Seit dem 16. Juli 2020 gilt die sogenannte Schrems-II-Entscheidung des Europäischen Gerichtshofs (EuGH). Für Unternehmen bedeutet sie in vielen Fällen eine grundlegende Umstellung lange praktizierter Geschäftsmodelle und -abläufe.
Datenschutzbehörden überprüfen internationalen Datentransfer
Bild: NicoElNino / iStock / Getty Images Plus
Internationale Datentransfers
„Betreibt Ihr Unternehmen eine oder mehrerer WWW-Seiten? Übermittelt Ihr Unternehmen personenbezogene Daten an andere Unternehmen des Konzerns mit Sitz außerhalb des Europäischen Wirtschaftsraums?“ Diese und andere Fragen stehen in einem Fragenkatalog, den das Bayerische Landesamt für Datenschutzaufsicht (LDA) und andere Behörden aktuell an Unternehmen verschicken. Damit wollen sie den internationalen Datentransfer koordiniert überprüfen.
Was das Schrems-II-Urteil regelt
In seinem Urteil legte der EuGH fest, dass
- Übermittlungen in die USA nicht länger auf Basis des sogenannten Privacy Shields erfolgen können,
- Standarddatenschutzklauseln für Datenübermittlungen in Drittstaaten nur dann verwendet werden dürfen, wenn die Prüfung des Verantwortlichen ergeben hat, dass im Empfängerstaat kein gleichwertiges Schutzniveau für die personenbezogenen Daten gewährleistet werden kann.
Länderübergreifende Kontrollen
Im Rahmen einer länderübergreifenden Kontrolle überprüfen Datenschutzbehörden nun,
- wie Unternehmen diese Vorgaben umsetzen und
- wie sie Daten in sogenannte Drittstaaten – also in Staaten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums – übermitteln.
Gemeinsamer Fragekatalog
Das Bayerische Landesamt für Datenschutzaufsicht und andere Behörden schreiben
aktuell ausgewählte Unternehmen an und verwenden dafür einen gemeinsamen Fragekatalog zu diesen fünf Bereichen:
- Bewerberportale
- konzerninterner Datenverkehr
- Mailhoster
- Tracking
- Webhoster
Jede Aufsichtsbehörde entscheidet individuell, in welchen dieser Themenfelder sie tätig wird.
Unzulässige Transfers verbieten
Stoßen die Behörden auf unzulässige Datentransfers, müssen sie diese „aussetzen oder verbieten“ – das gibt der EuGH klar vor.
„Das Aussetzen einer Übermittlung kann voraussichtlich in vielen Fällen im kooperativen Dialog mit den Unternehmen gelingen“, heißt es dazu in der Pressemitteilung des LDA. „Wo dies nicht möglich ist, wird mit den zur Verfügung stehenden aufsichtsbehördlichen Maßnahmen reagiert.“
Mehr Informationen:
- Pressemitteilung des PM Bayerischen Landesamts für Datenschutzaufsicht: https://www.lda.bayern.de/media/pm/pm2021_03.pdf
- Fragenkatalog: https://www.lda.bayern.de/de/thema_schrems2_pruefung.html
Verfasst von
Elke Zapf
ist freiberufliche Kommunikationsexpertin und Journalistin. Ihre Schwerpunkte sind Wissenschaft, Forschung, nachhaltiger Tourismus und Datenschutz.
