Neue Standardvertragsklauseln verabschiedet: Wo besteht jetzt Anpassungsbedarf?

Geschrieben am

Die Europäische Kommission hat am 4. Juni eine neue Version der Standardvertragsklauseln verabschiedet. Die Anpassung der „SCCs“ (Standard Contractual Clauses) stand bereits seit dem Beginn der Anwendbarkeit der DSGVO 2018 im Raum und erhielt durch das Urteil des Europäischen Gerichtshofs im Fall „Schrems II“ besondere Relevanz für Unternehmen, die Daten in Nicht-EU-Länder („Drittländer“) übertragen. Mit dieser Information wollen wir Ihnen einen Überblick zur Bedeutung der SCCs allgemein, den jetzt eingeführten Neuerungen sowie aktuellen Diskussionen und weiteren Entwicklungen geben.

Wann kommen Standardvertragsklauseln zum Einsatz?

Zur Erinnerung: Die DSGVO knüpft internationale Datentransfers an besondere Voraussetzungen. Wann immer Daten aus der EU an einen Empfänger in einem Nicht-EU-Land übertragen werden sollen, hängt die Rechtmäßigkeit dieses Transfers von zwei Fragen ab (auch „Zwei-Stufen-Modell“ genannt):

  1. Auf der „ersten Stufe“ bedarf die Übertragung an einen Dritten als Datenverarbeitungsvorgang zunächst immer einer Rechtsgrundlage nach Art. 6 DSGVO (häufig ist hier die „Datenverarbeitung zur Vertragserfüllung“ einschlägig) oder einer Auftragsverarbeitungsvereinbarung nach Art. 28 DSGVO. (Dies wird beim Drittlandstransfer häufig übersehen, wenn man nur auf die „zweite Stufe“ schaut.)
  2. Auf der „zweiten Stufe“ stellt sich die Frage, ob die Datenübermittlung in ein Drittland nach Art. 44 DSGVO nach den Vorschriften des 5. Kapitels der DSGVO zulässig ist. Der Gedanke dabei ist, dass das Schutzniveau der Daten durch den Transfer in das Drittland nicht unter das Schutzniveau in der EU absinken darf. Um dies sicherzustellen, sieht die DSGVO im Wesentlichen drei Mechanismen vor, wie eine solche Absicherung erfolgen kann: Erstens kann für das Empfängerland ein genereller Angemessenheitsbeschluss der EU-Kommission vorliegen, zweitens können „geeignete Garantien“ gem. Art. 46 DSGVO (zu denen die Standardvertragsklauseln zählen) vereinbart werden, oder es kann drittens eine Ausnahmeregelung nach Art. 49 DSGVO greifen.

Welche Bedeutung haben die neuen Standardvertragsklauseln
vor dem Hintergrund des „Schrems II“-Urteils?

In der Entscheidung des Europäischen Gerichtshofs in Sachen „Schrems II“ war das bis dahin für Datentransfers in die USA auf der „zweiten Stufe“ vielfach genutzte „Privacy Shield“-Abkommen für ungültig erklärt worden. Unternehmen, die sich bis dato zur Absicherung der Zusammenarbeit mit Dienstleistern in den USA auf diesen Mechanismus beriefen, mussten eine andere Lösung finden und wechselten in den allermeisten Fällen zu den Standardvertragsklauseln.

Dabei ist jedoch eine wichtige Aussage des „Schrems II“-Urteils zu beachten, die häufig übersehen wird: Der Europäische Gerichtshof bestätigte in seiner Entscheidung zwar im Grundsatz die Gültigkeit der Standardvertragsklauseln, stellte jedoch gleichzeitig fest, dass auf diese Weise nicht pauschal jeder Transfer in ein beliebiges Drittland abgesichert werden kann. Vielmehr können die SCCs nur dann eingesetzt werden, wenn der Datenexporteur und der Empfänger im Drittland auch faktisch gewährleisten (und dokumentieren), dass die Regelungen der SCCs dort auch eingehalten werden können. In Bezug auf die USA machte der EuGH deutlich, dass dies aufgrund der dortigen Überwachungsgesetze nicht so einfach möglich ist. Für die erforderlichen „zusätzlichen Maßnahmen zur Gewährleistung eines ausreichenden Datenschutzniveaus“ veröffentlichte die baden-württembergische Datenschutzaufsichtsbehörde Vorschläge für die Erweiterung der Standardvertragsklauseln („SCC Plus“) und die Durchführung der vorgeschriebenen Risikoabschätzung („Transfer Impact Assessment“, TIA). Am 18. Juni veröffentlichte der Europäische Datenschutzausschuss die finaler Fassung einer Orientierungshilfe zum Thema.

Dabei blieben auch einige weitere Themen offen: Wie können die SCCs für so genannte „Processor-to-Processor“-Verhältnisse genutzt werden? Welche „zusätzlichen Maßnahmen“ sind ausreichend? Die nun veröffentlichten überarbeiteten Standardvertragsklauseln sind der Versuch der EU-Kommission, diese offenen Fragen zu beantworten.

Ab wann gelten die neuen Standardvertragsklauseln?

Die neuen Standardvertragsklauseln wurden am 4. Juni verabschiedet. Ab dem 27. September 2021 dürfen die alten SCCs nicht mehr für neue Vereinbarungen werden; für „Altfälle“ haben Unternehmen jetzt 18 Monate Zeit, um die neuen Standardvertragsklauseln in bestehende Vereinbarungen einzuarbeiten.

Was regeln die neuen Standardvertragsklauseln?

Die neuen Standardvertragsklauseln sind modular aufgebaut und können so im Vergleich zu den alten SCCs mehr unterschiedliche datenschutzrechtliche Beziehungen abdecken, also Datentransfers zwischen datenschutzrechtlich Verantwortlichen und/oder Auftragsverarbeitern. Standen bislang nur Klauseln für Datentransfers „Controller-to-Controller“ und „Controller-to-Processor“ zur Verfügung, wurden diese nun um die Optionen „Processor-to-Processor“ und „Processor-to-Controller“ erweitert.

Damit stehen nun innerhalb eines Dokuments die folgenden Module zur Verfügung:

  1. Controller-to-Controller
  2. Controller-to-Processor
  3. Processor-to-Processor
  4. Processor-to-Controller

Werden die Module 2 und 3 korrekt ausgefüllt, benötigt man keinen separaten Auftragsverarbeitunsgvertrag (AVV) nach Artikel 28 Abs. 3 DSGVO mehr – man kann also jetzt die erste und zweite „Stufe“ in einem Dokument erledigen. Lediglich Modul 4 bietet nicht diese Möglichkeit nicht. Da das Ausfüllen der Klauseln recht kompliziert werden kann, erarbeiten wir derzeit eine „Ausfüllhilfe“ für Unternehmen.

Neben dem modularen Aufbau des neuen Dokuments sind zwei weitere wesentliche Änderungen in den Klauseln 14 und 15 enthalten:

Klausel 14 setzt eine der Vorgaben des „Schrems II“-Urteils um: Sie verpflichtet Daten exportierende Unternehmen, für jeden Datentransfer im Rahmen eines „Transfer Impact Assessment“ das durch die Datenübertragung geschaffene Risiko für die Betroffenen einzuschätzen. Diese Prüfung muss dokumentiert und der Aufsichtsbehörde auf Anfrage vorgelegt werden. Es ist zu hoffen, dass sich diesbezüglich Standards in Bezug auf häufig genutzte Anbieter etablieren werden, um den bürokratischen Aufwand in Grenzen zu halten. So unangenehm der mit diesem Schritt verbundene Aufwand ist: Erst kürzlich hat das Bayerische Landesamt für Datenschutzaufsicht einem Unternehmen die Nutzung des Diensts „Mailchimp“ untersagt, weil keine Risikoabschätzung vorgelegt werden konnte.

In Klausel 15 findet sich eine neue Verpflichtung für den Datenimporteur, die ebenfalls das „Schrems II“-Urteil umsetzt: Im Falle einer Anfrage ausländischer Behörden auf die übertragenen Daten müssen sowohl der Datenexporteur als auch alle Betroffenen infomiert werden.

Weitere Neuerungen sind erweiterte Rechte der Betroffenen gegenüber dem Datenimporteur, die Option, dass weitere Parteien einer bestehenden SCC-Vereinbarung beitreten können.

Was ist nun zu tun?

Abhängig davon, in welchem Umfang Sie Daten in Nicht-EU-Länder übertragen, ist die Umstellung auf die neuen Standardvertragsklauseln mehr oder weniger aufwändig. Insbesondere die Erfassung der betroffenen Datenströme im Unternehmen, die Dokumentation der Risikoabschätzungen sowie die Vereinbarung der neuen SCCs mit Ihren Partnern und Dienstleistern kann einige Zeit in Anspruch nehmen. Beachten Sie insbesondere, dass neben Ihren Beziehungen zu großen Anbietern wie Amazon oder Google auch ihr „Kerngeschäft“ mit Ihren eigenen Kunden betroffen sein kann, wenn sie als Auftragsverarbeiter auftreten und Daten in Drittländer übertragen.

Wir empfehlen die folgenden Schritte:

1. Bestandsaufnahme („Mapping“)

Prüfen Sie, wo in ihrem Unternehmen Daten in Drittländer übertragen werden und welche Rolle Sie dabei einnehmen. Wenn möglich, nutzen Sie hierzu ihr Verarbeitungsverzeichnis und passen es gleich mit an. Kommen Sie bei Unsicherheiten gern auf uns zu.

Für Konzerne: Bitte beachten Sie, dass nicht nur der Drittlandstransfers an Externe erfasst werden, sondern auch interne Datenflüsse zu überprüfen sind.

2. Abschluss der neuen Standardvertragsklauseln

Schließen Sie mit jedem Unternehmen mit Sitz in einem Nicht-EU-Land, an das Sie Daten übertragen, die neuen Standardvertragsklauseln ab. (Wir erarbeiten dazu aktuell eine Ausfüllhilfe, die demnächst zur Verfügung steht.) Im Fall großer US-Anbieter geschieht dies voraussichtlich innerhalb der nächsten Monate „automatisch“ durch eine Anpassung der AGB der einzelnen Dienstleister.

An dieser Stelle müssen wir auf ein wesentliches Problem hinweisen, das weiterhin besteht: Ob und in welchem Umfang auch die neuen Standardvertragsklauseln durch zusätzliche vertragliche und technische Maßnahmen ergänzt werden müssen („SCC Plus“), bleibt offen.

3. Risikoabschätzungen (Transfer Impact Assessments) durchführen

Klausel 14 der SCCs schreibt im Anschluss an das „Schrems II“-Urteil des EuGH vor, dass für jeden internationalen Datentransfer eine Risikoabschätzung durchzuführen und zu dokumentieren ist. Der mit diesem Schritt verbundene Aufwand sollte bei der Planung der Umsetzung besonders berücksichtigt werden.

Welche Fragen bleiben offen?

Zu begrüßen ist, dass mit den neuen Standardvertragsklauseln endlich auch eine Option für „Processor-to-Processor“-Beziehungen vorliegt. Auch der Wegfall des separaten Abschlusses einer Auftragsverarbeitungsvereinbarung verringert den mit internationalen Datentransfers verbundenen Aufwand.

Ein ganz wesentlicher Punkt bleibt jedoch unbeantwortet, denn: Ob die neuen Standardvertragsklauseln das durch das „Schrems II“-Urteil geschaffene Problem des Datenzugriffs durch Sicherheitsbehörden in Ländern wie den USA lösen, bleibt fraglich. Unklar bleibt hier, welche technischen und organisatorischen Maßnahmen geeignet sind, um ein „angemessenes Datenschutzniveau“ zu gewährleisten. Auch ist unklar, in welchen Fällen die SCCs weiterhin um zusätzliche Vereinbarungen ergänzt werden müssen („SCC Plus“). Außerdem liegt bislang keine praktische Handlungsanweisung für die korrekte Umsetzung der Risikoabschätzung vor.

Zu einer weiteren äußerst technischen Frage, nämlich genauen den Anwendungsbereich der Standardvertragsklauseln gemäß Erwägungsgrund 7, will sich die Europäische Kommission in den nächsten Wochen noch einmal äußern.

Für Unternehmen bedeuten die neuen Standardvertragsklauseln zunächst einmal einen erheblichen Arbeitsaufwand. Die bestehende Rechtsunsicherheit in Bezug auf internationale Datentransfers ist keineswegs beseitigt. Für Datentransfers in die USA haben die EU und die neue US-Regierung laut EU-Justizkommissar Didier Reynders Verhandlungen zu einem neuen bilateralen Abkommen aufgenommen. Ob und wie dieses aussehen könnte, sowie die Frage, ob die neuen Standardvertragsklauseln bis dahin für Datentransfers in die USA „gefahrlos“ genutzt werden kann, ist derzeit völlig unklar. Über diese Entwicklungen halten wir Sie natürlich auf dem Laufenden – sprechen Sie uns bei Fragen jederzeit gern an.      

Was ändert sich durch das neue TTDSG für die Onlinemarketing-Branche? (Spoiler: vorerst nichts.)

Geschrieben am

Um das Telekommunikationsgesetz (TKG) sowie das Telemediengesetz (TMG) zu vereinheitlichen, stand bereits seit einiger Zeit eine Novellierung im Raum. Dieses neue „Telekommunikations- und Telemedien-Datenschutzgesetz“ (TTDSG) wurde nunmehr verabschiedet und tritt im November in Kraft. Wesentliche Neuerungen für die Onlinemarketing-Branche ergeben sich aus dem Gesetz nicht – zumindest vorerst.

Was ist geschehen?

Vorrangig wurde mit dem viel diskutierten neuen § 25 TTDSG die bereits 2009(!) von der EU überarbeitete ePrivacy-Richtlinie umgesetzt. Hintergrund ist unter anderem, dass der deutsche Bundesgerichtshof im Mai 2020 im so genannten „Planet49“-Urteil entschieden hatte, dass die alte deutsche Vorschrift zur Frage der Cookie-Einwilligung in § 15 Abs. 3 TMG ihrem Wortlaut nach Art. 5 Abs. 3 ePrivacy-Richtlinie widerspreche (siehe auch unseren ausführlichen Beitrag zum damaligen Urteil).

Art. 5 Abs. 3 ePrivacy-Richtlinie lautet (mit Auslassungen zur besseren Lesbarkeit):

„[D]ie Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines […] Nutzers gespeichert sind, [ist] nur gestattet […], wenn der betreffende […] Nutzer […] seine Einwilligung gegeben hat. Dies steht einer […] Speicherung oder dem Zugang nicht entgegen, […] wenn dies unbedingt erforderlich ist, damit der Anbieter […], [den] Dienst zur Verfügung stellen kann.“

Was ist neu (oder auch nicht)?

Die Anforderungen aus Art. 5 Abs. 3 ePrivacy-Richtlinie werden nun in § 25 TTDSG (endlich) in nationales Recht umsetzt. Der Wortlaut ist weitestgehend gleichlaufend (mit Auslassungen zur besseren Lesbarkeit) :

„Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer […] eingewilligt hat. […] Die Einwilligung […] ist nicht erforderlich, […] wenn die Speicherung von Informationen […] oder der Zugriff auf […] gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter […] einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.“

Praktisch relevante Änderungen (gegenüber der Rechtslage vor dem Erlass des neuen Gesetzes) ergeben sich hieraus nicht. Denn bereits seit dem „Planet49“-Urteil ist § 15 Abs. 3 TMG so auszulegen, dass die Vorgaben aus Art. 5 Abs. 3 ePrivacy-Richtlinie eingehalten werden. Die neue Regelung in § 25 TTDSG folgt dieser Linie. Insbesondere schreibt sie das Einwilligungserfordernis aus der ePrivacy-Richtlinie fort.

Weiter bestehende Rechtsunsicherheiten

Auch bezüglich der für die Praxis äußerst relevanten Ausnahme, nach der eine Einwilligung nicht erforderlich ist, wenn die Informationsverarbeitung „unbedingt erforderlich“ ist, damit der Anbieter den aufgerufenen Dienst zur Verfügung stellen kann, enthält das TTDSG keine Neuerungen. Die Ausnahme entspricht nahezu wortgleich der Regelung aus Art. 5 Abs. 3 ePrivacy-Richtlinie.

Es bleibt somit weiterhin unklar, wann genau eine Informationsverarbeitung zur Erbringung eines Dienstes „unbedingt erforderlich“ ist (diskutiert wird diese Ausnahme für Analytics-Dienste, aber auch für das Affiliate-Marketing). Diese Debatte wird bereits seit der Novelle der ePrivacy-Richtlinie im Jahr 2009 geführt. Die beinahe wortgleiche Umsetzung der Richtlinie im TTDSG verpasst die Chance, für Rechtsklarheit in der Praxis zu sorgen.

Zur Verdeutlichung der schlichten Übernahme nachstehend der nebeneinander gestellte Wortlaut der Ausnahmeregelung (mit Hervorhebungen und Auslassungen zur besseren Lesbarkeit):

Art. 5 Abs. 3 ePrivacy-Richtlinie (2009)§ 25 Abs. 2 TTDSG (2021)
„[D]ie Speicherung von Informationen oder de[r] Zugriff auf Informationen, die im Endgerät eines […] Nutzers gespeichert sind, [ist] nur […] gestattet […], wenn der […] Nutzer […] seine Einwilligung gegeben hat, [außer] wenn dies unbedingt erforderlich ist, damit der Anbieter [den] Dienst zur Verfügung stellen kann. „Die Einwilligung […] ist nicht erforderlich, […] wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter [..] einen vom Nutzer ausdrücklich gewünschten [D]ienst zur Verfügung stellen kann.

Der deutsche Gesetzgeber wollte mit dem § 25 TTDSG schlicht die vom EuGH angemahnte Korrektur vorzunehmen, versäumt dabei jedoch, aus den in der Praxis gesammelten Erfahrungen mit der schwer greifbaren Formulierung der „unbedingten Erforderlichkeit“ zu lernen und Klarstellungen aufzunehmen. Die Begründung des Regierungsentwurfs sagt dazu (S. 35 und 40 f., mit Hervorhebungen und Auslassungen zur besseren Lesbarkeit):

„§ 2[5] TTDSG […] orientiert sich […] eng am Wortlaut von Artikel 5 Absatz 3 der E-Privacy-Richtline.“

Es bleibt zu hoffen, dass der Praxis durch eine Positionierung der Datenschutzkonferenz (DSK) in naher Zukunft eine Orientierungshilfe an die Hand gegeben wird, wie es die Aufsichtsbehörden in Großbritannien und in Frankreich vorgemacht haben.

Tatsächliche Neuerungen beim Wie der Einwilligung

Eine nennenswerte Neuerung könnte sich hingegen aus § 26 TTDSG ergeben. Nach dieser Vorschrift können „Dienste zur Verwaltung von […] erteilten Einwilligungen“, also Consent Management Platform-Dienste (CMPs), von einer unabhängigen Stelle anerkannt werden, wenn sie gewisse Voraussetzungen erfüllen. Eine solche Anerkennung soll zu einer erhöhten Rechtssicherheit der Art und Weise der Einholung der Einwilligung führen.

Das Gesetz ermächtigt die Bundesregierung, durch Rechtsverordnung die dafür geltenden Anforderungen näher auszugestalten. Es ist zu hoffen, dass hierdurch eine erhöhte Rechtsklarheit in Bezug auf (un-)zulässiges „Nudging“ erreicht wird. (Unter Nudging werden Gestaltungen von Cookie-Bannern verstanden, die Website-Besucher zur Abgabe einer Einwilligung bewegen sollen.) Mit einer solchen Verordnung ist aber frühestens Anfang 2022 zu rechnen.

Internationale Datentransfers: deutsche Aufsichtsbehörden kündigen Prüfungen nach „Schrems II“ an

Nach dem Urteil des Europäischen Gerichtshofs in Sachen „Schrems II“ im Juli 2020 war klar, dass das „Privacy Shield“-Abkommen nicht weiter zur vereinfachten Durchführung von Datentransfers aus der EU in die USA herangezogen werden darf. In der Folge standen Tausende Unternehmen in der gesamten EU vor der Aufgabe, ihre internationalen Datentransfers (nicht nur) in die USA rechtmäßig auszugestalten. Eine Übergangsfrist gab es nicht, bislang waren die Aufsichtsbehörden jedoch noch nicht tätig geworden.

Am 1. Juni haben die deutschen Datenschutzaufsichtsbehörden jedoch konzertierte Kontrollen zur korrekten Umsetzung der „Schrems   II“-Entscheidung angekündigt und hierzu Fragebögen veröffentlicht, die in den nächsten Wochen an Unternehmen versandt werden sollen – und den Ausgangspunkt für entsprechende Prüf- und gegebenenfalls auch Bußgeldverfahren bilden könnten.

Welche Anforderungen stellt die DSGVO an internationale Datentransfers?

Hinsichtlich der Anforderungen der DSGVO an internationale Datentransfers sind zwei so genannte „Stufen“ zu unterscheiden:

  1. Rechtsgrundlage für die Datenübertragung: Auf der „ersten Stufe“ bedarf es bei internationalen Datentransfers – wie bei jeder anderen Datenübertragung auch – einer Rechtsgrundlage nach Art. 6 DSGVO. Die praktisch relevantesten Rechtsgrundlagen sind dabei die Einwilligung des Betroffenen in die Übertragung, die Erforderlichkeit der Datenübertragung zur Erfüllung eines Vertrags mit dem Betroffenen sowie die Datenübertragung auf der Grundlage der berechtigten Interessen des Verantwortlichen.
  2. Garantien zur Gewährleistung des Datenschutzes: Zudem bedarf es für Datentransfers in Länder, für die kein Angemessenheitsbeschluss der EU-Kommission vorliegt (also zum Beispiel im Fall der USA oder auch Großbritannien ) auf der „zweiten Stufe“ nach Art. 46 DSGVO „angemessener Garantien“, die beim Datenempfänger ein mit der EU vergleichbares Datenschutzniveau sicherstellen. Hierzu werden in der Praxis in der Regel so genannte Standardvertragsklauseln zwischen Datenexporteur und -empfänger eingesetzt.

Dabei ist jedoch auf der „zweiten Stufe“ zusätzlich zu beachten, dass der EuGH im „Schrems II“-Urteil ausdrücklich betonte, dass dann in jedem Einzelfall in einer so genannten Risikoabschätzung abgewogen werden muss, ob darüber hinaus zusätzliche Schutzmaßnahmen erforderlich sind, um ein geeignetes Datenschutzniveau zu gewährleisten. Dies ist bei Datenübertragungen in die USA regelmäßig der Fall.

Der Europäische Datenschutzausschuss hat zu diesen „zusätzlichen Schutzmaßnahmen“ Empfehlungen veröffentlicht, die die Entscheidung im Einzelfall jedoch nur wenig erleichtern. Die heute veröffentlichte Neufassung der Standardvertragsklauseln löst diese Situation auch nicht auf.

Überprüfung internationaler Datentransfers durch die Aufsichtsbehörden

Nachdem die deutschen Datenschutzaufsichtsbehörden in Sachen „Schrems II“ bislang Zurückhaltung geübt haben, ist die „Schonfrist“ nun offensichtlich abgelaufen. Laut einer Pressemittelung des Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 1. Juni planen die deutschen Aufsichtsbehörden, gemeinsam entwickelte Fragenkataloge an ausgewählte Unternehmen zu verschicken. Es ist daher ratsam, sich auf eine mögliche Überprüfung vorzubereiten. Nachfolgend zeigen wir auf, worauf Sie achten müssen.

Die Fragebögen

Die Aufsichtsbehörden der Länder haben gemeinsam eine Reihe von Fragebögen entworfen, um die Umsetzung der „Schrems II“-Entscheidung in Unternehmen zu überprüfen. Ob sich alle 19 deutschen Datenschutzaufsichtsbehörden an diesen Kontrollen beteiligen werden, ist derzeit nicht bekannt. Fest steht, dass sich die Aufsichtsbehörden der folgenden Länder an dem Projekt beteiligen:

  • Baden-Württemberg
  • Bayern
  • Berlin
  • Brandenburg
  • Hamburg
  • Niedersachsen
  • Reinland-Pfalz
  • Saarland

Jede Aufsichtsbehörde entscheidet dabei individuell, in welchen der nachstehend aufgelisteten Themenfelder sie Prüfungen vornimmt und ob der Fragenkatalog regional angepasst wird. Die in Hamburg verwendeten Varianten können Sie auf der Website des Hamburgischen Beauftragen für Datenschutz und Informationsfreiheit einsehen.

Die Fragebögen erfassen die folgenden Themenfelder:

  • Dienste zum E-Mail-Versand
  • Hosting von Websites
  • Einsatz von Webtracking-Diensten
  • Verwaltung von Bewerberdaten
  • konzerninterner Austausch von Kundendaten und Beschäftigtendaten

Abgefragt wird dabei, abhängig von dem jeweiligen Themenfeld, vorrangig Folgendes:

  • Welche Dienstleister werden eingesetzt?
  • Ist der Dienstleister (unabhängig Verantwortlicher, gemeinsam Verantwortlicher oder Auftragsverarbeiter?
  • Wo befinden sich die eingesetzten Server?
  • Seit wann wird mit dem Dienstleister zusammengearbeitet?
  • Welche Kategorien personenbezogener Daten werden verarbeitet?
  • Auf welche Rechtsgrundlage wird die Datenverarbeitung gestützt („erste Stufe“)?
  • Findet eine Datenübertragung in einen Drittstaat statt?
  • Auf welche „Garantien“ (z.B. Standardvertragsklauseln) wird der internationale Datentransfer gestützt („zweite Stufe“)?
  • Wurde eine Risikoabschätzung für den internationalen Datentransfer vorgenommen?
  • Wurden zusätzliche Schutzmaßnahmen vereinbart?
  • Ist eine Umstellung auf eine andere (europäische) Lösung geplant?
  • Liegt ein vorschriftsmäßiges Verarbeitungsverzeichnis vor?

Der Knackpunkt: „zusätzliche Schutzmaßnahmen“ und „Risikoabschätzung“

Ein erstes Exempel wurde bereits statuiert: Am 10. März untersagte das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) einem Online-Händler die Nutzung des cloud-basierten und in den USA ansässigen Newsletter-Diensts Mailchimp. Nach Ansicht des BayLDA hätte das Unternehmen vor der Übertragung der E-Mail-Adressen seiner Newsletter-Empfänger im Rahmen einer Risikoabschätzung prüfen müssen, ob neben den (in den Mailchimp-AGB enthaltenen) Standardvertragsklauseln zusätzliche Schutzmaßnahmen für die Datensicherheit hätten ergriffen und mit dem Anbieter vertraglich vereinbart werden müssen. Dies war nicht geschehen, da das Unternehmen schlicht auf die Rechtmäßigkeit des viel genutzten Diensts vertraut hatte. Außerdem bietet Mailchimp nicht – wie manche anderen Online-Dienste – eine „europäische Lösung“ an, bei der die Daten in der EU verbleiben.

Dass jetzt jedes Unternehmen bei allen verwendeten Online-Diensten den Sitz des Anbieters und der Server prüfen und nach einer spezifischen Risikoabschätzung individuelle Zusatzmaßnahmen mit dem Anbieter vereinbaren und umsetzen muss, ist in der Praxis eigentlich nicht vorstellbar. Der mit diesem, auch „Standardvertragsklauseln Plus“ genannten – Modell verbundene bürokratische Aufwand ist enorm. Wer ihn scheut, muss auf eine europäische Lösung umstellen – oder das Risiko eines Bußgelds eingehen:

Mögliche Konsequenzen für Unternehmen

Der EuGH hat in der „Schrems II“-Entscheidung betont, dass die Aufsichtsbehörden unzulässige internationale Datentransfers zu untersagen haben. Es ist davon auszugehen, dass die Datenschutzbehörden bei Unklarheiten hinsichtlich der Zulässigkeit eines Datentransfers auf die Aussetzung der Übermittlung hinwirken werden. Darüber hinaus können jedoch auch weitere aufsichtsbehördliche Maßnahmen ergehen: Aufgrund der Zeit, die seit der Entscheidung des EuGH vergangen ist, während der Unternehmen die Möglichkeit hatten, ihre Datenübertragungen rechtskonform auszugestalten oder auszusetzen, ist davon auszugehen, dass es nicht bei bloßen Untersagungsverfügungen bleiben wird. Vielmehr ist damit zu rechnen, dass in naher Zukunft die ersten Bußgelder wegen der Nichtbeachtung der Schrems-II-Ent­schei­dung verhangen werden.

Wir raten dringend an, bestehende internationale Datentransfers auf ihre Rechtmäßigkeit hin zu überprüfen. Gerne stehen wir Ihnen hierbei beratend zur Seite und führen gegebenenfalls gemeinsam mit Ihnen die von den Aufsichtsbehörden geforderte dokumentierte Risikoabschätzung durch, wenn die aktuell einzige Alternative – ein Wechsel auf einen europäischen Anbieter – keine Option ist.