Hintergrund
Wir erinnern uns: der Europäische Gerichtshof (EuGH) hatte am 16. Juli 2020 den Durchführungsbeschluss der Europäischen Kommission zum „EU-US Privacy Shield“ für ungültig erklärt. Durch dieses als „Schrems II“ bekannte Urteil wurden auf einen Schlag zahllose Auftragsverarbeitungsverträge mit US-amerikanischen Dienstleistern in Bezug auf die Rechtsgrundlage des Datentransfers hinfällig – darunter auch Schwergewichte wie Microsoft und Amazon Web Services. Seither muss der Datentransfer durch EU- Standardvertragsklauseln in Kombination mit ergänzenden, ein angemessenes Datenschutzniveau gewährleistenden Maßnahmen legitimiert werden.
Gleichzeitig wurden die Aufsichtsbehörden aufgefordert, solche Datenübermittlungen auszusetzen oder zu verbieten, wenn sie der Ansicht sind, dass die Zusatzmaßnahmen nicht ausreichen.
Behörden werden aktiv
Die Aufsichtsbehörden haben sich auf die Themenfelder
- Bewerberportale,
- konzerninterner Datenverkehr,
- Mailhoster,
- Tracking und
- Webhoster
abgestimmt und jeweils einen entsprechenden Fragebogen entwickelt. Jede Aufsichtsbehörde entscheidet selbst, in welchen dieser Bereiche sie tätig wird und welche Unternehmen angeschrieben werden – so versendet zum Beispiel die LfD Niedersachsen zunächst an 18 Unternehmen verschiedener Branchen Fragebögen zu den Themen Mail- und Web-Hosting.
Rechtzeitige Vorbereitung wichtig
Wir können nur empfehlen, sich mit dem EuGH-Urteil zu befassen und vorbeugende Maßnahmen zu treffen. Wenn Sie Dienstleistungen von Anbietern aus Drittstaaten einsetzen, sollten Sie sich mit den gestellten Fragen beschäftigen und Antworten finden. Den konzertierten Fragenkatalog findet man zum Beispiel beim Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit unter der URL https://datenschutz-hamburg.de/pages/fragebogenaktion/.
Unterstützend hat der Europäischen Datenschutzausschuss (EDSA) Empfehlungen für Maßnahmen zur Gewährleistung eines angemessenen Schutzniveaus veröffentlicht und dort die folgenden Schritte skizziert:
- die Datenübermittlungen analysieren
- die eingesetzten Übermittlungsinstrumente identifizieren
- die Wirksamkeit der ausgewählten Übermittlungsinstrumente beurteilen
- zusätzliche Maßnahmen auswählen
- zusätzliche Maßnahmen implementieren
- die Wirksamkeit regelmäßig neu bewerten
Gerne unterstützen wir Sie bei der Umsetzung.