News

Internationaler Datentransfer - Koordinierte Prüfung internationaler Datentransfers durch deutsche Aufsichtsbehörden

01.06.2021

Deutsche Aufsichtsbehörden überprüfen im Rahmen einer bundesländerübergreifenden Kontrolle Datenübermittlungen durch Unternehmen in Staaten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums (Drittländer)

Hintergrund: „Schrems II“-Entscheidung des EuGH und Empfehlungen des Europäischen Datenschutzausschusses

In einer aufsehenerregenden Entscheidung hatte der Europäische Gerichtshof (EuGH) am 16. Juli 2020 in der Sache „Schrems II“ den Durchführungsbeschluss der Europäischen Kommission zum „EU-U.S. Privacy Shield“ – ohne Übergangsfrist – für ungültig erklärt und damit dem transatlantischen Datentransfer einen herben Schlag versetzt.

Auch die in der Praxis bislang häufig als Transferwerkzeug für den internationalen Datentransfer verwendeten EU Standarddatenschutzklauseln (oder bisher auch „Standardvertragsklauseln“) hatte der EuGH in seiner Entscheidung in den Fokus genommen. Zwar stellte der EuGH klar, dass die Standarddatenschutzklauseln an sich nicht zu beanstanden sind. Gleichzeitig seien die zuständigen Aufsichtsbehörden aber verpflichtet, eine auf Standarddatenschutzklauseln gestützte Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn die Behörden im Licht aller Umstände dieser Übermittlung der Auffassung sind, dass die Klauseln in diesem Drittland nicht eingehalten werden oder nicht eingehalten werden können. Gegebenenfalls müssten der Datenexporteur und Datenimporteur zusätzlich zu den Standardvertragsklauseln ergänzende Maßnahmen treffen, um ein angemessenes Datenschutzniveau zu gewährleisten.

Am 11. November 2020 hatte der Europäische Datenschutzausschuss (EDSA) dazu ausführliche Empfehlungen zu ergänzenden Maßnahmen zu Transferwerkzeugen für internationale Datentransfers veröffentlicht.

Koordinierte Prüfung internationaler Datentransfers durch deutsche Aufsichtsbehörden

Die Aufsichtsbehörden mehrerer Bundesländer (darunter Bayern, Berlin, Brandenburg, Hamburg, Niedersachsen, Rheinland-Pfalz und Saarland), haben nun am 1. Juni 2021 angekündigt, im Rahmen einer bundesländerübergreifenden Kontrolle Datenübermittlungen durch Unternehmen in Staaten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums (Drittländer) zu überprüfen. Ziel sei die „breite Durchsetzung“ der Anforderungen des EuGH aus Schrems II.

Die an der Kontrolle teilnehmenden Behörden möchten ausgewählte Unternehmen in ihrem Zuständigkeitsbereich auf der Grundlage gemeinsamer Fragenkataloge anschreiben. Die gemeinsamen Fragenkataloge befassen sich unter anderem mit Bewerberportalen, konzerninternem Datenverkehr, Mailhosting, Webhosting und Tracking. Die einzelnen Aufsichtsbehörden möchten individuell entscheiden, in welchen dieser Themenfelder sie prüfen und ob sie die Fragenkataloge gegebenenfalls regional anpassen.

Unternehmen in Deutschland sollten sich also darauf einstellen, in den kommenden Tagen Post von der für sie zuständigen Aufsichtsbehörde zu erhalten.

Um für behördliche Auskunftsersuchen bestmöglich gerüstet zu sein, empfehlen wir, sich schon vorab eingehend auch mit den bereits veröffentlichten Fragebögen zu befassen und gegebenenfalls mit der Sammlung der zur Beantwortung erforderlichen Informationen zu beginnen.

Vor dem Hintergrund der datenschutzrechtlichen Rechenschaftspflicht empfehlen wir darüber hinaus auch weiterhin und nun mit allerhöchster Priorität, im Sinne umfassender „Transfer Impact Assessments“ (kurz „TIA“) die Risiken internationaler Datentransfers im Unternehmen insgesamt zu überprüfen und gegebenenfalls Maßnahmen zur Behandlung etwaiger Risiken zu ergreifen. Der Europäischen Datenschutzausschuss (EDSA) hat hierzu in seinen Empfehlungen folgende wesentliche Schritte skizziert: