Die deutschen Datenschutzbehörden haben angekündigt, sich an der länderübergreifenden Prüfung des internationalen Datentransfers ab sofort zu beteiligen, vgl. z.B. die Pressemitteilung des Hamburgischen Datenschutzbeauftragten.
Es geht darum, europaweit den insbesondere durch die Schrems II -Entscheidung kaum noch möglichen Datentransfer in die USA zu überprüfen:
"Das Ziel ist die breite Durchsetzung der Anforderungen des Europäischen Gerichtshofs in seiner Schrems-II-Entscheidung vom 16. Juli 2020 (Rs. C-311/18).
Darin hat das Gericht festgestellt, dass Übermittlungen in die USA nicht länger auf Basis des sogenannten Privacy Shields erfolgen können. Der Einsatz der Standarddatenschutzklauseln für Datenübermittlungen in Drittstaaten ist ferner nur noch unter Verwendung wirksamer zusätzlicher Maßnahmen ausreichend, wenn die Prüfung des Verantwortlichen ergeben hat, dass im Empfängerstaat kein gleichwertiges Schutzniveau für die personenbezogenen Daten gewährleistet werden kann. Das Urteil des EuGH erfordert in vielen Fällen eine grundlegende Umstellung lange praktizierter Geschäftsmodelle und -abläufe."
In der Pressemitteilung wird auch das konkrete Vorgehen der Behörden erläutert:
"Die an der Kontrolle teilnehmenden Behörden schreiben nun die jeweils ausgewählten Unternehmen auf der Basis eines gemeinsamen Fragekatalogs an. Dabei wird es unter anderem um den Einsatz von Dienstleistern zum E-Mail-Versand, zum Hosting von Internetseiten, zum Webtracking, zur Verwaltung von Bewerberdaten und um den konzerninternen Austausch von Kundendaten und Daten der Beschäftigten gehen.
Jede Aufsichtsbehörde entscheidet individuell, in welchen dieser Themenfelder sie tätig wird."
Dankenswerterweise wurden auch die Fragenkatalog veröffentlicht, sodass auch nicht angeschriebene Unternehmen sich selbst überprüfen können. Es haben sich dabei fünf Schwerpunkte herausgebildet:
- E-Mail-Versand
- Web-Hosting
- Web-Tracking
- Verwaltung von Bewerberdaten
- konzerninterner Austausch von Kundendaten und Beschäftigtendaten
Wie das Handelsblatt berichtet, wird die EU am morgigen Freitag neue EU-Standardvertragsklauseln präsentieren.
Der EU-Justizkommissar Reynders will damit "das höchstmöglichste Niveau an Rechtssicherheit gewährleisten", muss aber selbst eingestehen, dass dies "keine perfekte Lösung" sei. Ein neues Datenschutzabkommen mit den USA sei auf absehbare Zeit unwahrscheinlich.
Anmerkung von RA Dr. Bahr:
Auch mit den neuen Standardvertragsklauseln wird weiterhin die Quadratur des Kreises probiert. Die bestehende Rechtsunsicherheit bei einem USA-Datentransfer wird auch danach bleiben.
Die Problematiken, die durch Schrems II entstanden sind, werden auch durch den neuen Rechtsrahmen nicht gelöst werden können. Denn solange die USA keinen inhaltlich relevanten Änderungen im Umgang mit personenbezogenen Daten aus der EU zustimmen, bleibt alles nur Makulatur.
"Wir wollen eine Schrems III-Entscheidungen verhindern" zitiert das Handelsblatt den EU-Kommissar.
Bei der derzeitigen Sachlage erscheint dieser Wunsch als eher unwahrscheinlich.