Datenübermittlung in die USA? – Jetzt wird bundesweit geprüft
Sie nutzen Maildienstleister, lassen eine Internet-Seite hosten, haben Webtracker auf Ihrer Internetseite eingebunden oder verarbeiten Kunden- oder Beschäftigtendaten mit Hilfe eines Dienstleisters? Dann speichern oder verarbeiten Sie möglicherweise personenbeziehbare Daten in den USA, nutzen die Dienstleistungen eines US-amerikanischen Unternehmens oder ihr Dienstleister in der EU nutzt seinerseits Unterauftragnehmer in den USA. Das könnte seit November letzten Jahres unzulässig sein – wie wir über das Urteil des Europäischen Gerichtshofes zum Fall „Schrems-II“ bereits am 22.10.2020 über unseren Newsletter informiert haben. Spätestens JETZT müssen Sie handeln und klären, ob diese Datenverarbeitung weiterhin zulässig ist! Am 01. Juni 2021 haben die Datenschutzaufsichtsbehörden mit Prüfungen begonnen.
Das Urteil
Nach der Entscheidung des Europäischen Gerichtshofes vom 16. Juli 2020 (Rs. C-311/18) muss die Übermittlung personenbezogener Daten in die USA unterbleiben, wenn sie sich rein auf das EU-US-Datenschutzschild stützt. Das betrifft auch die Übermittlung in andere Drittstaaten mit zweifelhaften rechtsstaatlichen Garantien, vor allem aber die Vereinigten Staaten.
Reaktion der Dienstleister
Auch wenn die Kunden es anders erwarten können – die betroffenen Dienstleister haben in der Regel nicht oder nur durch irritierende Werbeversprechen versucht, Ihre „DSGVO-Konformität“ zu behaupten. Verlassen Sie sich nicht auf diese Aussagen – sondern prüfen Sie genau.
Bundesweite Kontrollen gestartet
Im Rahmen einer länderübergreifenden Kontrolle durch die Datenschutzaufsichtsbehörden werden Datenübermittlungen durch Unternehmen in Staaten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums (Drittstaaten) überprüft. Das erklärte Ziel der deutschen Aufsichtsbehörden ist „die breite Durchsetzung der Anforderungen des Europäischen Gerichtshofs in seiner Schrems-II-Entscheidung“.
Die an der Kontrolle teilnehmenden Behörden schreiben nun die jeweils ausgewählten Unternehmen auf der Basis eines gemeinsamen Fragekatalogs an. Dabei wird es unter anderem um den Einsatz von Dienstleistern zum E-Mail-Versand, zum Hosting von Internetseiten, zum Webtracking, zur Verwaltung von Bewerberdaten und um den konzerninternen Austausch von Kundendaten und Daten der Beschäftigten gehen.
Wenn eine solche Anfrage das Unternehmen erreicht beteiligen Sie umgehend Ihre Datenschutzbeauftragten und überlassen Sie die Beantwortung nicht allein den fachlich Verantwortlichen. Sie sind gesetzlich zur Auskunft verpflichtet und sollten im eigenen Interesse die gesetzten Fristen unbedingt einhalten. Aber diese Antworten können auch der Beginn eines Bußgeldverfahrens sein, wenn die Auskunft nicht richtig, nicht vollständig oder nicht fristgerecht erfolgt.
Aber auch wenn Sie (jetzt) noch kein Fragebogen erreicht: nutzen Sie die Gelegenheit zu einer Überprüfung des Staus quo in Ihrem Unternehmen – im eigenen Interesse! Gerne unterstützen wir Sie dabei.
Hier zu den veröffentlichten Fragebögen:
- Zum Einsatz von Dienstleistern zum E-Mail-Versand (PDF)
- Zum Einsatz von Dienstleistern zum Hosting von Internet-Seiten (PDF)
- Zum Einsatz von Webtracking (PDF)
- Zum Einsatz von Dienstleistern zur Verwaltung von Bewerberdaten (PDF)
- Zum konzerninternen Austausch von Kundendaten und Daten der Beschäftigten (PDF)