Die Datenschutzaufsichtsbehörden haben bekannt gegeben, dass sie eine umfassende Schwerpunktprüfung im Bereich des internationalen Datentransfers (insbesondere in die USA) durchführen wollen. Hierzu werden nunmehr stichprobenartig Unternehmen aus verschiedenen Branchen überprüft.
Hintergrund der Prüfung ist, dass am 16.07.2020 der Europäische Gerichtshof die bisherige Praxis der Übermittlung personenbezogener Daten in die USA auf Grundlage des sogenannten „Privacy Shield“ für unzulässig erklärte mit der Begründung, dass das US-Recht kein ausreichendes Datenschutzniveau bietet (sog. „Schrems-II-Entscheidung“). Mit einem Schlag waren damit beinahe alle bis dato zulässigen Datenübermittlungen in die USA nicht mehr datenschutzkonform möglich. Dies verursachte vor allem für Unternehmen Schwierigkeiten, die eine gesellschaftsrechtliche Beziehung in die USA pflegen (z.B. durch eine Konzernverbundenheit) oder auf Dienstleister in den USA angewiesen sind.
Für eine datenschutzkonforme Übermittlung setzen die meisten Unternehmen mittlerweile auf den Abschluss sogenannter „Standardvertragsklauseln“. Hierbei handelt es sich um einen zu schließenden Vertrag, in dem die Vertragspartei im Drittstaat bestimmte Garantien übernimmt. Bei einem Datentransfer in die USA genügen diese Standardvertragsklauseln jedoch alleine nicht. Es müssen insoweit zusätzlich Maßnahmen getroffen werden, um ein angemessenes Datenschutzniveau zu gewährleisten. Welche Maßnahmen das sind, ist im jeweiligen Einzelfall zu prüfen.
Die Einhaltung dieser Vorgaben wird nunmehr durch die Datenschutzaufsicht geprüft. Hierbei verschickt die Behörde an verschiedene Unternehmen Fragebögen zu den Themen Bewerberportale, konzerninterner Datentransfer, Mailhoster, Tracking und Webhoster.
Um diese Fragebögen beantworten zu können, ist es wichtig, dass Ihr Verzeichnis der Verarbeitungstätigkeiten aktuell ist und Sie uns alle Auftragsverarbeiter (hier insbesondere mit Sitz in den USA oder Unterauftragnehmern in den USA) gemeldet haben. Prüfen Sie daher Ihre Datenschutzdokumentation auf Vollständigkeit und nehmen Sie im Zweifelsfall Kontakt mit uns als Ihren betrieblichen Datenschutzbeauftragten auf. Wir helfen Ihnen dabei für eine eventuelle Überprüfung durch die Datenschutzaufsicht vorbereitet zu sein.
Sollten Sie von der Datenschutzaufsicht einen solchen Fragebogen erhalten, nehmen Sie schnellstmöglich mit uns Kontakt auf, damit wir die Fragen gemeinsam beantworten können.