Der Schutz personenbezogener Daten spielt nicht erst seit Einführung der Datenschutzgrundverordnung (DSGVO) eine große Rolle. Da nicht in allen Staaten ein vergleichbarer Datenschutz garantiert ist, müssen Unternehmen beim Transfer von Kundendaten und auch von Mitarbeiterdaten in Drittstaaten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums besonders vorsichtig sein.
Die Anforderungen an den Datenschutz bei Datentransfers in Drittstaaten hat der EuGH in seiner Schrems II-Entscheidung vom 16.07.2020 festgelegt (Rs.: C-311/18). In dem Urteil wurde der EU-EU Privacy Shield für ungültig erklärt. Datentransfers können zwar weiterhin auf Standardvertragsklauseln der EU-Kommission (SCC) gestützt werde. Der Abschluss dieser Klauseln alleine genügt allerdings nicht mehr. Möchte ein Datenexporteur personenbezogene Daten auf Grundlage der SCC in ein Drittland übermitteln – weil zumutbare Alternativen nicht verfügbar sind –, muss er vorab bewerten, ob für die konkret vom Transfer betroffenen Daten im Zielland ein angemessenes Datenschutzniveau gewährleistet ist. Ist dies nicht der Fall, müssen zusätzliche Maßnahmen ergriffen werden, um ein angemessenes Datenschutzniveau zu gewährleisten.
Datenschutzbehörden verschicken Fragebögen
Die Datenschutzbehörden mehrerer Länder (Baden-Württemberg, Bayern, Berlin, Brandenburg, Bremen, Hamburg, Niedersachsen, Rheinland-Pfalz, Saarland) kontrollieren derzeit, ob Unternehmen geeignete Maßnahmen ergreifen, um die EuGH-Entscheidung umzusetzen. Dazu werden länderübergreifend Fragebögen an ausgesuchte Unternehmen verschickt. Abgefragt werden:
- der Einsatz von Dienstleistern beim E-Mail-Versand,
- der Einsatz von Dienstleistern zum Hosting von Internet-Seiten,
- der Einsatz von Webtracking,
- der Einsatz von Dienstleistern zur Verwaltung von Bewerberdaten und
- der konzerninterne Austausch von Kundendaten und Daten der Beschäftigten.
Unsere inoffiziellen englischen Übersetzungen der Fragebögen finden Sie hier.
EuGH: Drittstaaten müssen ausreichendes Schutzniveau gewährleisten
Zum Hintergrund: Der EuGH hatte in seiner Schrems II-Entscheidung klargestellt, dass personenbezogene Daten, die auf der Grundlage von Standardschutzklauseln in ein Drittland übermittelt werden, ein ausreichendes Schutzniveau genießen müssen. Dieses Niveau muss dem in der EU durch die DSGVO garantiertem Niveau gleichwertig sein. Bei der Beurteilung des Schutzniveaus sind vertragliche Regelungen zwischen dem in der EU ansässigen Exporteur der Daten und dem Empfänger in einem Drittland zu berücksichtigen. Auch die Möglichkeit eines Zugriffs auf die Daten durch die Behörden des Drittlandes unterliegen dem Schutz.
Kann dieser nach Unionsrecht erforderliche Datenschutz in dem Drittland nicht eingehalten werden, muss die zuständigen Behörden den Datentransfer in das betroffene Drittland aussetzen oder verbieten. So stellte der EuGH klar. In diesem Zusammenhang erklärte er auch das Datenschutzabkommen Privacy-Shield mit den USA für ungültig.
Unbewusst grenzüberschreitender Datenverkehr
Das EuGH-Urteil hat für Unternehmen weitreichende Folgen. Sie müssen sicherstellen, dass beim Datentransfer in Drittländer für ein ausreichendes Datenschutzniveau gesorgt ist. Die Datenschutzbehörden prüfen gerade, ob die Vorgaben des EuGH bei den Unternehmen umgesetzt werden. Häufig wird ein grenzüberschreitender Datenverkehr unbewusst schon durch die Nutzung handelsüblicher Dienstleister z.B. beim E-Mail-Versand ausgelöst. Gerade deshalb ist eine große Zahl von Unternehmen betroffen.
Interner Transfer von Mitarbeiter-Daten
Datenschutz betrifft nicht nur den Umgang mit sensiblen Kundendaten, sondern zudem den konzerninternen Transfer von Mitarbeiter-Daten. Auch hier muss für ein entsprechendes Schutzniveau gesorgt sein. Von einer Übermittlung kann im Sinne der DSGVO schon dann ausgegangen werden, wenn ein Mitarbeiter in dem Drittland die Daten per Fernzugriff abrufen kann.
Die Datenschutzbehörden müssen nach dem Schrems II-Urteil des EuGH überprüfen, ob der Datenschutz gewährleistet ist. Bei vielen Unternehmen kann die Umstellung lang praktizierter Geschäftsabläufe erforderlich sein – auch im internen Umgang mit Mitarbeiterdaten.