Datenschutzbehörden starten Kontrolle der Datenübermittlung ins Ausland: Strafen drohen

Die deutschen Datenschutz-Aufsichtsbehörden haben im Juni begonnen, im Rahmen einer länderüber­greifenden Kontrolle die Datenübermittlung in das außereuropäische Ausland zu überprüfen. Ziel ist die Sicherstellung der Umsetzung der Schrems II Entscheidung des Europäischen Gerichtshofs.

Viele Unternehmen haben dieses Feld bislang vernachlässigt. Spätestens jetzt sind die internationalen Datentransfers zu überprüfen und auf eine rechtskonforme Grundlage zu stellen. Denn bei Verstößen gegen die datenschutzrechtlichen Vorgaben stehen aufsichtsbehördliche Maßnahmen wie ein Verbot der Datenübertragung als auch empfindliche Bußgelder im Raum.

Im Rahmen einer koordinierten Aktion der Aufsichtsbehörden werden Datenübermittlungen durch Unternehmen in Staaten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums (Drittstaaten) überprüft. 

Vor diesem Hintergrund haben die Datenschutz-Aufsichtsbehörden nun begonnen, Unternehmen anzuschreiben und diesen umfangreiche und detaillierte Fragekataloge zu der Frage übersandt, ob und auf welcher Grundlage personenbezogene Daten in Drittstaaten übermittelt werden.

Die Kontrolle erfolgt durch mehrere separate Fragebögen zu den Themen

Der Fragebogen zum konzerninternen Datenverkehr verlangt bspw. eine genaue Benennung der übermittelten Daten sowie des Speicherorts als auch die Vorlage eines Verarbeitungsverzeichnisses.

Als Mittel der Wahl haben Unternehmen in solchen Konstellationen bislang die für den internationalen Datentransfer zur Verfügung gestellten EU-Standarddatenschutzklauseln genutzt. Die Gewährleistung des Datenschutzniveaus erschöpft sich aber nicht in der vertraglichen Vereinbarung von solchen Klauseln. Unternehmen sind ferner verpflichtet, ergänzende Maßnahmen zu treffen, um das Schutzniveau bei der Datenübermittlung in Drittländer zu gewährleisten.

Die Prüfung der Aufsichtsbehörden beschränkt sich entsprechend nicht auf die Standarddatenschutzklauseln, die der Behörde in Kopie vorzulegen sind. Daneben spielt die individuell vom Unternehmen durchzuführende Bewertung der Rechtsordnung sowie eine Prüfung des Datenimporteurs eine hervorgehobene Rolle. Für alle diese Punkte sind schriftliche Nachweise zu erbringen.

Das Ziel ist die breite Durchsetzung der Anforderungen des Europäischen Gerichtshofs in seiner Entscheidung vom 16.7.2020 – C-311/18 (“Schrems II“). 

In dem Urteil hat das Gericht seine Erwartung formuliert, dass die Behörden der Mitgliedstaaten unzulässige Datentransfers „aussetzen oder verbieten“. Die Datenschutz-Aufsichtsbehörden haben ihrer Kontrolle entsprechend die in dem Schrems-II-Urteil niedergeschriebenen Anforderungen zugrunde gelegt.

Eine besondere Bedeutung hat das Schrems-II-Urteil für Datentransfers in die Vereinigten Staaten. Mit der Entscheidung wurde durch den Gerichtshof das frühere „EU-US-Privacy Shield“ für unwirksam erklärt. Hierbei handelte es sich um eine Absprache zwischen der Europäischen Union und den Vereinigten Staaten im Bereich des Datenschutzes, das bislang als Grundlage für die Datenübertragung diente.

Der EuGH vertrat die Auffassung, dass die im EU-US Privacy Shield-Abkommen geregelten Schutzmaßnahmen kein ausreichendes Datenschutzniveau in den USA gewährleisten. Das Urteil stellt darauf ab, dass die nachrichtendienstlichen Überwachungsgesetze in den USA die Möglichkeit vorsehen, auf geschützte Daten zuzugreifen. Insbesondere die großen Internetkonzerne seien verpflichtet, den US-Behörden die Daten zugänglich zu machen.

Auch wenn ein Teil der Datenübertragung in die USA auf Grundlage des Privacy-Shield-Urteils nun unrecht­mäßig ist, soll eine Datenübertragung unter Verwendung der von der Kommission erarbeitet Standardvertragsklauseln im Grundsatz weiterhin möglich sein. 

Kritisch bleibt in der Umsetzung jedoch die Frage, wie die hohen Anforderungen des europäischen Daten­schutzes im Fall der Datenübertragung in die USA überhaupt gewährleistet werden können.

Alle Unternehmen, die derzeit personenbezogene Daten in Drittländer übermitteln, stehen vor der Heraus­forderung, unter Datenschutz-Gesichtspunkten tragfähige Lösung zu finden und  die lange praktizierten Geschäftsabläufe auf Rechtskonformität zu überprüfen und ggf. anzupassen.

In diesem Rahmen ist die Verarbeitungstätigkeit im Unternehmen in der Tiefe zu überprüfen. Bei bestehenden Versäumnissen sind Abhilfemaßnahmen einzuleiten und ggf. der Aufsichtsbehörde darzulegen. 

Zwar verstehen die Datenschutzbehörden das Verhältnis zu den Unternehmen derzeit noch als einen „kooperativen Dialog“. Im Falle von Verstößen gegen den Datenschutz werden allerdings ausdrücklich aufsichtsrechtliche Maßnahmen wie ein Verbot der Datenübertragung oder empfindliche Bußgelder in Aussicht gestellt. 

Die Durchführung von Maßnahmen betreffend die im Rahmen der Kontrolle abgefragten Themenfelder lohnt sich deshalb – denn bereits Bemühungen zur Gewährleistung eines angemessenen Datenschutzniveaus können sich bußgeldmindernd auswirken.

Einen Anknüpfungspunkt stellen die als Reaktion auf die Schrems-II Entscheidung durch die EU-Kommission am 4. Juni 2021 veröffentlichten neuen „Standarddatenschutzklauseln“ für Übermittlungen personenbezogener Daten in Drittländer dar. 

Diese geben eine Handreichung für die weitreichenden Prüf- und Dokumentationspflichten des Verwenders und enthalten Regeln im Hinblick auf die

Gerne unterstützt Rödl & Partner Sie dabei, Ihre Datentransfers auf eine rechtskonforme Grundlage zu stellen.