Koordinierte Prüfung internationaler Datentransfers
Länderübergreifende Kontrolle der Datenschutzaufsichtsbehörden von Unternehmen zur Umsetzung der Schrems II Entscheidung des Europäischen Gerichtshofs
LfDI Brink: „Der Europäische Gerichtshof hat klare Aussagen getroffen zum internationalen Datentransfer. Wir beraten Unternehmen und wirken darauf hin, dass rechtssichere Lösungen gefunden werden.“
Im Rahmen einer länderübergreifenden Kontrolle werden Datenübermittlungen durch Unternehmen in Staaten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums (Drittstaaten) überprüft. Das Ziel ist die breite Durchsetzung der Anforderungen des Europäischen Gerichtshofs in seiner Schrems-II-Entscheidung vom 16. Juli 2020 (Rs. C-311/18). Darin hat das Gericht festgestellt, dass Übermittlungen in die USA nicht länger auf Basis des sogenannten Privacy Shields erfolgen können. Der Einsatz der Standarddatenschutzklauseln für Datenübermittlungen in Drittstaaten ist ferner nur noch unter Verwendung wirksamer zusätzlicher Maßnahmen ausreichend, wenn die Prüfung des Verantwortlichen ergeben hat, dass im Empfängerstaat kein gleichwertiges Schutzniveau für die personenbezogenen Daten gewährleistet werden kann. Das Urteil des EuGH erfordert in vielen Fällen eine grundlegende Umstellung lange praktizierter Geschäftsmodelle und -abläufe.
Die an der Kontrolle teilnehmenden Behörden schreiben nun die jeweils ausgewählten Unternehmen auf der Basis eines gemeinsamen Fragekatalogs an. Dabei wird es unter anderem um den Einsatz von Dienstleistern zum E-Mail-Versand, zum Hosting von Internetseiten, zum Webtracking, zur Verwaltung von Bewerberdaten und um den konzerninternen Austausch von Kundendaten und Daten der Beschäftigten gehen. Jede Aufsichtsbehörde entscheidet individuell, in welchen dieser Themenfelder sie tätig wird.
Der Gerichtshof hat seine Erwartung klar formuliert, dass die Behörden unzulässige Transfers „aussetzen oder verbieten“. Das Aussetzen einer Übermittlung kann voraussichtlich in vielen Fällen im kooperativen Dialog mit den Unternehmen gelingen. Wo dies nicht möglich ist, wird mit den zur Verfügung stehenden aufsichtsbehördlichen Maßnahmen reagiert. Die Aufsichtsbehörden sind sich der besonderen Herausforderungen, die das EuGH-Urteil zu Schrems II für die Unternehmen in Deutschland und Europa mit sich bringt, bewusst. Sie stehen für Verständnisfragen auch im weiteren Verlauf des Prüfungsverfahrens zur Verfügung, soweit dies nach Maßgabe der vorhandenen Kapazitäten möglich ist.
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg Stefan Brink: „Wir gehen ins Gespräch mit den Unternehmen. Wir wollen zunächst wissen, welche Gedanken sie sich gemacht haben, knapp ein Jahr nach dem Schrems II Urteil, um auf die Rechtslage zu reagieren. Wir wissen, dass die Herausforderungen für die verantwortlichen Stellen groß sind. Wir beraten und erwarten, dass die Unternehmen, die von der Drittstaatenproblematik betroffen sind, ernsthaft nach tragfähigen Lösungen suchen.“
Der Landesbeauftragte Brink verweist weiterhin insbesondere auf die von ihm in seiner Handreichung „Schrems II – Was jetzt in Sachen internationaler Datentransfer?“ dargestellten Maßgaben. Die Handreichung ist auf der Homepage des Landesbeauftragten abrufbar: https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/08/Orientierungshilfe-Was-jetzt-in-Sachen-internationaler-Datentransfer.pdf
Dazu steht auch ein Online-Vortrag in der Mediathek auf der Homepage des Landesbeauftragten zum Abruf bereit: https://www.baden-wuerttemberg.datenschutz.de/mediathek/.
Zudem werden wie bisher im Bildungszentrum BIDIB des Landesbeauftragten Schulungen und Workshops zur Thematik angeboten, um Unternehmen dabei zu unterstützen, rechtssichere Lösungen bei der Datenverarbeitung umzusetzen.
Der Fragenkatalog zu den jeweiligen Fallgruppen kann hier abgerufen werden:
Diese Pressemitteilung als PDF-Dokument aufrufen.
Für Rückfragen erreichen Sie uns unter der Telefonnummer
0711/615541-23 und per E-Mail: pressestelle@lfdi.bwl.de
Weitere Informationen zum Datenschutz und zur Informationsfreiheit finden Sie im Internet unter www.baden-wuerttemberg.datenschutz.de oder unter www.datenschutz.de.