Der Paukenschlag vom 1. Juni: Etliche Datenschutzaufsichtsbehörden machen ernst und starten eine Schwerpunktprüfung „Drittlandtransfer“. Konkret geht es darum, ob die Konsequenzen aus dem EuGH-Schrems II-Urteil aus dem letzten Jahr umgesetzt wurden. Fand eine interne Analyse statt, wo personenbezogene Daten in Drittländer außerhalb des EWR übermittelt wurden? Ist das inzwischen ungültige EU-U.S.-Privacy Shield durch andere Instrumente ersetzt worden? Wie steht es um Vertragsstatus und Betroffeneninformationen? Was genau die Behörden wo unter die Lupe nehmen, haben wir nebst erster Handlungstipps zusammengefasst.
Quer durch die Republik erschienen Anfang Juni Pressemitteilungen auf den Homepages etlicher Datenschutzaufsichtsbehörden: Etwa in Baden-Württemberg, Bayern, Berlin, Brandenburg, Hamburg, Niedersachsen, Rheinland-Pfalz und dem Saarland verkündeten die Datenschutzaufsichtsbehörde ihre Teilnahme an der länderübergreifenden Kontrolle von Datenübermittlungen in Drittstaaten (also Länder außerhalb der EU und des EWR).
Verschickt werden seither Fragebögen an diverse Unternehmen, die sich mit der Übermittlung personenbezogener Daten in Drittstaaten unter spezifischen Schwerpunktthemen beschäftigen. Im Fokus stehen:
- Bewerberportale
- Konzerninterner Datenverkehr
- Mailhoster
- Tracking
- Webhoster
Die entsprechenden Fragebögen sind auf den Websites der Datenschutzaufsichtsbehörden abrufbar. Die Inhalte überraschen im Grundsatz nicht: Gefragt wird letztlich danach, ob die vom EuGH in seiner Schrems II-Entscheidung aus Juli 2020 festgehaltenen Maßstäbe eingehalten werden.
Die Beantwortung derartiger „Fragebögen“ ist zunächst freiwillig. Allerdings steht den Behörden im nächsten Schritt der Erlass eines formalen Auskunftsersuchens offen, das dann auch (zwangsweise) durchgesetzt werden kann. Es empfiehlt sich daher oft, die Fragebögen sorgfältig zu bearbeiten. „Sorgfalt“ bezieht sich dabei auch auf eine abgewogene Präsentation des Status quo und der seit dem EuGH-Urteil im vergangenen Sommer ergriffenen Maßnahmen.
Von zentraler Bedeutung ist dabei, dokumentieren zu können, dass
- im Unternehmen analysiert wird bzw. bestenfalls bekannt ist, wo welche personenbezogenen Daten in Drittländer übermittelt werden,
- bei US-Übermittlungen nicht mehr auf das vom EuGH für ungültig erklärte EU-U.S.-Privacy Shield gesetzt wird,
- die Transferprozesse geprüft und alternative Übermittlungsinstrumente (etwa Standardvertragsklauseln mit zusätzlichen Maßnahmen und Einzelfallprüfung, Einwilligungen o.ä.) im Blick sind,
- ein Wechsel auf EU-Anbieter zumindest geprüft wurde.
Etwa die am 7. Juni im Amtsblatt der EU verkündeten neuen Standardvertragsklauseln der EU-Kommission können hier nun Hilfestellung bieten, Drittstaatentransfers besser abzusichern. Wie genau, erläutern wir in unserem dritten Beitrag in diesem Newsletter – es empfiehlt sich, die neuen Standardvertragsklauseln möglichst zügig gerade für US-Transfers zu vereinbaren.