Das Ziel ist die breite Durchsetzung der Anforderungen des Europäischen Gerichtshofs in seiner Schrems-II-Entscheidung vom 16. Juli 2020 (Rs. C-311/18). Darin hat das Gericht festgestellt, dass Übermittlungen in die USA nicht länger auf Basis des sogenannten Privacy Shields erfolgen können. Der Einsatz der Standarddatenschutzklauseln für Datenübermittlungen in Drittstaaten ist ferner nur noch unter Verwendung wirksamer zusätzlicher Maßnahmen ausreichend, wenn die Prüfung des Verantwortlichen ergeben hat, dass im Empfängerstaat kein gleichwertiges Schutzniveau für die personenbezogenen Daten gewährleistet werden kann. Das Urteil des EuGH erfordert in vielen Fällen eine grundlegende Umstellung lange praktizierter Geschäftsmodelle und -abläufe.

Die an der Kontrolle teilnehmenden Behörden schreiben nun die jeweils ausgewählten Einrichtungen auf der Basis eines gemeinsamen Fragekatalogs an. Dabei wird es unter anderem um den Einsatz von Dienstleistern zum E-Mail-Versand, zum Hosting von Internetseiten, zum Webtracking, zur Verwaltung von Bewerberdaten und um den konzerninternen Austausch von Kundendaten und Daten der Beschäftigten gehen. Jede Aufsichtsbehörde entscheidet individuell, in welchen dieser Themenfelder sie tätig wird.

Der Gerichtshof hat seine Erwartung klar formuliert, dass die Behörden unzulässige Transfers „aussetzen oder verbieten“. Das Aussetzen einer Übermittlung kann voraussichtlich in vielen Fällen im kooperativen Dialog mit den Unternehmen gelingen. Wo dies nicht möglich ist, wird mit den zur Verfügung stehenden aufsichtsbehördlichen Maßnahmen reagiert. Die Aufsichtsbehörden sind sich der besonderen Herausforderungen, die das EuGH-Urteil zu Schrems II für die Unternehmen in Deutschland und Europa mit sich bringt, bewusst. Sie stehen für Verständnisfragen auch im weiteren Verlauf des Prüfungsverfahrens zur Verfügung, soweit dies nach Maßgabe der vorhandenen Kapazitäten möglich ist.

Die staatlichen Aufsichtsbehörden haben Fragenkataloge zu verschiedenen Fallgruppen erstellt. Der von der KDSA Ost versendete Fragenkatalog bezieht sich auf E-Mail Provider/Dienstleister und lehnt sich an den von den staatlichen Aufsichtsbehörden erstellte Fallgruppe „Mailhoster“ an.

Die Fragenkataloge der staatlichen Aufsichtsbehörden zu den jeweiligen Fallgruppen finden z.B. hier

 

Hinweis auf die EU-Standardvertragsklauseln für Datenexporte in Drittländer vom Juni 2021
Der Abschluss der neuen Standardvertragsklauseln für Datenexporte in Drittländer ohne angemessenes Datenschutzniveau allein genügt nicht automatisch, um personenbezogene Daten rechtmäßig in Länder außerhalb des Europäischen Wirtschaftsraums zu übermitteln. Die neuen Vertragsmuster enthalten zwar hilfreiche neue Garantien, es werden aber weiterhin ergänzende technisch und organisatorische Maßnahmen notwendig sein. Die Problematik der Einzelfallprüfung ist damit nicht gelöst. Hinzu kommt ein Umstellungsaufwand sämtlicher Altverträge.

Pressemitteilung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) vom 21. Juni 2021:
Ergänzende Prüfungen und Maßnahmen trotz neuer EU-Standardvertragsklauseln für Datenexporte nötig.

Die EU-Kommission und der EDSA haben die neuen Standardvertragsklauseln und die Empfehlungen 01/2020 bewusst aufeinander abgestimmt. Das heißt, auch bei Verwendung der neuen Klauseln muss der Datenexporteur die Rechtslage und -praxis des Drittlands prüfen und ggf. zusätzliche Schutzmaßnahmen ergreifen bzw., wenn dies nicht gelingt, von der Übermittlung Abstand nehmen.