In der Vergangenheit haben wir bereits häufiger zum Thema der Zulässigkeit der internationalen Datentransfers berichtet und zwar insbesondere im Zusammenhang mit der Datenübertragung in die sogenannten Drittstaaten (hierzu vgl. unsere Artikel vom 21.07.2020; 18.09.2020; 11.12.2020; 08.06.2021).
Dabei gelten aus Sicht des europäischen Datenschutzrechts zunächst alle Staaten außerhalb der Europäischen Union und des Europäischen Wirtschaftsraums (EU/EWR) als Drittstaaten. Für einige wenige dieser Drittstaaten existiert ein sogenannter Angemessenheitsbeschluss, mit dem durch die EU-Kommission festgestellt wurde, dass deren Datenschutzstandards denen der DSGVO gleichwertig sind und einen angemessenen Schutz für personenbezogene Daten bieten. Dies führt dazu, dass ein Austausch personenbezogener Daten mit diesen Drittstaaten weitgehend problemlos möglich ist. Für alle anderen Drittstaaten gelten besondere Voraussetzungen, die zu erfüllen sind, soweit personenbezogene Daten in diese Länder übermittelt werden sollen (zu Drittstaatstransfers im Allgemeinen vgl. insbesondere unseren Artikel vom 19.09.2018).
Aus einem aktuellen Anlass greifen wir das Thema erneut auf, da die Entwicklungen von höchster praktischer Relevanz für die Verantwortlichen sind.
Zum aktuellen Anlass
Im Rahmen einer länderübergreifenden Kontrolle überprüfen die deutschen Aufsichtsbehörden für den Datenschutz derzeit Datenübermittlungen durch Unternehmen in die Drittstaaten, mit dem Ziel, die Anforderungen des Europäischen Gerichtshofs (EuGH), welche in der sogenannten Schrems-II-Entscheidung vom 16. Juli 2020 (Rechtssache C‑311/18) aufgestellt wurden, durchzusetzen (zur Schrems-II-Entscheidung des EuGH vgl. unseren Artikel vom 21.07.2020).
In dieser Entscheidung hatte der EuGH festgestellt, dass Übermittlungen in die USA nicht länger auf der Grundlage des sogenannten Privacy-Shields erfolgen können. Auch der Einsatz der Standarddatenschutzklauseln für Datenübermittlungen in Drittstaaten ist entsprechend der aktuellen Rechtsprechung des EuGH nur noch unter Verwendung wirksamer zusätzlicher Maßnahmen möglich, wenn die seitdem obligatorische Prüfung des Verantwortlichen ergeben hat, dass im Empfängerland ohne diese Maßnahmen kein gleichwertiges Schutzniveau für die personenbezogenen Daten gewährleistet werden kann. Das Urteil des EuGH kann in vielen Fällen eine tiefgreifende Umstellung beziehungsweise Anpassung von ganzen Geschäftsmodellen und -abläufen erfordern.
Der EuGH hat dabei die Anforderungen klar formuliert und auch Maßnahmen bei Nichtbeachtung der Anforderungen in der Entscheidung vorgegeben. Demnach sollen die Behörden unzulässige Datenübertragungen „aussetzen oder untersagen“. Entsprechend der Pressemitteilung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) ist dabei das Aussetzen einer Übermittlung in vielen Fällen im kooperativen Dialog mit den betroffenen Unternehmen eine Option, die bestehende Drittlandproblematik zu lösen. Dort, wo dies jedoch nicht möglich sei, werde mit den zur Verfügung stehenden aufsichtsbehördlichen Maßnahmen reagiert. Im Klartext bedeutet das: Im schlimmsten Fall kann es auch zu Bußgeldern kommen.
Hier ist unsere Hoffnung, dass das Bußgeld als Ultima Ratio die Ausnahme bleibt, denn die Aufsichtsbehörden sind sich nach eigenen Angaben der besonderen Herausforderungen, die das EuGH-Urteil zu Schrems II für die Unternehmen in Deutschland und Europa mit sich bringt, bewusst.
Wie läuft die Kontrolle ab?
Die Behörden führen die Kontrollen durch, indem sie die jeweils ausgewählten Unternehmen anschreiben und auf der Basis eines gemeinsam entwickelten Fragenkatalogs die Umsetzung der Anforderungen des EuGH überprüfen.
Dabei betreffen die Fragen unter anderem den Einsatz von Dienstleistern zum E-Mail-Versand, zum Hosting von Internetseiten, zum Webtracking, zur Verwaltung von Bewerberdaten und zum konzerninternen Austausch von Kundendaten und Daten der Beschäftigten.
Erfreulicherweise haben die Aufsichtsbehörden die Fragebögen veröffentlicht, so dass den interessierten Leser*innen der Umweg über die entsprechenden Anfragen an die Behörden nach dem Informationsfreiheitsgesetzes erspart bleibt.
Zum Inhalt der Fragebögen und Prüfungsschwerpunkten
Die Fragebögen betreffen, wie bereits erwähnt wurde, verschiedene Schwerpunktbereiche und beinhalten jeweils zwischen 14 und 18 einzelne Fragen, die zum Teil sehr detailliert sind. Dabei sind nicht lediglich die Fragen zu beantworten, sondern auch entsprechende Dokumente (zum Beispiel die unterzeichneten Standardvertragsklauseln, Auftragsverarbeitungsverträge etc.) dem Fragebogen im Rahmen der Antwort als Anlage beizufügen.
Abgeprüft wird im Rahmen dieser behördlichen Kontrolle jedoch nicht nur der Bereich Drittstaatenübermittlungen, sondern gleichzeitig auch die den jeweiligen Prüfungsschwerpunkt betreffenden Teile des Verzeichnisses der Verarbeitungstätigkeiten gemäß Art. 30 DS-GVO.
Zudem wird auch die Durchführung der Prüfung des Datenschutzniveaus im jeweiligen Drittland überprüft. Darüber hinaus prüfen die Aufsichtsbehörden auch die Maßnahmen, mit denen die Empfänger die Erfüllung der vertraglichen Verpflichtungen gemäß den Standarddatenschutzklauseln garantieren können, soweit die Datenübermittlung auf die Standardvertragsklauseln – wie regelmäßig der Fall – gestützt wird.
Insgesamt handelt es sich bei den Maßnahmen, die die Verantwortlichen im Rahmen der Datenübermittlung in einen Drittstaat ergreifen sollten, um Maßnahmen, die seitens des Europäischen Datenschutzausschusses (EDSA) am 18.06.2021 im Rahmen der Empfehlungen für ergänzende Schutzmaßnahmen beim Transfer personenbezogener Daten in Drittländer außerhalb der EU / des EWR vorgeschlagen werden (hierzu vgl. die Empfehlungen des EDSA zum Drittstaattransfer; abrufbar unter: https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_en).
Dabei handelt sich trotz des gegenüber der ursprünglichen Version und des auf der Seite genannten Datums „01/2020“ um eine Überarbeitung der im November 2020 veröffentlichen ersten Fassung der Empfehlungen des EDSA. In den aktualisierten Empfehlungen hält der EDSA an dem entwickelten 6-Stufenmodell fest und verpflichtet den Datenexporteur zu einer Risikoanalyse sowie zur Dokumentation der Analyse-Ergebnisse. Zentrale Frage der Risikoanalyse ist dabei die Frage, ob in welchem Umfang das Risiko eines Zugriffs auf die Daten seitens ausländischer Behörden bestehen würde.
Zu beachten ist zudem, dass die Europäische Kommission inzwischen neue Standardvertragsklauseln veröffentlicht hat, die im Rahmen der internationalen Datentransfers einzusetzen wären (hierzu vgl. unseren Artikel vom 08.06.2021).
Fazit
Spätestens jetzt zeigt sich, dass das Thema Drittlandtransfers ernst zu nehmen ist und die Taktik des Aussitzens nicht unbedingt die beste Lösungsalternative bei dieser Problematik ist. Die Behörden machen durch die Kontrollaktion deutlich, dass sie das Thema trotz des Verständnisses für die Belange der Verantwortlichen durchaus ernst nehmen und willens sowie in der Lage sind, den Auftrag des Verordnungsgebers und des EuGH zu erfüllen.
Im Rahmen eines jeden Datentransfers in einen Drittstaat müssen die aktualisierten Empfehlungen des EDSA und die Verwendung der neuen EU-Standardvertragsklauseln daher einen integralen Bestandteil der Datenschutz-Compliance bilden. Unternehmen müssen ihre Risikoanalysen dokumentieren, um auf eine behördliche Anfrage entsprechend reagieren zu können. Zudem sollten bei der Festlegung der Schutzmaßnahmen die Empfehlungen des EDSA unbedingt berücksichtigt werden. Eine simple Musterlösung, die für alle Verantwortlichen passt, wird es auch weiterhin bedauerlicher Weise nicht geben.
Zu berücksichtigen ist zudem, dass im Rahmend der Prüfung obwohl die behördlichen Kontrollen eigentlich den Bereich der Datenübermittlung in Drittstaaten betreffen, offene Flanken in anderen Bereichen offenbaren können, z.B. dann, wenn das Verzeichnis der Verarbeitungstätigkeiten nicht oder nur unzureichend geführt wird. Die Verantwortlichen sind daher gut beraten, die Kontrollaktion der Aufsichtsbehörden zum Anlass zu nehmen, die Datenschutz-Compliance nicht nur im Bereich der Drittland-Transfers, sondern auch in anderen relevanten Bereichen zu überprüfen, um auf eine mögliche behördliche Kontrolle gut vorbereitet zu sein.
Benötigen Sie Unterstützung im Rahmen Ihrer Datenübermittlungen in einen Drittstaat? Sind Sie sicher, dass Ihr Verarbeitungsverzeichnis alle Anforderungen erfüllt? Sprechen Sie uns an, wir helfen Ihnen gerne!