Das Portal fragdenstaat.de (Link) hat einen Fragebogen der Hamburgischen Datenschutzbehörde veröffentlicht, mit Hilfe dessen die Behörde die Umsetzung des Schrems-II-Urteils exemplarisch am Einsatz von Office 365 überprüft. Der Fragebogen ist nicht nur für Hamburg, sondern für ganz Deutschland von Relevanz, da der Hamburger und der Berliner Datenschutzbeauftragte die Federführung einer Task Force deutscher Datenschutzbehörden zur Überprüfung der Umsetzung des Urteils innehat (Link). Die Hamburger Behörde fragt im Fragebogen u.a. ab, auf welcher Rechtsgrundlage die Drittlandübermittlung erfolgt, welche zusätzlichen Maßnahmen unternommen wurden oder in Planung sind, und bittet um Vorlage der betreffenden Teile des Verarbeitungsverzeichnisses.
Zum Hintergrund
Im Juli vergangenen Jahres hat sich der EuGH im sog. Schrems-II-Urteil mit Übermittlungen personenbezogener Daten in Drittländer, dem EU-US Privacy Shield sowie Standardvertragsklauseln befasst. Das Gericht erklärte die Regelungen des Privacy Shield für unwirksam und sieht die EU-Standardvertragsklauseln nur noch unter gewissen Voraussetzungen als Grundlage für die Übermittlung personenbezogener Daten in Drittländer an. So ist u.a. vor einer Übermittlung zu prüfen, ob das vom EU-Recht geforderte Schutzniveau in dem Zielland der Datenübermittlung eingehalten wird. Um das zu erreichen, müssen ggf. zusätzliche Schutzmaßnahmen (z.B. Verschlüsselung) für die personenbezogenen Daten mit dem Datenimporteur vereinbart und regelmäßig überprüft werden.
Folgen für Arbeitgeber
In Folge des Urteils sollten sich Arbeitgeber einen Überblick über ihre Drittlandübermittlungen und deren Rechtsgrundlagen verschafft haben; die Informationen hierzu sind idealerweise bereits im Verarbeitungsverzeichnis enthalten. Bei Drittlandübermittlungen, die auf Standardvertragsklauseln beruhen, sollte unbedingt geprüft werden, ob wirksame Mechanismen zur Einhaltung der Vorschriften vorhanden sind und ob zusätzliche Schutzmaßnahmen technischer oder rechtlicher Art erforderlich sein könnten, um ein angemessenes Datenschutzniveau zu gewährleisten. Doch das Urteil hat nicht nur Bedeutung für Datenübermittlungen in die USA. Deutsche Datenschutzbehörden haben vereinzelt bereits durchblicken lassen, dass Übermittlungen z.B. nach China, Indien und Russland nun ebenfalls vor diesem Hintergrund ins Auge genommen werden.
Nächste Schritte
Arbeitgeber sollten den Fragenbogen der Hamburgischen Datenschutzbehörde zum Anlass nehmen, ihre internationalen Datentransfers (und insbesondere die Rechtsgrundlagen für die Drittlandübermittlung) zu überprüfen. Das Privacy Shield kann Datentransfers nicht mehr legitimieren. Bei Übermittlungen auf Grundlage der Standardvertragsklauseln ist eine Risikobewertung durchzuführen, die auch die Rechtslage im Empfängerland zum Gegenstand hat. Je nach Risiko, das u.a. von der Rechtslage im Drittland, den Kategorien betroffener personenbezogener Daten und dem Zweck der Verarbeitung abhängt, sind ggf. ergänzende Schutzmaßnahmen mit dem Empfänger der Daten zu vereinbaren. Zudem sollte das Verfahrensverzeichnis auf Aktualität und Vollständigkeit überprüft werden.“
