Prüfung Datentransfer in Drittländer durch die Aufsichtsbehörden

Knowledge Base der Datenbeschützerin

Koordinierte Prüfung internationaler Datentransfers

Die deutschen Datenschutz-Aufsichtsbehörden haben im Mai 2021 ein koordiniertes Vorgehen zur Prüfung des internationalen Datentransfers beschlossen.

Es werden verschiedene Unternehmen geprüft. Schwerpunkt wird die Datenübermittlung in Staaten außerhalb der EU / EWR sein. Auf diese soll sich die Prüfung konzentrieren.

Prüfung Datentransfer in die USA

Besonderer Augenmerk wird auf der Datenübermittlung in die USA liegen, die sich vormalig auf das EU-US-Privacy-Shield berufen hat. Da mit dem Schrems-II-Urteil vom 16. Juli 2020 das Privacy Shield als ungültig erklärt wurde, müssen sich die Datenübermittlungen nun auf andere Rechtsgrundlagen berufen und zusätzliche Maßnahmen enthalten.

Standardvertragsklauseln

Wenn sich die Datenübermittlung auf die Standardvertragsklauseln bezieht, sollten Sie die neuste Version der Standardvertragsklauseln in den Verträgen berücksichtigen. Diese wurden am 4. Juni 2021 von der EU-Kommission verabschiedet. Ältere Versionen sollten auf den neuen Stand aktualisiert werden.

Risikoanalyse

Auch wenn wir uns wiederholen. Dienste in den USA bzw. von amerikanischen Dienstleistern bergen aktuell aufgrund der rechtlichen Lage ein (Rest-)Risiko. Betrachten Sie die Risiken, wenn Sie einen Dienstleister aus Drittstaaten an Ihre Daten lassen (oder an die Ihrer Kunden). Wir haben für einige Anbieter schon eine grobe Risikoanalyse bzw. Vorbewertung erstellt. Diese sind in einem separaten Beitrag hinter diesem Link zu finden.

Wichtig ist, dass Sie nicht blind unsere Vorbewertung übernehmen, sondern diese als Basis nehmen und mit Ihrer eigenen Situation abgleichen und die Risiken ergänzen oder anpassen. Nutzen Sie dazu gerne unsere Methodik der Risikoanalyse, die wir hier ausführlich mit einem Muster erläutern.

Im Gespräch mit Vertretern der bayerischen Aufsichtsbehörde haben wir dieses Vorgehen kurz erläutert und positive Rückmeldung dazu erhalten. Wir sehen Sie also mit dieser Vorgehensweise einer evtl. Prüfung gut gewappnet.

Gerne unterstützen wir Sie natürlich auch bei der Erstellung einer Risikoanalyse oder DSFA für die Vorbereitung zur Prüfung des Datentransfer in Drittländer.

Fragenkatalog zur Prüfung

Sehr schön ist es (ohne Ironie, das meine ich ernst), dass die Behörden bereits Fragenkataloge zur Prüfung anbieten. Es werden fünf Kategorien der Prüfung unterschieden:

  • Bewerberportale
  • Konzerninterner Datenverkehr
  • Mailhoster
  • Tracking
  • Webhoster

Nachfolgend ein paar Beispiele pro Kategorie, welche Fragen Sie zu erwarten haben.

Beispiele aus dem Fragenkatalog

  • Welche personenbezogenen Daten sieht ein evtl. Dienstleister (Auftragsverarbeiter)?
  • Auf welcher Rechtsgrundlage werden die Daten übermittelt?
  • Unterliegt ein Empfänger der Daten der Section 702 (FISA) der USA, der US-Behörden Zugang zu Daten ermöglicht?
  • Wie kommen Sie zu dem Schluss, dass der Empfänger der Daten die Erfüllung der vertraglichen Pflichten nachkommen kann?
  • Wenn Sie zu dem Schluss kommen, dass der Empfänger die Erfüllung nicht garantieren kann, welche zusätzlichen Maßnahmen haben Sie dann unternommen?
    • Hier ist dann der passende Punkt, ihre Risikoanalyse zu erläutern!

Was Sie jetzt tun sollten zur Vorbereitung auf eine Prüfung

Die Behörden werden Unternehmen auswählen, die einer Prüfung des Datentransfer in Drittländer unterzogen werden. Ob es Sie „trifft“ oder nicht, ist wohl ein wenig wie Pokern. Je nachdem, ob Sie ein Pokerface besitzen, macht es vielleicht Sinn, sich schon mit den Fragen auseinander zu setzen.

Wir werden nach und nach unsere Prüfung der Cloud Anbieter noch um die Antworten des Fragenkatalogs erweitern. Dann können Sie das schon (soweit möglich) dort heraus nehmen.

Unabhängig von unseren Unterlagen sollten Sie aus dem Verfahrensverzeichnis eine Übersicht herausfiltern können, an welcher Stelle Sie einen Datentransfer in Drittländer durchführen. Welche Dienste davon fallen unter die potentiellen Prüfungskataloge? Sehen Sie sich die Dienste unter den Gesichtspunkten des Fragenkatalogs an und treffen Sie frühzeitig Maßnahmen oder betrachten Sie Risiken – sofern noch nicht geschehen.

Natürlich stehen wir Ihnen bei der Beantwortung der Fragebögen zur Seite, sofern Sie diesen erhalten!

Wie sind Ihre Erfahrungen?

Hatten Sie schon Prüfungen durch die Aufsichtsbehörden? Sei es konkret in diesem Fall oder in anderen Zusammenhängen rund um den Datenschutz? Wenn ja, wie waren Ihre Erfahrungen?

Natürlich interessiert es uns auch, wie Sie sich auf eine mögliche Prüfung des Datentransfer in Drittländer vorberieten. Schreiben Sie uns doch einen Kommentar zum Beitrag!

Diesen Beitrag teilen

Wie hilfreich war der Artikel?
Danke!
Regina Stoiber

Seit über 10 Jahren bin ich nun im Bereich Informationssicherheit und Datenschutz tätig. Mit Begeisterung für das Thema bin ich seit einigen Jahren nun selbständig. Ich unterstütze Sie, beim Schützen Ihrer Daten. Praxisorientiert, strukturiert und persönlich.

Leave a reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.