MELDUNG

Datenübermittlung in Drittstaaten – LDI Rheinland-Pfalz kündigt Prüfungen an

Zahlreiche Unternehmen, Verbände und öffentliche Einrichtungen wurden kürzlich von dem Landesbeauftragten Rheinland-Pfalz, Professor Dieter Kugelmann angeschrieben, um mögliche Datenschutz-Verstöße aufgrund der Datenübermittlung in Drittländer abzustellen.

Hintergrund dieses Vorgehens ist, dass der Europäische Gerichtshof (EuGH) im Sommer 2020 den EU-US Privacy Shield für unwirksam erklärt hat. Dies hat zur Folge, dass zahlreichen Datenübermittlungen in die USA die Rechtsgrundlage entzogen worden ist. Die nationalen und europäischen Behörden veröffentlichten daraufhin Empfehlungen und gaben den Datenverantwortlichen Prüfschritte zur Feststellung der (Un-)Zulässigkeit transnationaler Datenübermittlungen an die Hand.

In Rheinland-Pfalz kündigt nun die erste Landesdatenschutzbehörde ausdrücklich an, dass sie im Laufe des Jahres prüfen werde, ob im Zusammenhang mit der Datenübermittlung in Drittländer Datenschutzverstöße begangen werden, die zu sanktionieren sind. Der EuGH habe ausdrücklich formuliert, dass Behörden unzulässige Datentransfers „aussetzen oder verbieten“ müssten, argumentiert der LDI Rheinland-Pfalz. Das von der Datenschutzbehörde jüngst versendete Rundschreiben kann daher als letzte Aufforderung für Unternehmen und öffentliche Stellen zum Tätigwerden verstanden werden. Da in der Vergangenheit deutschlandweit von den Datenschutz-Aufsichtsbehörden auf die Thematik hingewiesen wurde, ist im zweiten Halbjahr 2021 auch von den anderen Landesdatenschutzbeauftragten eine verstärkte Prüfungstätigkeit im Bereich der Datenübermittlung in Drittländer und mit der Verhängung datenschutzrechtlicher Bußgelder und Sanktionen zu rechnen.

Alternative Rechtsgrundlagen, auf die Datenverarbeitungen gestützt werden können, sind jedoch weiterhin rar. Ein Nachfolgeabkommen zum EU-US Privacy Shield existiert bis heute nicht. Der Einsatz von Standardvertragsklauseln ist grundsätzlich nur noch unter Verwendung wirksamer zusätzlicher Maßnahmen ausreichend, wenn im Empfängerstaat kein gleichwertiges Schutzniveau besteht. Verantwortliche Unternehmen sollten in jedem Fall aber eine dokumentierte Prüfung vornehmen und ggf. erste Maßnahmen ergreifen, da die Bemühungen des Verantwortlichen – auch im Fall eines Verstoßes – sanktionsmildernd gemäß Art. 83 Abs. 2 DSGVO berücksichtigt werden können.

Benötigt Ihr Unternehmen Unterstützung im Bereich des Datenschutzes, wenden Sie sich vertrauensvoll an unsere Ansprechpartner.

Ihre Ansprechpartner: