Internationale Datentransfers: deutsche Aufsichtsbehörden kündigen Prüfungen nach „Schrems II“ an

Nach dem Urteil des Europäischen Gerichtshofs in Sachen „Schrems II“ im Juli 2020 war klar, dass das „Privacy Shield“-Abkommen nicht weiter zur vereinfachten Durchführung von Datentransfers aus der EU in die USA herangezogen werden darf. In der Folge standen Tausende Unternehmen in der gesamten EU vor der Aufgabe, ihre internationalen Datentransfers (nicht nur) in die USA rechtmäßig auszugestalten. Eine Übergangsfrist gab es nicht, bislang waren die Aufsichtsbehörden jedoch noch nicht tätig geworden.

Am 1. Juni haben die deutschen Datenschutzaufsichtsbehörden jedoch konzertierte Kontrollen zur korrekten Umsetzung der „Schrems   II“-Entscheidung angekündigt und hierzu Fragebögen veröffentlicht, die in den nächsten Wochen an Unternehmen versandt werden sollen – und den Ausgangspunkt für entsprechende Prüf- und gegebenenfalls auch Bußgeldverfahren bilden könnten.

Welche Anforderungen stellt die DSGVO an internationale Datentransfers?

Hinsichtlich der Anforderungen der DSGVO an internationale Datentransfers sind zwei so genannte „Stufen“ zu unterscheiden:

  1. Rechtsgrundlage für die Datenübertragung: Auf der „ersten Stufe“ bedarf es bei internationalen Datentransfers – wie bei jeder anderen Datenübertragung auch – einer Rechtsgrundlage nach Art. 6 DSGVO. Die praktisch relevantesten Rechtsgrundlagen sind dabei die Einwilligung des Betroffenen in die Übertragung, die Erforderlichkeit der Datenübertragung zur Erfüllung eines Vertrags mit dem Betroffenen sowie die Datenübertragung auf der Grundlage der berechtigten Interessen des Verantwortlichen.
  2. Garantien zur Gewährleistung des Datenschutzes: Zudem bedarf es für Datentransfers in Länder, für die kein Angemessenheitsbeschluss der EU-Kommission vorliegt (also zum Beispiel im Fall der USA oder auch Großbritannien ) auf der „zweiten Stufe“ nach Art. 46 DSGVO „angemessener Garantien“, die beim Datenempfänger ein mit der EU vergleichbares Datenschutzniveau sicherstellen. Hierzu werden in der Praxis in der Regel so genannte Standardvertragsklauseln zwischen Datenexporteur und -empfänger eingesetzt.

Dabei ist jedoch auf der „zweiten Stufe“ zusätzlich zu beachten, dass der EuGH im „Schrems II“-Urteil ausdrücklich betonte, dass dann in jedem Einzelfall in einer so genannten Risikoabschätzung abgewogen werden muss, ob darüber hinaus zusätzliche Schutzmaßnahmen erforderlich sind, um ein geeignetes Datenschutzniveau zu gewährleisten. Dies ist bei Datenübertragungen in die USA regelmäßig der Fall.

Der Europäische Datenschutzausschuss hat zu diesen „zusätzlichen Schutzmaßnahmen“ Empfehlungen veröffentlicht, die die Entscheidung im Einzelfall jedoch nur wenig erleichtern. Die heute veröffentlichte Neufassung der Standardvertragsklauseln löst diese Situation auch nicht auf.

Überprüfung internationaler Datentransfers durch die Aufsichtsbehörden

Nachdem die deutschen Datenschutzaufsichtsbehörden in Sachen „Schrems II“ bislang Zurückhaltung geübt haben, ist die „Schonfrist“ nun offensichtlich abgelaufen. Laut einer Pressemittelung des Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 1. Juni planen die deutschen Aufsichtsbehörden, gemeinsam entwickelte Fragenkataloge an ausgewählte Unternehmen zu verschicken. Es ist daher ratsam, sich auf eine mögliche Überprüfung vorzubereiten. Nachfolgend zeigen wir auf, worauf Sie achten müssen.

Die Fragebögen

Die Aufsichtsbehörden der Länder haben gemeinsam eine Reihe von Fragebögen entworfen, um die Umsetzung der „Schrems II“-Entscheidung in Unternehmen zu überprüfen. Ob sich alle 19 deutschen Datenschutzaufsichtsbehörden an diesen Kontrollen beteiligen werden, ist derzeit nicht bekannt. Fest steht, dass sich die Aufsichtsbehörden der folgenden Länder an dem Projekt beteiligen:

  • Baden-Württemberg
  • Bayern
  • Berlin
  • Brandenburg
  • Hamburg
  • Niedersachsen
  • Reinland-Pfalz
  • Saarland

Jede Aufsichtsbehörde entscheidet dabei individuell, in welchen der nachstehend aufgelisteten Themenfelder sie Prüfungen vornimmt und ob der Fragenkatalog regional angepasst wird. Die in Hamburg verwendeten Varianten können Sie auf der Website des Hamburgischen Beauftragen für Datenschutz und Informationsfreiheit einsehen.

Die Fragebögen erfassen die folgenden Themenfelder:

  • Dienste zum E-Mail-Versand
  • Hosting von Websites
  • Einsatz von Webtracking-Diensten
  • Verwaltung von Bewerberdaten
  • konzerninterner Austausch von Kundendaten und Beschäftigtendaten

Abgefragt wird dabei, abhängig von dem jeweiligen Themenfeld, vorrangig Folgendes:

  • Welche Dienstleister werden eingesetzt?
  • Ist der Dienstleister (unabhängig Verantwortlicher, gemeinsam Verantwortlicher oder Auftragsverarbeiter?
  • Wo befinden sich die eingesetzten Server?
  • Seit wann wird mit dem Dienstleister zusammengearbeitet?
  • Welche Kategorien personenbezogener Daten werden verarbeitet?
  • Auf welche Rechtsgrundlage wird die Datenverarbeitung gestützt („erste Stufe“)?
  • Findet eine Datenübertragung in einen Drittstaat statt?
  • Auf welche „Garantien“ (z.B. Standardvertragsklauseln) wird der internationale Datentransfer gestützt („zweite Stufe“)?
  • Wurde eine Risikoabschätzung für den internationalen Datentransfer vorgenommen?
  • Wurden zusätzliche Schutzmaßnahmen vereinbart?
  • Ist eine Umstellung auf eine andere (europäische) Lösung geplant?
  • Liegt ein vorschriftsmäßiges Verarbeitungsverzeichnis vor?

Der Knackpunkt: „zusätzliche Schutzmaßnahmen“ und „Risikoabschätzung“

Ein erstes Exempel wurde bereits statuiert: Am 10. März untersagte das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) einem Online-Händler die Nutzung des cloud-basierten und in den USA ansässigen Newsletter-Diensts Mailchimp. Nach Ansicht des BayLDA hätte das Unternehmen vor der Übertragung der E-Mail-Adressen seiner Newsletter-Empfänger im Rahmen einer Risikoabschätzung prüfen müssen, ob neben den (in den Mailchimp-AGB enthaltenen) Standardvertragsklauseln zusätzliche Schutzmaßnahmen für die Datensicherheit hätten ergriffen und mit dem Anbieter vertraglich vereinbart werden müssen. Dies war nicht geschehen, da das Unternehmen schlicht auf die Rechtmäßigkeit des viel genutzten Diensts vertraut hatte. Außerdem bietet Mailchimp nicht – wie manche anderen Online-Dienste – eine „europäische Lösung“ an, bei der die Daten in der EU verbleiben.

Dass jetzt jedes Unternehmen bei allen verwendeten Online-Diensten den Sitz des Anbieters und der Server prüfen und nach einer spezifischen Risikoabschätzung individuelle Zusatzmaßnahmen mit dem Anbieter vereinbaren und umsetzen muss, ist in der Praxis eigentlich nicht vorstellbar. Der mit diesem, auch „Standardvertragsklauseln Plus“ genannten – Modell verbundene bürokratische Aufwand ist enorm. Wer ihn scheut, muss auf eine europäische Lösung umstellen – oder das Risiko eines Bußgelds eingehen:

Mögliche Konsequenzen für Unternehmen

Der EuGH hat in der „Schrems II“-Entscheidung betont, dass die Aufsichtsbehörden unzulässige internationale Datentransfers zu untersagen haben. Es ist davon auszugehen, dass die Datenschutzbehörden bei Unklarheiten hinsichtlich der Zulässigkeit eines Datentransfers auf die Aussetzung der Übermittlung hinwirken werden. Darüber hinaus können jedoch auch weitere aufsichtsbehördliche Maßnahmen ergehen: Aufgrund der Zeit, die seit der Entscheidung des EuGH vergangen ist, während der Unternehmen die Möglichkeit hatten, ihre Datenübertragungen rechtskonform auszugestalten oder auszusetzen, ist davon auszugehen, dass es nicht bei bloßen Untersagungsverfügungen bleiben wird. Vielmehr ist damit zu rechnen, dass in naher Zukunft die ersten Bußgelder wegen der Nichtbeachtung der Schrems-II-Ent­schei­dung verhangen werden.

Wir raten dringend an, bestehende internationale Datentransfers auf ihre Rechtmäßigkeit hin zu überprüfen. Gerne stehen wir Ihnen hierbei beratend zur Seite und führen gegebenenfalls gemeinsam mit Ihnen die von den Aufsichtsbehörden geforderte dokumentierte Risikoabschätzung durch, wenn die aktuell einzige Alternative – ein Wechsel auf einen europäischen Anbieter – keine Option ist.