Länderübergreifende Kontrolle zur Umsetzung der Schrems II Entscheidung

Aufgrund der Entscheidung "Schrems II" des Europäischen Gerichthofs vom 16.07.2020 (Az.: C-311/18) dürfen Datenübermittlungen in die USA nicht länger auf Grundlage des EU-US Privacy Shields erfolgen. Um nun datenschutzrechtkonform Daten in die USA (oder ggf. auch andere Drittstaaten) transferieren zu können, können beispielsweise die von der EU vorgesehenen Standarddatenschutzklauseln verwendet werden. Diese sind aber insbesondere im Falle der USA um zusätzliche Maßnahmen zu erweitern, wenn im Empfängerstaat kein gleichwertiges Datenschutzniveau herrscht. Weitere Einzelheiten zum Urteil und was bei Datenschutzexporten in Drittstaaten seither zu beachten ist, finden Sie hier: https://www.dury.de/datenschutzrecht-blog/privacy-shield-eugh

Die Datenschutzaufsichtsbehörden der jeweiligen Bundesländer sind für die Kontrolle der datnschutzrechtlichen Entscheidungen verantwortlich. Sie überprüfen, ob ein Unternehmen mit Sitz im zuständigen Bundesland die Anforderungen an den Datenschutz einhält. Die Datenschutzbehörden haben bisher vereinzelt Unternehmen zu deren Datenschutzanforderungen per Fragebogen überprüft. Diese Überprüfung soll nun laut der Landesbeauftragten für den Datenschutz und die Informationssicherheit des Landes Rheinland-Pfalz länderübergreifend voranschreiten.

Geplant ist die Kontrolle von Unternehmen in Form eines gemeinsamen Fragekatalogs. Hier befragten die Behörden die Unternehmen insbesondere zu Fragen des konzerninternen Datenverkehrs, zum Einsatz von Mailhostern, zum Einsatz von Webhostern und zum Webtracking. Dadurch wollen die Aufsichtsbehörden der Kontrolle zur Einhaltung der aktuellen Datenschutzanforderungen gerecht werden.

Tipp: Überprüfen Sie sich selbst

Die zuständige Aufsichtsbehörde des Landes Rheinland-Pfalz stellt in ihrem Beitrag die jeweiligen Fragebogen zum Download zur Verfügung:

https://www.datenschutz.rlp.de/de/aktuelles/detail/news/detail/News/koordinierte-pruefung-internationaler-datentransfers/

Gehen Sie den Fragebogen Schritt für Schritt durch und überprüfen Sie sich selbst. Ziehen Sie eine Rechtsberatung in Erwägung, sollten datenschutzrechtliche Zweifel bestehen. Zwar ist vielen Unternehmen bewusst, dass die Anbieter vieler moderner Kommunikationsdienste, sozialer Netzwerke oder sonstiger Online-Tools häufig in den USA sitzen, aber dass damit oftmals auch Datenübertragungen in die USA stattfinden, wird außer acht gelassen.

Fazit

Die Schrems II Entscheidung bringt für Unternehmen eine nicht erhebliche Veränderung und Umsetllung der internen Datenschutzprozesse mit sich. Die Aufsichtsbehörden haben zwar vereinzelt bereits die Einhaltung der neuen Anforderungen an den Datenschutz überprüft,  allerdings wird die Anzahl der Kontrollen nun zunehmen. Die Aufsichtsbehörden könenn unzulässige Datentransfers verbieten oder deren Aussetzung anordnen. Des Weiteren sind sie bei Verstößen auch dazu befugt gemäß Art. 58 Abs 2 lit., 83 DSGVO Geldbußen zu verhängen. Bemühen Sie sich also stets, in Kooperation mit der Aufsichtsbehörde, festgestellte Datenschutzverstöße schnellstmöglich und effizient zu beheben. Die Geldbußen können gemäß Art. 83 DSGVO je nach Größe des Unternehmens und je nach Art sowie Schwere des Verstoßes bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres betragen.

 Co-Autor: Wissenschaftlicher Mitarbeiter -  Ref. jur. Philipp Schmelz

Bildquelle: Bild von torstensimon auf Pixabay

Autor: Rechtsanwalt Michael Pfeiffer

Angestellter Rechtsanwalt

Autoren-Info:

Rechtsanwalt Michael Pfeiffer, Fachanwalt für IT-Recht, ist seit dem Jahr 2016 als Rechtsanwalt bei DURY LEGAL beschäftigt.