Datenschutz-Aufsichtsbehörden: Fragebögen zu US-Datentransfers
[IITR – 29.03.21] Die deutschen Landes-Datenschutzaufsichtsbehörden bereiten über die Datenschutzkonferenz (DSK) eine Reihe von Fragebögen zum Umgang mit außereuropäischen Datentransfers vor, die in Kürze verabschiedet werden und dann von ersten Landes-Datenschutzaufsichtsbehörden verwendet werden sollen. Dies berichtete Professor Dr. Johannes Caspar, Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit, am 25.3.2021 in einer Informationsveranstaltung der Hamburger Datenschutzgesellschaft.
Einsatz von Fragebögen zu internationalen Datentransfers
Die Fragebögen sollen folgende Bereiche außereuropäischer Datentransfers adressieren:
- Einsatz von Tracking-Tools in Webseiten
- Speicherung von Bewerberdaten in Dritt-Staaten
- Webhosting
- Mail-Hosting
- Konzerninterner Datenverkehr
Focus auf Bereiche mit europäischer Alternative
Herr Professor Caspar begründete die Auswahl dieser Bereiche damit, dass man im Wege der Ermessensausübung in jenen Bereichen mit aufsichtsrechtlichen Prüfungen beginnen wolle, in denen es perspektivisch europäische Alternativen gäbe.
Die Teilnahme an den Fragebögen sei – so Herr Professor Caspar – im ersten Schritt für die angeschriebenen Unternehmen freiwillig. Allerdings bestünde die theoretische Möglichkeit, dass die Aufsichtsbehörden in diesem Fall ggfs. eine Anordnung zur Beantwortung der gestellten Fragen erlassen könnten.
Dialog mit der Wirtschaft
Es sei noch offen, welche der Aufsichtsbehörden die Fragebögen nach Verabschiedung durch die DSK verwenden würden. Bußgelder seien nach Information von Herrn Professor Caspar derzeit nicht das primäre Ziel. Vielmehr suche man mit den Fragebögen den Dialog mit der Wirtschaft zur Umsetzung der EuGH-Rechtsprechung zu internationalen Datentransfers aus dem vergangenen Jahr.
Überlegungen aus der Wirtschaft, Datentransfers von einer auf Wahrscheinlichkeiten der geheimdienstlichen Abfrage beruhenden Risikoprüfung abhängig zu machen erteilte Herr Professor Caspar eine Absage.
EU-Position digitalpolitisch stärken
Laut Aussage von Herrn Professor Caspar wolle die DSK diese Fragebögen auch als digitalpolitische Unterstützung der Europäischen Union verstanden wissen, die Datensouveränität in der Europäischen Union zu stärken. Herr von Danwitz, Richter am EuGH und federführend an den Entscheidungen zu internationalen Datentransfers beteiligt, hatte dagegen kürzlich noch ausgeführt, das Urteil habe aus seiner Sicht nicht die europäische Datensouveränität im Focus.
Hoffnung auf Nachfolge zum Privacy Shield
Herr Professor Caspar bezeichnete die neue Administration in den USA als „Licht am Ende des Tunnels“ und gab der Hoffnung Ausdruck, dass man auf politischer Ebene mittelfristig eine Einigung für die Frage des Transfers personenbeziehbarer Daten zwischen der EU und den USA finden werde.
Die nun erstellten Fragebögen sollten hier die europäische Verhandlungslinie gegenüber den USA auch politisch stützen.
Derweil hat das Bayerische Landesamt für Datenschutzaufsicht die Nutzung des US-Anbieters Mailchimp zum Newsletter-Versand ohne Einwilligung oder andere ergänzende Maßnahmen oder Prüfschritte für datenschutzrechtlich unzulässig erklärt. Der Conseil d’Etat hatte kürzlich in einem vielbeachteten Urteil entschieden, dass die Nutzung von AWS mit der EuGH-Rechtsprechung zu internationalen Datentransfers unter zwei Voraussetzungen zulässig sei: a) Abschluss einer Zusatzvereinbarung mit Amazon zur rechtlichen Abwehr von Regierungszugriffen (analog zu Microsoft) und b) Verschlüsselung der Daten in europäischer Hoheit.
Zugleich hat der Bundestag grünes Licht gegeben, dass der Bundesnachrichtendienst seine Überwachungspraxis auch in enger Verzahnung mit den USA weiter fortführen und ausbauen kann.
Die Verhandlungsführer sowohl von EU als auch USA haben zudem in einer aktuellen gemeinsamen Stellungnahme veröffentlicht, dass man die Gespräche zur Schaffung eines Nachfolge-Konstrukts zum Privacy Shield nochmal intensiviert habe.
