Um zu überprüfen, ob die deutschen Unternehmen sich beim Datentransfer in die USA auch an das sogenannte Schrems-II-Urteil halten, haben die Datenschutzbehörden hierzulande mit der Task Force nun eine Einheit zur verschärften Kontrolle gebildet.
Im Rahmen dieser Kontrollen werden Unternehmen, „bei denen Grund zur Annahme besteht, dass sie Dienstleister aus den Drittstaaten verwenden“, stichprobenartig ausgewählt und angeschrieben.
Doch was hat es eigentlich mit dem Schrems-II-Urteil auf sich? Mitte Juli 2020 hatte der EuGH in ihm das EU-US-Privacy Shield für unzulässig erklärt. Deswegen muss man bei der Zusammenarbeit mit Dienstleistern aus den USA seitdem Verträge mit Standardvertrags- oder Standarddatenschutzklauseln schließen. Hierfür gibt es sogar aktuell angepasste Entwürfe der EU-Kommission. Blöd nur, dass vielen Datenschützern genau die aber nicht ausreichen.
Und wer rückt in den Fokus der Task Force?
Bislang haben die Datenschutzbehörden die Auswahlkriterien für die Unternehmensstichproben noch nicht final festgelegt. Wahrscheinlich ist aber, dass vor allen Dingen Webspace-Anbieter oder Mailprovider in die Mangel genommen werden und das auch der Einsatz von sozialen Medien ein Auswahlkriterium für die Strichproben sein könnte.
Kritik gibt es zu dieser Thematik von Johannes Caspar, dem hamburgischen Datenschutzbeauftragten. Er nämlich ist der Meinung, dass es kein „gesamteuropäisches Vollzugskonzept“ für die Durchsetzung des Schrems-II-Urteils gäbe. Und auch, obwohl der Leitfaden des Europäischen Datenschutzausschusses (EDSA) die Voraussetzungen definiert, unter welchen man personenbezogene Daten in die USA übermitteln darf, hilft das nicht wirklich weiter. Immer noch herrscht hier zu viel Unklarheit.
Damit der Datenschutz in Europa nicht an Akzeptanz verliert, müssten endlich einheitliche europäische Regelungen bei der Durchsetzung des Schrems-II-Urteils definiert werden.
Caspar ist der Meinung, dass es einfach nicht sein könne, „dass am Ende verantwortliche Stellen an einem Ort mit hohen Bußgeldern belegt werden, weil sie ihre Daten in die USA übermitteln, während an anderer Stelle niemand diesem Missstand abhilft“.
… und da wäre auch noch das Risiko eines stark erhöhten Bußgeldes
Der baden-württembergische Datenschutzbeauftragte, Stefan Brink, sieht noch ein anderes Problem: Für deutsche Unternehmen, die personenbezogene Daten in die USA übermitteln, bestünde ein erhebliches rechtliches Risiko, das mit einer massiven Bußgeldgefahr einherginge und für das rasche Lösungen benötigt werden.
Auf dem Weg zur eigenen Lösung könnten die folgenden Schritte hilfreich sein:
- Ermitteln Sie alle Datenübermittlungen in das europäische Ausland
- Ermitteln Sie bei betroffenen Verarbeitungstätigkeiten das Risiko für die betroffene Person
- Dokumentieren Sie Verarbeitungen, die davon betroffen sind, im Verzeichnis der Verarbeitungstätigkeiten
- Führen Sie, falls erforderlich, eine Datenschutz-Folgenabschätzung durch
- Schließen Sie mit allen betroffenen Dienstleistern Standardvertragsklauseln, ggfs. Joint-Controller oder Auftragsverarbeitungsverträge
Gerne Unterstützung wir Sie bei der Durchführung der notwendigen Schritte!
Sprechen Sie uns dazu einfach an.
