Behördliche Prüfungen bei Datenübermittlungen in Drittländer
Übermitteln Unternehmen die Daten von EU-Bürgern im Rahmen ihrer Verarbeitungen in Drittländer, so muss vorher immer geprüft werden auf welcher Rechtsgrundlage dies erfolgen kann.
In manchen Drittländern ist das Datenschutzniveau gleich dem der Europäischen Union. Für diese Länder hat die Europäische Kommission Angemessenheitsbeschlüsse erlassen, auf deren Grundlage eine Datenübermittlung in diese Länder problemlos möglich ist. Beispiele hierfür sind Kanada, Japan oder auch die Schweiz.
In Ländern, in denen das Datenschutzniveau niedriger als in der EU ist, muss diese Lücke durch die Anwendung geeigneter Garantien geschlossen werden. Dies kann nach Art. 46 DSGVO erfolgen, z.B. durch den Einsatz von Standardvertragsklauseln, individuellen unternehmensinternen Verhaltensregeln (BCRs) oder auch branchenweit genehmigten Verhaltensregeln (COCs).
In der Vergangenheit zählte bei Übermittlungen in die USA auch das Privacy Shield zu den geeigneten Garantien. Durch das Schrems II- Urteil des EuGH aus dem letzten Jahr, ist das Privacy Shield nicht mehr länger eine zulässige Basis für Datenübermittlungen in die USA. Hintergrund für das Urteil ist die rechtliche Möglichkeit US-amerikanischer Behörden auf Unternehmensdaten von US-Unternehmen oder Tochterunternehmen von US-Unternehmen zu zugreifen, auch wenn diese ihre Daten außerhalb der USA verarbeiten bzw. speichern. Dieses Vorgehen ist mit den Vorgaben der DSGVO jedoch nicht zu vereinbaren. Derzeit ist eine Übermittlung von personenbezogene Daten in die USA also als problematisch zu betrachten. Auch der Abschluss von geeigneten Garantien allein, wie z.B. Standardvertragsklauseln, kann dieses rechtliche Problem mit US-Unternehmen nicht einfach lösen.
Nun haben am heutigen Dienstag, den 01.06.2021, die Datenschutzbehörden der Länder gemeinsam eine „koordinierte Prüfung internationaler Datentransfers" im Zusammenhang mit dem oben erwähnten Schrems-II-Urteil des EuGH vom 16.07.2020 angekündigt.
Initiiert wurde dies von der Datenschutzbehörde Rheinland-Pfalz, die zu diesem Thema eine Informationsoffensive gestartet hatte, um Unternehmen auf die Einhaltung der Vorgaben zur Datenübermittlung in Drittländer zu sensibilisieren und auf die Notwendigkeit hinzuweisen, in manchen Fällen Geschäftsprozesse an die neuen rechtlichen Regeln anzupassen.
Nachdem diese Behörde stichprobenartige Kontrollen angekündigt hatte, in denen die DSGVO-konforme Übermittlung von personenbezogenen Daten in Drittländer geprüft werden sollte, wurde nun die gemeinsame Prüfung in allen Bundesländern angekündigt. Die jeweiligen Landesbehörden haben dazu die für alle Länder identischen Fragenkataloge veröffentlicht, die von den Behörden ab heute an ausgewählt Unternehmen verschickt werden. Sie gliedern sich in folgende Themenbereiche:
Die Aufsichtsbehörden entscheiden dabei selbst, welche Themengebiete sie bei den Unternehmen prüfen möchten. Der weitere Weg im Prüfverfahren entscheidet sich dann anhand der Ergebnisse der ersten Stellungnahme. Bei den Prüfungen werden die Aufsichtsbehörden die Erwartungshaltung des EuGH als Maßstab anwenden. Dieser erwartet, dass die Behörden unzulässige Datenübermittlungen aussetzen oder verbieten.
Die Behörden machen jetzt also Druck auf alle Unternehmen, ihre Datenübermittlungen in Drittländer auf die aktuelle Zulässigkeit zu prüfen und bei negativen Ergebnissen entsprechende Maßnahmen, wie z.B. einen Anbieterwechsel, einzuleiten.
Ihr Datenschutz-Prinz Team
Quellen:
https://www.lda.bayern.de/media/pm/pm2021_03.pdf
Um hier diese Inhalte zu sehen, stimmen Sie bitte zu, dass diese in die Webseite von https://www.datenschutz-prinz.de/ geladen werden.
