Mit dem „Schrems II“-Urteil vom 16. Juli 2020 (Rs. C-311/18) hatte der Gerichtshof der Europäischen Union (EuGH) festgestellt, dass die Übermittlung personenbezogener Daten in die USA nicht länger auf Grundlage des "Privacy Shields" erfolgen darf. Seither stellen sich zahlreiche Fragen zu Drittstaatenübermittlungen in die USA und weitere Drittländer, die kein angemessenes Datenschutzniveau aufweisen (z. B. China oder Indien). Denn nach dem EuGH müssen auch für diese Länder geeignete Garantien, durchsetzbare Rechte und wirksame Rechtsbehelfe geschaffen werden, um ein angemessenes Datenschutzniveau zu erreichen (wir berichteten).
Maßnahmen für ein angemessenes Datenschutzniveau könnten in einigen Fällen eine substanzielle Veränderung bestehender Geschäftsmodelle und -abläufe erfordern. Auch das Instrument der Standarddatenschutzklauseln, die ebenfalls ein angemessenes Schutzniveau im Empfängerstaat sicherstellen, reicht dafür nicht immer aus. Daher müssen Unternehmen prüfen, welche Maßnahmen getroffen werde müssen, um die unternehmenseigenen Drittstaatentransfers legitimieren zu können. Eine eindeutige Rechtssicherheit dieser Maßnahmen besteht derzeit aber nicht.
Nach längerer Wartezeit haben nun die Datenschutzaufsichtsbehörden länderübergreifend mit der koordinierten Überprüfung von Datenübermittlungen in Drittländer begonnen. Als ersten Schritt der Überprüfung begannen die Aufsichtsbehörden mit dem Versand entsprechender Fragebögen an Unternehmen verschiedener Branchen. Der Zweck der Fragebögen bestehe darin, „den Unternehmen Lösungen mit angemessenem Datenschutzniveau zu unterbreiten“, so Johannes Caspar, Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit. Nach Angaben der niedersächsischen Datenschutzaufsichtsbehörde werden die behördlichen Überprüfungen mitunter „den Einsatz von Dienstleistern zum E-Mail-Versand, zum Hosting von Internetseiten, zum Webtracking, zur Verwaltung von Bewerberdaten und den konzerninternen Austausch von Kundendaten sowie Daten der Beschäftigten“ zum Gegenstand haben. Die Entscheidung darüber, welche Themenfelder in den Fokus genommen werden, obliegt allerdings jeder Datenschutzbehörde selbst.
So kontaktierte z.B. die LfD Niedersachsen 18 niedersächsische Unternehmen zu den Themen Mail- und Webhosting, während das unabhängige Datenschutzzentrum Saarland, das BayLDA, der LfDI Baden-Württemberg und der HmbBfDI Fragebögen zu den Themen Bewerberportale, konzerninterner Datenverkehr, E-Mail-Versand, Tracking und Webhosting herausgaben.
Insgesamt wurden die Fragebögen der folgenden Themen veröffentlicht:
• Zum Einsatz von Dienstleistern zum E-Mail-Versand
• Zum Einsatz von Dienstleistern zum Hosting von Internet-Seiten
• Zum Einsatz von Dienstleistern zur Verwaltung von Bewerberdaten
• Zum konzerninternen Austausch von Kundendaten und Daten der Beschäftigten
Zusammenfassend ist festzustellen, dass es sich bei dieser Überprüfung zunächst nur um das Versenden von Fragebögen handelt. Unternehmen müssen innerhalb einer festgelegten Frist die von der Aufsichtsbehörde vorgegebenen Fragen beantworten. Im weiteren Verfahren kann die Prüfung auch dazu dienen, unklare Sachverhalte aufzuklären und Rechtssicherheit für das eigene Unternehmen zu schaffen. Dennoch muss berücksichtigt werden, dass die Aufsichtsbehörden ebenso die Möglichkeiten haben, unzulässige Datentransfers zu verbieten oder auszusetzen. Hierzu haben die Aufsichtsbehörden bereits angekündigt, dass auch weitere aufsichtsbehördliche Maßnahmen zur Verfügung stünden. Ob die Aufsichtsbehörden von diesen einschneidenden Möglichkeiten Gebrauch machen, bleibt abzuwarten.