Ankündigung einer bundeslandübergreifenden Prüfung von Unternehmen auf Datenübermittlungen in Drittstaaten

Vom sicheren Hafen bis zum Schutzschild

Bevor der Europäische Gerichtshof (EuGH) in seinem sog. "Schrems II"-Urteil vom 16. Juli 2020 (Az. C-311/18) den EU-US-Privacy-Shield für unwirksam erklärt hat, hatte er auch schon die Vorgängerregelung "Safe Harbour" mit einer vergleichbaren Argumentation gekippt ("Schrems I"-Urteil vom 6. Oktober 2015, Az. C-362/14). Dummerweise waren beide Regelungen die Voraussetzung für eine rechtskonforme Übermittlung von personenbezogenen Daten aus der EU in einen unsicheren Drittstaat, hier: die USA. Diese Voraussetzung ist also Mitte Juli 2020 ohne Übergangs- oder Schonfrist entfallen, so dass alle Unternehmen, Behörden und Vereine nun bei der Nutzung von US-Tools von Microsoft, Adobe, Google, Facebook & Co. gleichermaßen vor großen Problemen stehen. Zwar können die sog. EU-Standardvertragsklauseln eine taugliche Vertragsgrundlage bilden, allerdings fordert der EuGH darüber hinaus noch weitere Garantien, um ein angemessenes Schutzniveau in den USA (und im Grunde auch in anderen Nicht-EU-Staaten ohne Angemessenheitsbeschluss) bejahen zu können.

Schnelles Handeln erforderlich

Nun haben die deutschen Datenschutz-Aufsichtsbehörden, wie u.a. auch der Landesbeauftragte für Datenschutz und Informationsfreiheit in Baden-Württemberg (LfDI BW), eine koordinierte Prüfung von internationalen Datentransfers angekündigt (Pressemitteilung vom 2. Juni 2021).

"Im Rahmen einer länderübergreifenden Kontrolle werden Datenübermittlungen durch Unternehmen in Staaten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums (Drittstaaten) überprüft. Das Ziel ist die breite Durchsetzung der Anforderungen des Europäischen Gerichtshofs in seiner Schrems-II-Entscheidung vom 16. Juli 2020 (Rs. C-311/18). [...] Das Urteil des EuGH erfordert in vielen Fällen eine grundlegende Umstellung lange praktizierter Geschäftsmodelle und -abläufe.

Die an der Kontrolle teilnehmenden Behörden schreiben nun die jeweils ausgewählten Unternehmen auf der Basis eines gemeinsamen Fragekatalogs an. Dabei wird es unter anderem um den Einsatz von Dienstleistern zum E-Mail-Versand, zum Hosting von Internetseiten, zum Webtracking, zur Verwaltung von Bewerberdaten und um den konzerninternen Austausch von Kundendaten und Daten der Beschäftigten gehen. Jede Aufsichtsbehörde entscheidet individuell, in welchen dieser Themenfelder sie tätig wird.

Der Gerichtshof hat seine Erwartung klar formuliert, dass die Behörden unzulässige Transfers „aussetzen oder verbieten“. Das Aussetzen einer Übermittlung kann voraussichtlich in vielen Fällen im kooperativen Dialog mit den Unternehmen gelingen. Wo dies nicht möglich ist, wird mit den zur Verfügung stehenden aufsichtsbehördlichen Maßnahmen reagiert. Die Aufsichtsbehörden sind sich der besonderen Herausforderungen, die das EuGH-Urteil zu Schrems II für die Unternehmen in Deutschland und Europa mit sich bringt, bewusst. Sie stehen für Verständnisfragen auch im weiteren Verlauf des Prüfungsverfahrens zur Verfügung, soweit dies nach Maßgabe der vorhandenen Kapazitäten möglich ist."

Die Fragenkataloge wurden veröffentlicht und sind nach Fallgruppen gegliedert:

Betroffene Unternehmen und Konzerne sollten also so bald wie möglich handeln und zumindest überprüfen, ob sie noch Tools bzw. Dienste nutzen, bei denen personenbezogene Daten (wie z.B. IP-Adressen) ins Nicht-EU-Ausland übermittelt werden. Als Beispiele für typische Tools / Dienste sind hier Google Analytics oder auch Facebook Pixel zu nennen. Es existieren darüber hinaus aber auch noch eine ganze Reihe anderer Tools / Dienste, bei deren Nutzung ein Datentransfer aus der EU stattfindet. Generell sollten folgende Schritte unternommen werden:

  • Eingesetzte Tools / Dienste prüfen: Kommen überhaupt Tools bzw. Dienste zum Einsatz, deren Anbieter und / oder Server sich im Nicht-EU-Ausland befinden?
  • Alternativen suchen: Gibt es EU-Alternativen für die eingesetzten Tools / -Dienste?
  • Vertrag abschließen: Können mit dem Anbieter die sog. EU-Standardvertragsklauseln vereinbart werden oder wurde dies bereits getan?
  • Weitere Garantien erfragen: Wurde der Anbieter zu sonstigen Regelungen befragt, durch die weitere Garantien für ein angemessenes Datenschutzniveau bejaht werden können?
  • Gut dokumentieren: Gibt es Aktennotizen o.ä. darüber, ob und wie man sich mit der Problematik auseinandergesetzt hat und vor allem, warum man zu welchen Ergebnissen gekommen ist?

Als Grundlage für die Befragung der Anbieter kann z.B. der Musterfragebogen der Organisation von Max Schrems, NOYB (None of your buisness), der die beiden EuGH-Urteile in Bezug auf die Safe-Harbour- bzw. Privacy-Shield-Regelungen errungen hat, verwendet werden.

Ganz aktuell hat die EU-Kommission heute die neue Fassung der EU-Standardvertragsklauseln angenommen, die zukünftig als Grundlage für die Datenübermittlung dienen sollten:

Dankenswerterweise geben manche Aufsichtsbehörden weitere Tipps und Hilfestellungen zum Thema, wie etwa der LfDI BW in seiner Handreichung "Schrems II – Was jetzt in Sachen internationaler Datentransfer?" oder im Vortrag "Was jetzt in Sachen internationaler Datentransfer?", der als Video über die Website des LfDI BW abrufbar ist. Außerdem existieren auch vom Europäischen Datenschutzausschuss (EDSA) konkrete Hilfestellungen in Form der "Empfehlungen zu ergänzenden Maßnahmen für Übertragungsinstrumente zur Gewährleistung des EU-Schutzniveaus" sowie der "Empfehlungen zu den wesentlichen europäischen Garantien in Bezug auf Überwachungsmaßnahmen".