Aufsichtsbehörden überprüfen verstärkt DSGVO-Einhaltung bei Unternehmen

Inhaltsverzeichnis

Die Datenschutzaufsichtsbehörden mehrerer Bundesländer haben nach Abstimmung in der Datenschutzkonferenz Kontrollen von Datenübermittlungen von Unternehmen in Länder außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums (Drittstaaten) beschlossen. Das berichtet die Berliner Beauftragte für Datenschutz und Informationsfreiheit Maja Smoltczyk.

Ziel der konzertierten Aktion ist die breite Durchsetzung der Anforderungen des Europäischen Gerichtshofs aus dem sogenannten Schrems-II-Urteil vom 16. Juli 2020 (Rs. C-311/18).

Das Urteil hatte Datenübermittlungen vornehmlich in die USA wegen der Gefahr des Zugriffs durch US-Behörden für nicht konform mit der DSGVO und den sogenannten Privacy Shield, das Datenschutzabkommen der EU mit den USA, für ungültig erklärt. "Der Europäische Gerichtshof hat die Aufsichtsbehörden ausdrücklich verpflichtet, unzulässige Datenübermittlungen zu verbieten. Mit der nun anlaufenden Prüfung reagieren wir auf diese Herausforderungen", erläutert Maja Smoltczyk.

Fragen zu verschiedenen datensensiblen Bereichen

Konkret kontaktieren die Aufsichtsbehörden von Berlin, Hamburg, Brandenburg, Bremen, Niedersachsen, Rheinland-Pfalz, Baden-Württemberg, Bayern und des Saarlandes ausgewählte Unternehmen und befragen sie zu festgelegten Themen. Der gemeinsame Fragenkatalog, der als Basis dient, umfasst etwa die Themen E-Mail-Versand, Hosting von Internetseiten, Webtracking, Verwaltung von Bewerberdaten und konzerninterner Austausch von Kunden- und Beschäftigtendaten. Die einzelnen Behörden entscheiden selbst, welche Themenbereiche sie überprüfen und ob die Fragen eventuell an regionale Besonderheiten anzupassen sind.

Die Landesbeauftragte für den Datenschutz Niedersachsen, Barbara Thiel, etwa kündigt an, Fragebögen zu den Themen Mail- und Web-Hosting an 18 niedersächsische Unternehmen verschiedener Branchen zu versenden. „Die Entscheidung des EuGH hat viele Unternehmen und andere verantwortliche Stellen in Bezug auf den internationalen Datentransfer in eine schwierige Situation gebracht“, sagt Thiel. "Wir erwarten aber als Aufsichtsbehörde, dass sich die Verantwortlichen mit den neuen Anforderungen ernsthaft auseinandersetzen und eigenständig nach Lösungen suchen."

EU-Institutionen: Auch selbst datenschutzkonform handeln

Auch auf europäischer Ebene wollen die Verantwortlichen die Einhaltung der DSGVO weiter voranbringen. Thema der obersten europäischen Datenschutzbehörde EDPS ist allerdings derzeit der Datenschutz in den eigenen Reihen. Erst vor wenigen Tagen leitete die Behörde zwei Untersuchungen ein, die sich ebenfalls auf das Schrems-II-Urteil berufen. Eine behandelt die Nutzung der Cloud-Dienste von Amazon Web Services und Microsoft durch Organe, Einrichtungen und Agenturen der Europäischen Union und eine den Einsatz von Microsoft Office 365 durch die Europäische Kommission.

Die Untersuchungen sind Teil der Strategie des EDSB für die EU-Institutionen, das Schrems-II-Urteil einzuhalten, damit laufende und zukünftige internationale Übermittlungen im Einklang mit dem EU-Datenschutzrecht durchgeführt werden.

Hintergrund ist eine Analyse des EDSB, die zeigt, dass insbesondere bei der Nutzung von Tools und Diensten der großen Dienstleister personenbezogene Daten in Länder außerhalb der EU und insbesondere in die Vereinigten Staaten übermittelt werden. EU-Institutionen, auch das zeigt die Analyse, greifen jedoch zunehmend auf Cloud-basierte Software und Cloud-Infrastruktur- oder Plattformdienste von großen IKT-Anbietern zurück, von denen einige ihren Sitz in den USA haben.

Ein leiser Zweifel bleibt

Der oberste europäische Datenschützer, Wojciech Wiewiórowski, erklärt dazu, man habe bestimmte Arten von Verträgen identifiziert, die besonderer Aufmerksamkeit bedürften, und aus diesem Grund beschlossen, die beiden Untersuchungen einzuleiten. Sowohl Amazon als auch Microsoft haben neue Maßnahmen angekündigt, um sich an das Urteil anzupassen, aber: "Dennoch reichen diese angekündigten Maßnahmen möglicherweise nicht aus, um die vollständige Einhaltung des EU-Datenschutzrechts zu gewährleisten, und daher ist es notwendig, dies ordnungsgemäß zu untersuchen."

Zwar seien die Institutionen der EU (EUI) wie andere Einrichtungen in der EU und im EWR von einer begrenzten Anzahl Anbieter abhängig. Mit den Untersuchungen wolle die Datenschutzbehörde jedoch den EUI helfen, ihre Datenschutzkonformität zu verbessern, wenn sie Verträge mit ihren Dienstleistern aushandeln. Die Vorgaben für den Datenschutz in den EU-Institutionen sowie die Aufgaben des Europäischen Datenschutzbeauftragten sind in der Verordnung (EU) 2018/1725 festgelegt.

(ur)