Icon Datenschutzbeauftragter
Datenschutz

Landesdatenschutzbehörden kontrollieren Datenübertragungen in Drittländer

Arne Wolff
Verfasst von: Arne Wolff
Berater für Datenschutz und IT-Sicherheit

Schon vor einiger Zeit wurde bekannt, dass einige bundesdeutsche Datenschutzaufsichtsbehörden Kontrollen des Transfers personenbezogener Daten in die USA vorbereiten* – nun ist es so weit: Die Landesbeauftragten für Datenschutz aus Baden-Württemberg, Bayern, Berlin, Bremen, Brandenburg, Hamburg, Niedersachsen, Rheinland-Pfalz und dem Saarland verschicken in diesen Tagen Fragebögen auf Basis eines gemeinsamen Fragenkataloges.

Hintergrund

Wir erinnern uns: der Europäische Gerichtshof (EuGH) hatte am 16. Juli 2020 den Durchführungsbeschluss der Europäischen Kommission zum „EU-US Privacy Shield“ für ungültig erklärt. Durch dieses als „Schrems II“ bekannte Urteil wurden auf einen Schlag zahllose Auftragsverarbeitungsverträge mit US-amerikanischen Dienstleistern in Bezug auf die Rechtsgrundlage des Datentransfers hinfällig – darunter auch Schwergewichte wie Microsoft und Amazon Web Services. Seither muss der Datentransfer durch EU- Standardvertragsklauseln in Kombination mit ergänzenden, ein angemessenes Datenschutzniveau gewährleistenden Maßnahmen legitimiert werden.

Gleichzeitig wurden die Aufsichtsbehörden aufgefordert, solche Datenübermittlungen auszusetzen oder zu verbieten, wenn sie der Ansicht sind, dass die Zusatzmaßnahmen nicht ausreichen.

Behörden werden aktiv

Die Aufsichtsbehörden haben sich auf die Themenfelder

  • Bewerberportale,
  • konzerninterner Datenverkehr,
  • Mailhoster,
  • Tracking und
  • Webhoster

abgestimmt und jeweils einen entsprechenden Fragebogen entwickelt. Jede Aufsichtsbehörde entscheidet selbst, in welchen dieser Bereiche sie tätig wird und welche Unternehmen angeschrieben werden – so versendet zum Beispiel die LfD Niedersachsen zunächst an 18 Unternehmen verschiedener Branchen Fragebögen zu den Themen Mail- und Web-Hosting.

Rechtzeitige Vorbereitung wichtig

Wir können nur empfehlen, sich mit dem EuGH-Urteil zu befassen und vorbeugende Maßnahmen zu treffen. Wenn Sie Dienstleistungen von Anbietern aus Drittstaaten einsetzen, sollten Sie sich mit den gestellten Fragen beschäftigen und Antworten finden. Den konzertierten Fragenkatalog findet man zum Beispiel beim Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit unter der URL https://datenschutz-hamburg.de/pages/fragebogenaktion/.

Unterstützend hat der Europäischen Datenschutzausschuss (EDSA) Empfehlungen für Maßnahmen zur Gewährleistung eines angemessenen Schutzniveaus veröffentlicht und dort die folgenden Schritte skizziert:

  1. die Datenübermittlungen analysieren
  2. die eingesetzten Übermittlungsinstrumente identifizieren
  3. die Wirksamkeit der ausgewählten Übermittlungsinstrumente beurteilen
  4. zusätzliche Maßnahmen auswählen
  5. zusätzliche Maßnahmen implementieren
  6. die Wirksamkeit regelmäßig neu bewerten

Gerne unterstützen wir Sie bei der Umsetzung.

 

* wir berichteten

chevron_left zurück zur Übersicht

Melden Sie sich für unseren Newsletter an.

Erhalten Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Sicherheit und Compliance.