Wie bereits berichtet, wollen die Datenschutzbehörden den Einsatz von US-Dienstleistern künftig verstärkt kontrollieren. Nun haben mehrere Behörden, darunter Berlin, Brandenburg, Bayern, Baden-Württemberg, Saarland, Rheinland-Pfalz, Niedersachsen und Hamburg, angekündigt, deutschlandweite koordinierte Kontrollen internationaler Datentransfers von Unternehmen durchzuführen. Dadurch soll die Umsetzung der Vorgaben aus dem sog. Schrems II-Urteils des Europäischen Gerichtshofs (EuGH) überprüft werden.
Hintergrund
Der EuGH hatte in seinem Urteil festgestellt, dass Übermittlungen in die USA nicht länger auf Basis des sog. EU-US-Privacy-Shield-Abkommens erfolgen können. Bei Datenübermittlungen in die USA im Besonderen und generell in Drittstaaten, die auf den Einsatz der sog. EU-Standardvertragsklauseln gestützt werden sollen, fordert das Gericht eine Prüfung des gleichwertigen Datenschutzniveaus im jeweiligen Drittstaat durch die Verantwortlichen. Ergibt diese Prüfung, dass keine Gleichwertigkeit gegeben ist, sind nach Ansicht des Gerichtshofs wirksame zusätzliche Schutzmaßnahmen erforderlich, um das angemessene Schutzniveau zu gewährleisten. Die behördlichen Kontrollen dienen insbesondere dazu, die Implementierung dieser Schutzmaßnahmen zu überprüfen.
Ablauf
Im Rahmen der nun stattfindenden koordinierten Kontrollen schreiben die teilnehmenden Behörden jeweils ausgewählte Unternehmen auf der Basis eines gemeinsamen Fragenkatalogs an. Hierbei soll es insbesondere um den Einsatz von Dienstleistern zum E-Mail-Versand, das Hosting von Internetseiten, dem Webtracking, der Verwaltung von Bewerberdaten und um den konzerninternen Austausch von Kundendaten und Daten der Beschäftigten gehen. Die Aufsichtsbehörden entscheiden dabei jeweils individuell, in welchen dieser Themenfelder sie tätig werden wollen.
Folgen für die Praxis
Vor dem Hintergrund der drohenden behördlichen Kontrollen sollten sich Unternehmen entsprechend vorbereiten, um den Aufsichtsbehörden im Ernstfall eine stichhaltige Begründung für den Einsatz der jeweiligen Dienstleister liefern zu können. Aus diesem Grund sollten die betreffenden Anbieter nochmals datenschutzrechtlich überprüft werden. Dies gilt insbesondere im Hinblick auf gegebenenfalls erforderliche zusätzliche Schutzmaßnahmen. Diese Prüfung sollte darüber hinaus hinreichend dokumentiert werden, um der Behörde im Bedarfsfall geeignete Nachweise vorlegen zu können. Insbesondere Letzteres sollte nicht vernachlässigt werden. Hält die Behörde die jeweilige Begründung nämlich für unzureichend, oder kann die vorgenommene Prüfung nicht hinreichend nachgewiesen werden, können im Einzelfall hohe Bußgelder drohen.
Stand: 17.06.2021