems II\u201c-Entscheidung in Unternehmen zu \u00fcberpr\u00fcfen. Ob sich alle 19 deutschen Datenschutzaufsichtsbeh\u00f6rden an diesen Kontrollen beteiligen werden, ist derzeit nicht bekannt. Fest steht, dass sich die Aufsichtsbeh\u00f6rden der folgenden L\u00e4nder an dem Projekt beteiligen:<\/p>\n\n\n\n Jede Aufsichtsbeh\u00f6rde entscheidet dabei individuell, in welchen der nachstehend aufgelisteten Themenfelder sie Pr\u00fcfungen vornimmt und ob der Fragenkatalog regional angepasst wird. Die in Hamburg verwendeten Varianten k\u00f6nnen Sie auf der Website des Hamburgischen Beauftragen f\u00fcr Datenschutz und Informationsfreiheit einsehen<\/a>. Abgefragt wird dabei, abh\u00e4ngig von dem jeweiligen Themenfeld, vorrangig Folgendes:<\/p>\n\n\n\n 4. Der Knackpunkt: \u201ezus\u00e4tzliche Schutzma\u00dfnahmen\u201c und \u201eRisikoabsch\u00e4tzung\u201c<\/strong><\/p>\n\n\n\n Ein erstes Exempel wurde bereits statuiert: Am 10. M\u00e4rz untersagte<\/a> das Bayerische Landesamt f\u00fcr Datenschutzaufsicht (BayLDA) einem Online-H\u00e4ndler die Nutzung des cloud-basierten und in den USA ans\u00e4ssigen Newsletter-Diensts Mailchimp. Nach Ansicht des BayLDA h\u00e4tte das Unternehmen vor der \u00dcbertragung der E-Mail-Adressen seiner Newsletter-Empf\u00e4nger im Rahmen einer Risikoabsch\u00e4tzung pr\u00fcfen m\u00fcssen, ob neben den (in den Mailchimp-AGB enthaltenen) Standardvertragsklauseln zus\u00e4tzliche Schutzma\u00dfnahmen f\u00fcr die Datensicherheit h\u00e4tten ergriffen und mit dem Anbieter vertraglich vereinbart werden m\u00fcssen. Dies war nicht geschehen, da das Unternehmen schlicht auf die Rechtm\u00e4\u00dfigkeit des viel genutzten Diensts vertraut hatte. Au\u00dferdem bietet Mailchimp nicht \u2013 wie manche anderen Online-Dienste \u2013 eine \u201eeurop\u00e4ische L\u00f6sung\u201c an, bei der die Daten in der EU verbleiben. 5. M\u00f6gliche Konsequenzen f\u00fcr Unternehmen<\/strong><\/p>\n\n\n\n Der EuGH hat in der \u201eSchrems II\u201c-Entscheidung betont, dass die Aufsichtsbeh\u00f6rden unzul\u00e4ssige internationale Datentransfers zu untersagen haben. Es ist davon auszugehen, dass die Datenschutzbeh\u00f6rden bei Unklarheiten hinsichtlich der Zul\u00e4ssigkeit eines Datentransfers auf die Aussetzung der \u00dcbermittlung hinwirken werden. Dar\u00fcber hinaus k\u00f6nnen jedoch auch weitere aufsichtsbeh\u00f6rdliche Ma\u00dfnahmen ergehen: Aufgrund der Zeit, die seit der Entscheidung des EuGH vergangen ist, w\u00e4hrend der Unternehmen die M\u00f6glichkeit hatten, ihre Daten\u00fcbertragungen rechtskonform auszugestalten oder auszusetzen, ist davon auszugehen, dass es nicht bei blo\u00dfen Untersagungsverf\u00fcgungen bleiben wird. Vielmehr ist damit zu rechnen, dass in naher Zukunft die ersten Bu\u00dfgelder wegen der Nichtbeachtung der Schrems-II-Ent\u00adschei\u00addung verhangen werden.<\/p>\n\n\n\n Wir raten dringend an, bestehende internationale Datentransfers auf ihre Rechtm\u00e4\u00dfigkeit hin zu \u00fcberpr\u00fcfen. Gerne stehen wir Ihnen hierbei beratend zur Seite und f\u00fchren gegebenenfalls gemeinsam mit Ihnen die von den Aufsichtsbeh\u00f6rden geforderte dokumentierte Risikoabsch\u00e4tzung durch, wenn die aktuell einzige Alternative \u2013 ein Wechsel auf einen europ\u00e4ischen Anbieter \u2013 keine Option ist. Your Contact to ePrivacy:<\/p>\n\n\n\n
Hinsichtlich der Anforderungen der DSGVO an internationale Datentransfers sind zwei so genannte \u201eStufen\u201c zu unterscheiden:<\/p>\n\n\n\n
Dabei ist jedoch auf der \u201ezweiten Stufe\u201c zus\u00e4tzlich zu beachten, dass der EuGH im \u201eSchrems\u00a0II\u201c-Urteil ausdr\u00fccklich betonte, dass dann in jedem Einzelfall in einer so genannten Risikoabsch\u00e4tzung abgewogen werden muss, ob dar\u00fcber hinaus zus\u00e4tzliche Schutzma\u00dfnahmen erforderlich sind, um ein geeignetes Datenschutzniveau zu gew\u00e4hrleisten. Dies ist bei Daten\u00fcbertragungen in die USA regelm\u00e4\u00dfig der Fall.
Der Europ\u00e4ische Datenschutzausschuss hat zu diesen \u201ezus\u00e4tzlichen Schutzma\u00dfnahmen\u201c\u00a0Empfehlungen<\/a>\u00a0ver\u00f6ffentlicht, die die Entscheidung im Einzelfall jedoch nur wenig erleichtern. Die heute ver\u00f6ffentlichte\u00a0Neufassung<\/a>\u00a0der Standardvertragsklauseln l\u00f6st diese Situation auch nicht auf.<\/li><\/ul>\n\n\n\n
Nachdem die deutschen Datenschutzaufsichtsbeh\u00f6rden in Sachen \u201eSchrems II\u201c bislang Zur\u00fcckhaltung ge\u00fcbt haben, ist die \u201eSchonfrist\u201c nun offensichtlich abgelaufen. Laut einer Pressemittelung<\/a> des Berliner Beauftragten f\u00fcr Datenschutz und Informationsfreiheit vom 1. Juni planen die deutschen Aufsichtsbeh\u00f6rden, gemeinsam entwickelte Fragenkataloge an ausgew\u00e4hlte Unternehmen zu verschicken. Es ist daher ratsam, sich auf eine m\u00f6gliche \u00dcberpr\u00fcfung vorzubereiten. Nachfolgend zeigen wir auf, worauf Sie achten m\u00fcssen.<\/p>\n\n\n\n
Die Frageb\u00f6gen erfassen die folgenden Themenfelder:<\/p>\n\n\n\n
Dass jetzt jedes Unternehmen bei allen verwendeten Online-Diensten den Sitz des Anbieters und der Server pr\u00fcfen und nach einer spezifischen Risikoabsch\u00e4tzung individuelle Zusatzma\u00dfnahmen mit dem Anbieter vereinbaren und umsetzen muss, ist in der Praxis eigentlich nicht vorstellbar. Der mit diesem, auch \u201eStandardvertragsklauseln Plus\u201c genannten \u2013 Modell verbundene b\u00fcrokratische Aufwand ist enorm. Wer ihn scheut, muss auf eine europ\u00e4ische L\u00f6sung umstellen \u2013 oder das Risiko eines Bu\u00dfgelds eingehen:<\/p>\n\n\n\n
Dr. Lukas Mezger, Dr. Frank Eickmeier, UNVERZAGT Rechtsanw\u00e4lte<\/p>\n\n\n\n