Schrems II-Umsetzung: Kontrolle der Datenübermittlung in Unternehmen

Das Schrems II-Urteil des EuGH vom 16. Juli 2020 hat spürbare Folgen für viele Unternehmen. Seit die Datenübermittlung in die Vereinigten Staaten nicht mehr auf das sogenannte Privacy Shield gestützt werden kann, gilt es andere geeignete Wege zu finden um die Übertragung zu legitimieren. Die von der EU-Kommission gerade neu beschlossenen Standardvertragsklauseln besitzen ihre Gültigkeit. Wie mit den vorangegangenen Vorschriften ist eine zusätzliche Prüfung des Einzelfalls durch den Verantwortlichen erforderlich, sodass ein angemessenes Schutzniveau für personenbezogene Daten sichergestellt werden kann.

Ob die datenschutzrechtlichen Vorgaben erfüllt werden, soll nun durch eine Kontrolle der Aufsichtsbehörden erfasst werden. So soll eine breite Durchsetzung erreicht werden. Dazu haben die Behörden fünf, sich zum Teil überschneidende Fragenbögen veröffentlicht:

Welcher der Fragebögen bei den jeweiligen Unternehmen eingesetzt wird, entscheidet die zuständige Aufsichtsbehörde. Vorab ist es auch unabhängig von der Kontrolle ratsam einige Punkte intern zu überprüfen.

Das Verzeichnis der Verarbeitungstätigkeiten sollte aktualisiert und vollständig sein. Hierbei ist auf die bestehende gesetzliche Verpflichtung gemäß Art. 30 Abs. 4 DSGVO hinzuweisen.

Außerdem ist die Möglichkeit des Fernzugriffes auf Daten zu hinterfragen. Nach der DSGVO werden an die Übermittlung von Daten in die USA hohe Anforderungen gestellt. Die Aufsichten gehen jetzt einen Schritt weiter und setzen denselben Maßstab auch für bloß mögliche Zugriffe auf Daten durch Dritte aus den USA an. Ob ein potentieller Zugriff durch Drittstaaten einer Übermittlung gleichzustellen ist, ist bislang nicht geklärt. Für den Fragebogen machen zumindest die Datenschutzbehörden hier keinen Unterschied.

Weiterhin sind Fragen zum individuellen Reaktionsvermögen eines Unternehmens denkbar, falls sich die Rechtslage in anderen Staaten ändern sollte. Eine vorausschauende Planung bzw. Ansätze für diesen Fall zu haben sollten vorhanden sein.

Speziell der Fragebogen des Trackings dürfte eine hohe Relevanz aufweisen. In diesem wird allein auf den Einsatz von Tracking Tools auf Webseiten abgestellt und dieser hinterfragt. Dieser sollte nachvollziehbar und begründbar sein bzw. nur mit den erforderlichen Maßnahmen erfolgen.

Abschließend ist noch zu sagen, dass bisher unklar ist inwieweit die Beantwortung der Fragen seitens der Aufsichtsbehörden durchgesetzt werden kann und wird. Falls Sie so ein Schreiben erreicht, sollten Sie schnellstmöglich Ihren Datenschutzbeauftragten darüber informieren.

Interessante Tipps finden Sie auch in unserer letzten News vom 08.06.2021: EU-Kommission veröffentlicht neue Standardvertragsklauseln

Quellen:

Pressemitteilung der Berliner Beauftragte für Datenschutz und Informationssicherheit vom 01.06.2021: Berliner Datenschutzbeauftragte beteiligt sich an deutschlandweiter Prüfung internationaler Datentransfers von Unternehmen

Fragebogen des Hamburgischen Beauftragten für Datenschutz und Informationssicherheit: Koordinierte Prüfung internationaler Datentransfers