Länderübergreifende Prüfung zum Drittlandtransfer

Paukenschlag pünktlich zum Sommer: Wie den Pressemitteilungen einiger Aufsichtsbehörden zu entnehmen ist, starten diese eine koordinierte, länderübergreifende Prüfung von Unternehmen zum Drittlandtransfer. Hintergrund ist das im Sommer 2020 durch den Europäischen Gerichtshof (EuGH) gekippte EU-U.S. Privacy Shield – besser bekannt als Schrems II.

Gegenstand der Prüfung und betroffene Unternehmen

Nachdem von den deutschen Datenschutzaufsichtsbehörden seit dem Schrems-II-Urteil bis auf ein paar  Ausnahmen (z.B. die Untersagung des Newsletter-Tools Mailchimp durch die bayerische Behörde) nur wenig Konkretes zu hören war, überrascht es nicht, dass diese in der Zwischenzeit nicht untätig waren, sondern eine gemeinsame Überprüfungsstrategie ausgearbeitet haben.

Dazu schreibt die Berliner Datenschutzbeauftragte in ihrer Pressemitteilung:

„Die Zeiten, in denen personenbezogene Daten wie bisher in die USA übermittelt werden konnten, sind nach dem Schrems-II-Urteil vorbei. Der Europäische Gerichtshof hat die Aufsichtsbehörden ausdrücklich verpflichtet, unzulässige Datenübermittlungen zu verbieten. Mit der nun anlaufenden Prüfung reagieren wir auf diese Herausforderungen.“

Einer Pressemitteilung der Landesbeauftragten für den Datenschutz (LfD) Niedersachsen nach beteiligen sich an der gemeinsamen Überprüfung die Landesdatenschutzbehörden aus Baden-Württemberg, Bayern, Berlin, Bremen, Brandenburg, Hamburg, Niedersachsen, Rheinland-Pfalz und dem Saarland.

Dazu haben die Behörden gemeinsam fünf Fragebögen erstellt, die an ausgewählte Unternehmen versendet werden. Die aktive Mitarbeit der Unternehmen wird so eingefordert. Zu den Kriterien, welche Unternehmen überprüft werden, haben sich die Behörden bisher noch nicht geäußert. Die LfD Niedersachsen nennt zumindest eine Zahl, wenn sie von „18 niedersächsischen Unternehmen verschiedener Branchen“ spricht, die Fragebögen erhalten werden.

Was wollen die Behörden von den Unternehmen wissen?

Zeitgleich mit den Pressemitteilungen der Landesbehörden wurden auch die Fragebögen veröffentlicht. Damit kann sich jeder Verantwortliche ohne Weiteres einen Eindruck des Prüfumfangs verschaffen. Das ist nicht nur transparent, sondern bietet Unternehmen auch die Chance, gegebenenfalls vorhandene Missstände selbst zu erkennen und umgehend zu beheben. Der Ansatz der Behörden, den Datenschutz aktiv zu fördern und nicht nur plump zu strafen, wird hier wieder einmal deutlich.

Konkret handelt es sich dabei um folgende Fragebögen:

Abgedeckt werden damit unterschiedliche Gebiete des geschäftlichen Umgangs mit personenbezogenen Daten, in denen das Thema Drittlandtransfer eine besonders große Rolle spielt.

Worauf kommt es den Behörden an?

Natürlich liegt der Fokus der Fragebögen auf dem Drittlandtransfer. Die Fragen gehen dabei zum Teil recht tief ins Detail. Gefordert ist regelmäßig nicht nur das Darlegen von Gründen, sondern vor allem auch das Anbieten von Nachweisen. Damit wollen die Behörden prüfen, ob Unternehmen sich wirklich mit dem Thema beschäftigt haben oder ob es vorrangig ignoriert wurde und jetzt nachträglich Argumente aus dem Hut gezaubert werden. Da nach der DSGVO die Beweislast der rechtskonformen Verarbeitung personenbezogener Daten bei den Unternehmen liegt, überrascht dieses Vorgehen nicht, sondern entspricht der bisher gängigen behördlichen Praxis.

Antworten und Abwägungen, die Unternehmen in diesem Rahmen übermitteln müssen, umfassen zum Beispiel die Frage nach der Einhaltbarkeit von geschlossenen Standardvertragsklauseln. So muss dargelegt werden, warum man zu dem Schluss gekommen ist, dass diese ohne zusätzliche Maßnahmen vom Datenimporteur eingehalten werden können und ggf. welche Maßnahmen man warum getroffen oder verworfen hat.

Dabei werden Punkte wie FISA 702 (das Gesetz war einer der Hauptgründe für das Schrems-II-Urteil des EuGH), die zwingend in die Abwägung miteingeflossen sein müssen, auch nochmals extra abgefragt.

Auch bei den zusätzlichen Maßnahmen verbleibt es nicht bei oberflächlichen Fragen. So muss zum Thema Verschlüsselung zum Beispiel Stellung bezogen werden, ob diese den aktuellen Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) entspricht.

Ein besonderes Augenmerk liegt unserer Einschätzung nach auf der zunächst unscheinbar wirkenden Aufforderung der prüfenden Behörde, den relevanten Teil des Verzeichnisses der Verarbeitungstätigkeiten zu übermitteln. Hierüber kann die Behörde die komplette Verarbeitung (nicht nur den Drittlandtransfer) im Detail überprüfen und gegebenenfalls strukturelle Mängel im Datenschutzmanagement aufdecken sowie weitere Überprüfungen anstreben. Diesem letzten Punkt der Fragebögen sollte daher sehr viel Aufmerksamkeit geschenkt werden.

Was Unternehmen jetzt tun können

Die Fragebögen der Aufsichtsbehörden sind öffentlich zugänglich. Das eigenständige Durchgehen der Fragebögen mittels Self-Assessment wird Unternehmen ein gutes Bild vermitteln, ob und inwieweit Prozesse im Datenschutz etabliert sind und tatsächlich funktionieren. Ganz allgemein wird es aufzeigen, ob tiefergehende Datenschutzgesichtspunkte wie die Absicherung eines Drittlandtransfers schon bei der Auswahl von Tools oder im Rahmen des Projektmanagements ausreichend Beachtung finden.

Mittels Selbstcheck können Unternehmen zum einen die Fragebögen der Behörden durchgehen, zum anderen folgende flankierende Fragen erörtern:

  • Verzeichnis von Verarbeitungstätigkeiten: Kann Ihr Unternehmen einen aktuellen und vollständigen Auszug der Verarbeitungstätigkeiten zur Verfügung stellen, worin auf einen Drittlandtransfer eingegangen und eine geforderte Garantie aufgeführt wird?
  • Rechenschaftspflicht: Gibt es eine über das Verzeichnis der Verarbeitungstätigkeiten hinausgehende Dokumentation in Ihrem Unternehmen, die eine Auseinandersetzung mit dem Thema Drittlandtransfer nachweist?
  • Zusätzliche Maßnahmen bei identifizierten Drittlandtransfer: Sind erweiterte technische und organisatorische Maßnahmen risikoabhängig hinterfragt und getroffen worden, um einen derzeit stattfindenden Drittlandtransfer zusätzlich abzusichern?

Fazit: Prüfen Sie jetzt selbst, bevor die Behörden es tun

Erfahrungsgemäß fällt es Unternehmen schwer, hinsichtlich sämtlicher regulatorischer Anforderungen Rechenschaft im Umgang mit personenbezogenen Daten abzulegen. Oft fehlt es an festen Verantwortlichkeiten und Ressourcen, um einen strukturierten Prozess zu etablieren, der einen Drittlandtransfer identifiziert und rechtskonforme Handlungsalternativen aufzeigen kann.

Nutzen Sie diese Gelegenheit, um sich mit der Thematik auseinanderzusetzen. Je früher, desto besser. Greifen Sie hierzu auf die in Ihrem Unternehmen bestehende Expertise zurück. Gehen Sie die Fragen mit Ihren Fachverantwortlichen, Ihrem betrieblichen oder externen Datenschutzbeauftragten bzw. Dienstleistern durch, um noch vorhandene Schwachpunkte zu identifizieren und vorhandene Lücken zu schließen.

Wenn Sie von der diskutierten Überprüfung der Aufsichtsbehörden betroffen sein sollten, empfehlen wir Ihnen zur Vermeidung von Bußgeldern und Imageschäden dringend, die Beantwortung der Fragebögen zusammen mit einem Datenschutzexperten zu erledigen und dafür ggfs. auf externe Expertise zurückzugreifen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

 

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Netiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen. Informationen zu der Verarbeitung Ihrer personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.