Internationaler Datentransfer: Behörden beginnen mit bundesweiter Prüfung

Dr. André Schmidt

Niklas Vogt

Nachdem der EuGH im letzten Jahr mit seinem Schrems-II-Urteil zum Privacy-Shield für viel Wirbel gesorgt hat, blieb die Frage, wann die Behörden anfangen die neuen Vorgaben konsequent zu prüfen. Nun starten die Behörden eine bundesweite Aktion.

Über eines sind sich alle einig: Der Europäische Gerichtshof (EuGH) hat mit seiner Entscheidung zum Privacy Shield im vergangenen Jahr ein datenschutzrechtlich fragwürdiges Abkommen mit den USA gekippt – die Last der Versäumnisse der EU-Kommission bei der Verhandlung dieses Abkommens müssen nun aber die europäischen Unternehmen tragen.

Sie sind seit dem Urteil in der Pflicht, ihre Datentransfers in Drittländer außerhalb der europäischen Union, insbesondere den USA, besonders rechtlich abzusichern (zu ersten Schritten hatten wir hier bereits ausgeführt). Für viele Unternehmen bedeutete diese neue Entwicklung, überhaupt erst einmal alle Datentransfers zu lokalisieren, was für sich genommen bei vielen schon eine große Kraftanstrengung erforderte. Darüber hinaus war und ist die rechtliche und tatsächliche Umsetzung aufgrund der strengen Vorgaben des EuGH und der nicht minder strengen Anforderungen des Europäischen Datenschutzausschusses jedoch alles andere als einfach. Dies liegt vor allem daran, dass die „schnelle Lösung“ über den Abschluss von Standardvertragsklauseln (sogenannte SCC) sowohl nach Ansicht des EuGH als auch der Behörden allein nicht ausreicht, um den Datentransfer rechtssicher zu gestalten.

Ankündigung der Prüfung durch deutsche Aufsichtsbehörden

Genau 321 Tage nach der Entscheidung des EuGH sind nun die deutschen Datenschutzaufsichtsbehörden auf den Plan getreten und haben eine umfassende länderübergreifende Kontrolle der Umsetzung der neuen Vorgaben in den Unternehmen angekündigt. Laut Pressemitteilung verschiedener Datenschutzbehörden vom 1. Juni 2021 (Baden-Württemberg, Bayern, Berlin, Bremen, Brandenburg, Hamburg, Niedersachsen, Rheinland-Pfalz und Saarland) schreiben die Behörden die jeweils ausgewählten Unternehmen auf der Basis eines gemeinsamen Fragekatalogs an. Thematisch legen die Behörden dabei einen Schwerpunkt auf die Überprüfung des Einsatzes

  • von Dienstleistern zum E-Mail-Versand,
  • zum Hosting von Internetseiten,
  • zum Webtracking,
  • zur Verwaltung von Bewerberdaten und
  • zum konzerninternen Austausch von Kundendaten und Daten der Beschäftigten.

Offensichtlich wollen die Behörden dabei ein umfassendes Bild der Datentransfers und Rechtsgrundlagen in einem Unternehmen gewinnen, um im Anschluss zunächst darauf hinzuwirken, dass unzulässige Datentransfers eingestellt werden. Wenn dies nicht erfolgt, wollen die Behörden zu schärferen Maßnahmen greifen. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit dazu: „Das Aussetzen einer Übermittlung kann voraussichtlich in vielen Fällen im kooperativen Dialog mit den Unternehmen gelingen. Wo dies nicht möglich ist, wird mit den zur Verfügung stehenden aufsichtsbehördlichen Maßnahmen reagiert.“

Umfangreiche Fragebögen

Die von den Behörden verwendeten Fragebögen wurden veröffentlicht und sind hier abrufbar:

Die Fragebögen sind insgesamt sehr umfangreich und gehen in die Tiefe. Insbesondere werden in allen Fragebögen die „zusätzlichen Garantien“ abgefragt, die neben den Standardvertragsklauseln eingesetzt werden. Auch das Verarbeitungsverzeichnis muss für die relevanten Verarbeitungsvorgänge vorgelegt werden.

Was ist nun zu tun?

Die Ankündigung der Behörden sollte auch den letzten Zweifler davon überzeugen, dass ein schnelles und umfassendes Handeln im Hinblick auf internationale Datentransfers erforderlich ist, die im eigenen Unternehmen stattfinden. Selbst wenn die Behörden in nächster Zeit noch nicht anklopfen, sollte man für den Fall der Fälle vorbereitet sein. Denn eines ist klar: Wenn die Behörden da sind und die Beantwortung der Fragebögen verlangen, bleibt aufgrund der behördlichen Fristen so gut wie keine Zeit mehr, Versäumnisse im Hinblick auf internationale Datentransfers nachzuholen.

Sofern ein Schreiben der Behörde mit einem solchen Fragebogen eintrifft, sollte mit Bedacht vorgegangen werden. Zum einen sollte geprüft werden, ob überhaupt auf die Anfrage der Behörde detailliert geantwortet werden muss (dies hängt u.a. davon ab, ob es sich bei der Anfrage um einen behördlichen Verwaltungsakt handelt). Zum anderen sollte, sofern eine Antwortpflicht besteht, die Beantwortung der Fragen wohl durchdacht sein. Im Hinterkopf sollte man dabei auch behalten, dass der Behörde Bußgeldbefugnisse zustehen, wobei die Höhe des Bußgeldes auch von der Kooperation des Unternehmens abhängen kann, was wiederum ein strategisches Vorgehen zwingend erfordert.