Die heutige Ausgabe widmet sich den sog. Drittlandsübermittlungen, also dem Transfer von personenbezogenen Daten in Staaten, die keine Mitglieder der Europäischen Union oder des EWR sind. Werden Daten in solche Drittländer übermittelt, so müssen Verantwortliche die in Kapitel 5 der DSGVO geregelten Grundsätze beachten. Diese sollen sicherstellen, dass das Schutzniveau für Betroffene nicht untergraben wird.
Praktisch relevant sind vor allem Datenübermittlungen in die USA. Diese wurden zuletzt oft auf das sog. EU-US Privacy Shield gestützt. Gerade dieses Abkommen hatte der EuGH jedoch in der sog. „Schrems II“-Entscheidung vom 16.07.2020 für ungültig erklärt.
In der Folge sind Übermittlungen personenbezogener Daten in die USA zwar nicht vollständig unzulässig. Jedoch muss jede einzelne Übermittlung neu auf ihre Rechtsgrundlage hin überprüft werden. Ggf. müssen zusätzliche Schutzmaßnahmen implementiert, oder – wo dies nicht möglich ist – auf datenschutzfreundlichere Alternativangebote umgeschwenkt werden.
Beispiele für Datenverarbeitungen mit möglichen Datentransfers an die USA stellen etwa die Nutzung von Kollaborationslösungen wie Google Docs, Google Drive oder MS Office 365, die Nutzung der meisten Videokonferenzlösungen wie Zoom oder MS Teams sowie populäre Dienste wie Dropbox dar. Etwas versteckter, aber ebenso verbreitet, ist die Übermittlung über einen Subunternehmer eines Auftragsverarbeiters des Verantwortlichen. Setzen Sie als Verantwortlicher z.B. Auftragsverarbeiter ein, um Ihre Webseite zu hosten oder um Dokumente automatisiert erstellen zu lassen – und lassen sich diese Auftragsverarbeiter ihrerseits von Subunternehmern mit Sitz in den USA unterstützen, etwa in Form von Cloud-Dienstleistungen – so können auch dort vorliegende Datenübermittlungen für Ihre Compliance relevant werden.
Sollte im Nachgang an das „Schrems II“-Urteil bisher keine abschließende Analyse möglicher Drittlandsübermittlungen stattgefunden haben, so ist diese zum aktuellen Zeitpunkt dringend zu empfehlen. Die Analyse sollte dokumentiert werden.
Die aktuelle Relevanz zeigt sich insbesondere an einschlägigen Äußerungen der Datenschutzaufsichtsbehörden:
- Das Bayerische Landesamt für Datenschutzaufsicht hatte sich bereits im März 2021 mit dem Einsatz von Mailchimp, einem E-Mail-Marketing-Service, befasst. Im Nachgang hatte der Verantwortliche unverzüglich von der Nutzung des Dienstes abgesehen.
Weitere Informationen: https://gdprhub.eu/index.php?title=BayLDA_-_LDA-1085.1-12159/20-IDV - Die zuständige Datenschutzaufsichtsbehörde in Rheinland-Pfalz hatte kürzlich eine „Informationsoffensive“ sowie nachfolgende stichprobenartige Kontrollen angekündigt.
Weitere Informationen: https://www.datenschutz.rlp.de/de/aktuelles/detail/news/detail/News/informationsoffensive-zur-datenuebermittlung-in-drittlaender-kugelmann-wer-bis-jetzt-noch-nicht-auf/
- Der Europäische Datenschutzbeauftragte, welcher für die Überwachung der Organe und Einrichtungen der EU zuständig ist, startete zwei Untersuchungen zu Cloud-Dienstleistungen, die von Amazon und Microsoft erbracht werden.
Weitere Informationen: https://edps.europa.eu/press-publications/press-news/press-releases/2021/edps-opens-two-investigations-following-schrems_en
- Am 01.06.2021 wurde zudem eine länderübergreifende Kontrolle von internationalen Datentransfers angekündigt. Die teilnehmenden Datenschutzaufsichtsbehörden verschicken dazu an ausgewählte Unternehmen Fragebögen zu den Themenbereichen Web- und Mailhosting, Webtracking, Bewerberportale und konzerninterner Datenverkehr.
Weitere Informationen: https://www.datenschutz.saarland.de/datenschutz/aktuelles/detail/presseinformation-koordinierte-pruefung-internationaler-datentransfers-laenderuebergreifende-kontrolle-der-datenschutzaufsichtsbehoerden-von-unternehmen-zur-umsetzung-der-schrems-ii-entscheidung-des-europaeischen-gerichtshofs