Koordinierte Kontrollen internationaler Datentransfers durch Behörden

Wie bereits berichtet, wollen die Datenschutzbehörden den Einsatz von US-Dienstleistern künftig verstärkt kontrollieren. Nun haben mehrere Behörden, darunter Berlin, Brandenburg, Bayern, Baden-Württemberg, Saarland, Rheinland-Pfalz, Niedersachsen und Hamburg, angekündigt, deutschlandweite koordinierte Kontrollen internationaler Datentransfers von Unternehmen durchzuführen. Dadurch soll die Umsetzung der Vorgaben aus dem sog. Schrems II-Urteils des Europäischen Gerichtshofs (EuGH) überprüft werden.

Hintergrund

Der EuGH hatte in seinem Urteil festgestellt, dass Übermittlungen in die USA nicht länger auf Basis des sog. EU-US-Privacy-Shield-Abkommens erfolgen können. Bei Datenübermittlungen in die USA im Besonderen und generell in Drittstaaten, die auf den Einsatz der sog. EU-Standardvertragsklauseln gestützt werden sollen, fordert das Gericht eine Prüfung des gleichwertigen Datenschutzniveaus im jeweiligen Drittstaat durch die Verantwortlichen. Ergibt diese Prüfung, dass keine Gleichwertigkeit gegeben ist, sind nach Ansicht des Gerichtshofs wirksame zusätzliche Schutzmaßnahmen erforderlich, um das angemessene Schutzniveau zu gewährleisten. Die behördlichen Kontrollen dienen insbesondere dazu, die Implementierung dieser Schutzmaßnahmen zu überprüfen.

Ablauf

Im Rahmen der nun stattfindenden koordinierten Kontrollen schreiben die teilnehmenden Behörden jeweils ausgewählte Unternehmen auf der Basis eines gemeinsamen Fragenkatalogs an. Hierbei soll es insbesondere um den Einsatz von Dienstleistern zum E-Mail-Versand, das Hosting von Internetseiten, dem Webtracking, der Verwaltung von Bewerberdaten und um den konzerninternen Austausch von Kundendaten und Daten der Beschäftigten gehen. Die Aufsichtsbehörden entscheiden dabei jeweils individuell, in welchen dieser Themenfelder sie tätig werden wollen.

Folgen für die Praxis

Vor dem Hintergrund der drohenden behördlichen Kontrollen sollten sich Unternehmen entsprechend vorbereiten, um den Aufsichtsbehörden im Ernstfall eine stichhaltige Begründung für den Einsatz der jeweiligen Dienstleister liefern zu können. Aus diesem Grund sollten die betreffenden Anbieter nochmals datenschutzrechtlich überprüft werden. Dies gilt insbesondere im Hinblick auf gegebenenfalls erforderliche zusätzliche Schutzmaßnahmen. Diese Prüfung sollte darüber hinaus hinreichend dokumentiert werden, um der Behörde im Bedarfsfall geeignete Nachweise vorlegen zu können. Insbesondere Letzteres sollte nicht vernachlässigt werden. Hält die Behörde die jeweilige Begründung nämlich für unzureichend, oder kann die vorgenommene Prüfung nicht hinreichend nachgewiesen werden, können im Einzelfall hohe Bußgelder drohen. 

Stand: 17.06.2021

Scroll Up