Prüfung zum internationalen Datenverkehr
Pressemitteilung von: Die Landesbeauftragte für den Datenschutz Niedersachsen
Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen beteiligt sich an einer länderübergreifenden Kontrolle von Datenübermittlungen durch Unternehmen in Staaten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums (sogenannte Drittstaaten). Ziel dieser Prüfung ist die breite Durchsetzung der Anforderungen des Europäischen Gerichtshofs (EuGH) in seiner Entscheidung „Schrems II“ vom 16. Juli 2020. Darin hat das Gericht festgestellt, dass Übermittlungen in die USA nicht länger auf Basis des sogenannten Privacy Shield erfolgen können.
Der Einsatz der Standarddatenschutzklauseln für Datenübermittlungen in Drittstaaten ist ferner nur noch unter Verwendung wirksamer zusätzlicher Maßnahmen ausreichend, wenn die Prüfung des Verantwortlichen ergeben hat, dass im Empfängerstaat kein (im Vergleich zur EU) gleichwertiges Schutzniveau für die personenbezogenen Daten gewährleistet werden kann. Das Urteil des EuGH erfordert in vielen Fällen eine grundlegende Umstellung lange praktizierter Geschäftsmodelle und -abläufe.
Neben der LfD Niedersachsen beteiligen sich Landesdatenschutzbehörden aus Baden-Württemberg, Bayern, Berlin, Bremen, Brandenburg, Hamburg, Rheinland-Pfalz und dem Saarland an der Prüfung. Sie schreiben die jeweils ausgewählten Unternehmen auf der Basis eines gemeinsamen Fragekatalogs an. Dabei wird es unter anderem um den Einsatz von Dienstleistern zum E-Mail-Versand, zum Hosting von Internetseiten, zum Webtracking, zur Verwaltung von Bewerberdaten und um den konzerninternen Austausch von Kundendaten sowie Daten der Beschäftigten gehen. Jede Aufsichtsbehörde entscheidet individuell, in welchen dieser Themenfelder sie tätig wird.
Die LfD Niedersachsen versendet Fragebögen zu den Themen Mail- und Web-Hosting an 18 niedersächsische Unternehmen verschiedener Branchen. „Die Entscheidung des EuGH hat viele Unternehmen und andere verantwortliche Stellen in Bezug auf den internationalen Datentransfer in eine schwierige Situation gebracht“, sagt die Landesdatenschutzbeauftragte Barbara Thiel. „Wir erwarten aber als Aufsichtsbehörde, dass sich die Verantwortlichen mit den neuen Anforderungen ernsthaft auseinandersetzen und eigenständig nach Lösungen suchen.“
Der EuGH hat seine Erwartung klar formuliert, dass die Behörden unzulässige Transfers „aussetzen oder verbieten“. Das Aussetzen einer Übermittlung kann voraussichtlich in vielen Fällen im kooperativen Dialog mit den Unternehmen gelingen. Wo dies nicht möglich ist, wird mit den zur Verfügung stehenden aufsichtsbehördlichen Maßnahmen reagiert. Die Aufsichtsbehörden sind sich der besonderen Herausforderungen bewusst, die das EuGH-Urteil zu Schrems II für die Unternehmen in Deutschland und Europa mit sich bringt. Sie stehen für Verständnisfragen auch im weiteren Verlauf des Prüfungsverfahrens zur Verfügung, soweit dies nach Maßgabe der vorhandenen Kapazitäten möglich ist.
Pingback: GDD veröffentlicht Praxishinweise zum Fragebogen "konzerninterner Datenverkehr" - Fachverband Externe Datenschutzbeauftragte e.V.