Wir haben ja bereits ausführlich über das EuGH-Urteil, das zum Ende von Privacy Shield geführt hat, berichtet, und ebenso über unsere Beschwerde bei der bayrischen Datenschutzbehörde, die zu der offiziellen Entscheidung geführt hat, dass der Einsatz von Mailchimp gesetzeswidrig ist.

Nun legen die Datenschutzbehörden einen Gang zu. Laut einer Pressemeldung der Datenschutzbehörde in Niedersachsen gibt es eine „länderübergreifende Kontrolle von Datenübermittlungen durch Unternehmen […] an Drittstaaten“. Damit soll die Umsetzung des Endes von Privacy Shield überprüft werden, denn „das Urteil des EuGH erfordert in vielen Fällen eine grundlegende Umstellung lange praktizierter Geschäftsmodelle und -abläufe.“

 

Zunächst erfolgt eine Bestandsaufnahme

Dazu verschicken die verschiedenen (deutschen) Datenschutz-Behörden Fragebögen an ausgewählte Unternehmen (die Liste der Unternehmen ist derzeit nicht bekannt).

Darin geht es explizit um die Verwendung von E-Mail Marketing Software, Website-Hosting, Tracking oder CRM-Systeme. Die angeschriebenen Unternehmen müssen darin eine Reihe von relativ detaillierten Fragen beantworten.

 

Haben Sie Antworten auf diese Fragen?

Die Fragenkataloge sind öffentlich verfügbar – was fair und gut ist, denn so können sich alle Unternehmen darauf vorbereiten. Wir haben uns die Fragen zu E-Mail Marketing Anbietern [PDF] angesehen.

Wenn ein Unternehmen immer noch amerikanische Dienstleister einsetzt, dann gibt es bei manchen Fragen vermutlich einen erheblichen Erklärungsbedarf. Hier die wichtigsten Fragen zum Drittlandtransfer aus dem Fragebogen (die Hervorhebungen sind von uns):

„6. Auf welche rechtlichen Grundlagen bzw. Übermittlungsinstrumente im Sinne von Kapitel V DSGVO werden die Drittlandsübermittlungen nach Ziff. 5 gestützt (zum Beispiel Angemessenheitsbeschluss, Standarddatenschutzklauseln, Binding Corporate Rules, Ausnahmen nach Art. 49 DSGVO)?“

„7. Wenn Sie die Datenübermittlungen in die USA oder andere Drittländer auf Standarddatenschutzklauseln (SDK) gemäß Art. 46 Abs. 2 lit. c oder Art. 46 Abs. 5 Satz 2 DSGVO stützen, teilen Sie uns bitte mit, mit wem Sie solche SDK unterzeichnet haben, geben Sie an, welche Vorlage der Kommission für den Abschluss von SDK verwendet wurde (SDK für die Übermittlung von personenbezogenen Daten zwischen zwei für die Verarbeitung Verantwortlichen oder SDK für die Übermittlung von personenbezogenen Daten an in Drittländern ansässige Auftragsverarbeiter) und übermitteln Sie eine unterzeichnete Kopie.“

„8. Wenn Sie solche SDK abgeschlossen haben, haben Sie dann (mit den Empfängern) eine sorgfältige Bewertung der Rechtsordnung des Drittlandes vorgenommen? Haben Sie dabei insbesondere überprüft, ob es in den Rechtsvorschriften des Drittlandes keine Bestimmungen gibt, die es den Empfängern unmöglich machen, ihren vertraglichen Verpflichtungen gemäß den SDK nachzukommen, um sicherzustellen, dass das im EWR garantierte Datenschutzniveau natürlicher Personen nicht untergraben wird? Sofern die (mögliche) Kenntnisnahme der personenbezogenen Daten in den USA erfolgt, unterfallen Sie oder ein Empfänger der Section 702 des Foreign Intelligence Surveillance Act (FISA) der USA, der US-Behörden Zugang zu den Daten bei Anbietern elektronischer Kommunikationsdienste ermöglicht?“

Es wird also explizit auf die Überwachungsgesetze der USA wie FISA Bezug genommen. Hier werden sich Unternehmen wohl sehr schwer tun zu argumentieren, weshalb ein Transfer von personenbezogenen Daten an ein amerikanisches Unternehmen trotz dieser Gesetze zulässig ist.

 

Auch das Verarbeitungs-Verzeichnis muss offengelegt werden.

Am Ende des Fragebogens verlangt die Behörde auch die Übermittlung des relevanten Teiles des Verarbeitungs-Verzeichnisses.

Damit können die Behörden die komplette Verarbeitung (nicht nur den Drittlandtransfer) im Detail überprüfen und gegebenenfalls strukturelle Mängel im Datenschutz-Management aufdecken sowie weitere Überprüfungen initiieren.

 

Empfehlung: Selber prüfen bevor die Behörde prüft

Da der Fragenbögen öffentlich ist, können alle Unternehmen eine Einschätzung der eigenen Datenverarbeitungs-Aktivitäten vornehmen – und insbesondere überprüfen, ob sie zufriedenstellende Antworten auf alle Fragen anbieten können.

Das gilt insbesondere für die Fragen zum Drittlandtransfer: Hier sollte man sich die Argumentation wohl besonders gut überlegen, da zu erwarten ist, dass die Behörden hier kritisch nachhaken werden.

Dazu das LfD Niedersachsen: „Der EuGH hat seine Erwartung klar formuliert, dass die Behörden unzulässige Transfers „aussetzen oder verbieten“. Das Aussetzen einer Übermittlung kann voraussichtlich in vielen Fällen im kooperativen Dialog mit den Unternehmen gelingen. Wo dies nicht möglich ist, wird mit den zur Verfügung stehenden aufsichtsbehördlichen Maßnahmen reagiert.“