Am 01.06.2021 hat das Landesamt für Datenschutz Brandenburg mitgeteilt, den internationalen Datentransfer von Unternehmen zu prüfen. Hintergrund ist die Entscheidung des EuGH (Schrems II), welche den Angemessenheitsbeschluss (Privacy Shield) aufhebt. Der Datentransfer in die Vereinigten Staaten von Amerika (USA) ist somit nicht mehr auf Grundlage des Privacy Shield möglich. Hintergrund des Urteils ist es, dass die USA kein angemessenes Schutzniveau für die Daten von natürlichen Personen bieten. Die Behörden wollen durch die Prüfung gezielt in Erfahrung bringen, wie Unternehmen mit diesem Urteil umgehen und ob die Rechtsvorgaben infolge des Urteils eingehalten werden.
Wie sollen die Prüfungen ablaufen?
Die Datenschutzbehörden der Länder haben sich auf einen einheitlichen Fragebogen geeinigt, den sie an Unternehmen verschicken wollen. Zentrale Inhalte der Prüfung sind der Einsatz von Dienstleistern zum E-Mail-Versand, zum Hosting von Internetseiten, zum Webtracking, zur Verwaltung von Bewerberdaten und für den konzerninternen Austausch von Kunden- und Beschäftigtendaten. Jede Aufsichtsbehörde entscheidet individuell über ihren Prüfungsschwerpunkt.
Was müssen Sie als Unternehmen beachten?
Wenn Sie ein behördliches Schreiben erhalten, sollten Sie sich unbedingt an Ihren Datenschutzbeauftragten wenden, um das weitere Vorgehen zu besprechen. Eine geeignete Vorgehensweise zur Beantwortung der einzelnen Fragen erfordert eine sehr enge Abstimmung zwischen der Geschäftsleitung, den Datenschutzkoordinatoren und dem Datenschutzbeauftragten.
Neben dem Erfüllen der behördlichen Verpflichtung können Sie die Prüfung auch als Chance sehen, sich innerhalb Ihres Unternehmens gezielt mit dem Thema des internationalen Datentransfers auseinanderzusetzen, um selbst nachhalten zu können, ob Sie sich an die relevanten rechtlichen Vorgaben halten.
Sie sollten sich zur Vorbereitung einer Prüfung,
- vollumfassende Kenntnis über alle Datenströme und Standorte der Datenverarbeitung und -speicherung verschaffen. Das gilt auch für Subunternehmen der eingesetzten Dienstleister.
- von den Anbietern der Cloud-Dienste Garantien geben lassen, dass ein mit der EU gleichwertiges Datenschutzniveau gewährleistet ist und damit auseinandersetzen, ob die dadurch gebotenen Garantien in der Praxis eingehalten werden können.
Wenn dies nicht möglich ist (wie es aufgrund des Cloud Act bei US Cloud-Diensten die Regel sein wird), muss nachgehalten werden, welche zusätzlichen Schutzmaßnahmen wie Anonymisierung und Pseudonymisierung oder Verschlüsselung von personenbezogenen Daten eingerichtet werden können. Cloud Act steht kurz für „Clarifying Lawful Overseas Use of Data Act“ oder „Gesetz zur Regelung der rechtmäßigen Verwendung von Daten im Ausland“ und ist ein seit März 2018 bestehendes US-Gesetz, das Strafverfolgungsbehörden den direkten Zugang zu elektronischen Daten ermöglicht, die von Unternehmen in einem anderen Land gespeichert wurden. - intensiv damit auseinandersetzen, ob der Einsatz eines alternativen Dienstleisters aus Europa oder einem Drittland mit ausreichendem Schutzniveau infrage kommt, wenn keine datenschutzkonforme Nutzung eines US-Cloud-Dienstes möglich ist
- mit der Nutzung einer Private Cloud beschäftigen, ob schutzbedürftige Daten ohne Beeinträchtigung der Nutzerfreundlichkeit und Funktionalität in dieser gespeichert werden können.
Auch für einen Self-Check können Sie sich sehr gern bei uns melden. Die Consultants der CCS unterstützen Sie dabei.
Ausblick
Das Thema des internationalen Datentransfers ist insbesondere seit der Schrems II Entscheidung ein herausforderndes Thema für Unternehmen. Die meisten renommierten Softwareanbieter haben ihren Sitz in den USA. Alternativen aus der EU sind leider rar gesät, oftmals fehlt es völlig an europäischen Wettbewerbern. Die EU-Kommission hat allerdings in der Zwischenzeit neue Standardvertragsklauseln entworfen. Diese sollen zukünftig wieder den Datenaustausch ermöglichen, allerdings muss man im Zuge der Implementierung der neuen Standardvertragsklauseln für jeden Einzelfall prüfen, ob tatsächlich alle Vorgaben eingehalten werden (können). Auch zu dieser Frage unterstützen die Consultants der CCS gerne.
Autor: Jan Dominique Köcher, LL.M., Creditreform Compliance Services GmbH
