Die deutschen Datenschutzaufsichtsbehörden beginnen in einer koordinierten Aktion seit Anfang Juni die Überprüfung von Unternehmen hinsichtlich der der Datenübermittlungen in Drittstaaten. Die ist eine Reaktion der Behörden auf das Schrems II-Urteil vom Juli 2020. Das bedeutet, dass hier insbesondere auch auf Datenübermittlungen in die USA abgezielt wird.

Bei der Aktion werden gemeinsam abgestimmte Fragebögen an Unternehmen zu den folgenden Bereichen versendet:

• Webhoster: https://datenschutz-hamburg.de/assets/pdf/Antwortbogen_Webhoster.pdf
• Bewerberportale: https://datenschutz-hamburg.de/assets/pdf/Antwortbogen_Bewerberportale.pdf
• Mailhoster: https://datenschutz-hamburg.de/assets/pdf/Antwortbogen_Mailhoster.pdf
• Tracking: https://datenschutz-hamburg.de/assets/pdf/Antwortbogen_Tracking.pdf
• Konzerninterner Datenverkehr: https://datenschutz-hamburg.de/assets/pdf/Antwortbogen_Konzerninterner_Datenverkehr.pdf

Die Fragebögen enthalten Fragen zu eingesetzten Dienstleistern in Drittstaaten und den Rechtsgrundlagen nach denen Daten in diese Staaten übermittelt werden. Dabei wird insbesondere auf den Einsatz von Standardvertragsklauseln abgestellt. Es soll nachgewiesen werden, mit welchen Dienstleistern die Klauseln abgeschlossen wurden und ob das Risiko für die Datenübermittlung ermittelt wurde. Das Risiko im Drittland und etwaige zusätzliche Schutzmaßnahmen (im Hinblick auf das Schrems II-Urteil) werden daraufhin ebenfalls abgefragt.

Letztendlich erbitten die Behörden abschließend noch Nachweise über die abgeschlossenen Klauseln/Dokumente und eine Kopie der die abgefragten Bereiche betreffenden Einträge im Verzeichnis von Verarbeitungstätigkeiten.

Unklar ist bisher, in welchen Größenordnungen die Behörden die Fragebögen versenden und ob sie nur einzelne Bögen versenden oder direkt alle Bögen an einzelne Unternehmen. Dies wird wahrscheinlich von Bundesland zu Bundesland unterschiedlich sein.

Aufgrund dieser Nachricht lohnt es sich, noch einmal die Datenübermittlungen und eingesetzten Dienstleistern in den Bereichen Webhosting, Tracking, Mailhoster, Bewerberportal und Datenübermittlung im Konzern zu überprüfen. Dabei sollten insbesondere mit Dienstleistern aus Drittstaaten die Standardvertragsklauseln abgeschlossen worden und ggf. der Abschluss zusätzlicher Maßnahmen wenigstens als Versuch dokumentiert sein. Der Fokus sollte dabei auf US-Dienstleister gelegt werden.

Sollten Sie hierbei noch Hilfe benötigen oder ggf. sogar Fragebögen der Aufsichtsbehörden erhalten haben, so wenden Sie sich am besten an Ihren Datenschutzbeauftragten, der Sie unterstützen kann.