Nachdem im letzten Jahr der EuGH in der sog. Schrems II-Entscheidung das EU-US-Privacy Shield für ungültig erklärte, haben viele Unternehmen damit begonnen – oft unterstützt durch externe Datenschutzbeauftragte –, ihre Dienstleister zu identifizieren, vorhandene Standard-Datenschutzklauseln zu prüfen und von den Dienstleistern zusätzliche Maßnahmen zum Datenschutz in Erfahrung zu bringen und umzusetzen.
Jetzt prüfen die Aufsichtsbehörden mit einer Fragebogenaktion
Dann war zunächst Ruhe in das Thema eingekehrt – diese Ruhe war allerdings trügerisch. Nunmehr sind die Aufsichtsbehörden der Aufforderung des EuGHs aus der Schrems II-Entscheidung gefolgt, über die Einhaltung der DSGVO zu wachen und haben in einer gemeinsamen Aktion begonnen, stichprobenartig zu prüfen, wie Unternehmen die Anforderungen aus der Entscheidung umgesetzt haben.
Jüngst haben die Aufsichtsbehörden aus Baden-Württemberg, Bayern, Berlin, Brandenburg, Hamburg, Niedersachsen und Rheinland-Pfalz öffentlich bekanntgegeben, dass sie mit der Prüfung begonnen haben und Fragebögen veröffentlicht, die sie an ausgewählte Unternehmen versenden. Es ist davon auszugehen, dass Aufsichtsbehörden in anderen Bundesländern folgen werden. Weitere Details zu der Fragebogenaktion können Sie hier lesen.
Fragebögen gemeinsam mit externen Datenschutzbeauftragten ausfüllen
Unternehmen, die von den Datenschutzaufsichtsbehörden für eine Befragung ausgewählt und angeschrieben wurden, können bzw. sollten sich direkt mit ihrem externen Datenschutzbeauftragten in Verbindung setzen. Die Vorarbeit, die in vielen Unternehmen seit der Schrems II-Entscheidung im Jahr 2020 geleistet wurde, zahlt sich nun aus.
Auch Unternehmen, die nicht ausgewählt wurden, können anhand der in den Fragebögen behandelten Themen rund um den Einsatz von externen Dienstleistern beim Webhosting, bei der Speicherung von Bewerber- und Mitarbeiterdaten etc. gemeinsam mit dem Datenschutzbeauftragten Schritt für Schritt die eigene Situation evaluieren und die Vollständigkeit der seit Juli letzten Jahres ergriffenen Maßnahmen nochmals prüfen.
Wichtig: Alte EU-Standarddatenschutzklauseln verlieren ihre Wirksamkeit bis Ende Dezember 2022
Die schon angesprochene Vorarbeit leistet nun auch noch an einer anderen Stelle einen guten Dienst: Die EU-Kommission hat am 4. Juni 2021 neue EU-Standarddatenschutzklauseln beschlossen und veröffentlicht. Die gute Nachricht ist, dass nun der Einsatz von Dienstleistern in unsicheren Drittstaaten wie den USA sicherer wird. Die schlechte ist, dass der Abschluss der neuen EU-Standard-Datenschutzklausen allein nicht ausreicht. Vielmehr wird die Prüfung zusätzlicher Maßnahmen weiterhin notwendig sein.
Wichtig zu wissen ist, dass die bisherigen EU-Standarddatenschutzklauseln nur noch bis Ende September 2021 abgeschlossen werden können. Alte EU-Standarddatenschutzklauseln, die bis Ende September 2021 abgeschlossen werden, verlieren ihre Wirksamkeit bis Ende Dezember 2022. Datenübermittlungen in unsichere Drittländer wie die USA, können damit spätestens 2023 nicht mehr auf die alten EU-Standarddatenschutzklauseln gestützt werden. Unternehmen, die gerade im Begriff sind mit Dienstleistern in den USA EU-Standarddatenschutzklauseln abzuschließen, sollten die neuen Klauseln nutzen, um doppelten Aufwand zu vermeiden.
Im Hinblick auf die neuen EU-Standarddatenschutzklauseln kann ebenfalls auf die Ergebnisse aus der internen Prüfung zur Schrems II-Entscheidung zurückgegriffen werden. Ob die im letzten Jahr gefundenen Dienstleister in unsicheren Drittländern vollständig sind, sollte jedoch noch einmal überprüft werden. Im nächsten Schritt sind nunmehr die neuen EU-Standarddatenschutzklauseln mit den Dienstleistern in unsicheren Drittländern auf den Weg zu bringen.
Mehr über die neuen EU-Standarddatenschutzklauseln lesen Sie morgen hier.