Stand: 18. Juni 2023
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat in ihrem Beschluss vom 31.01.2023 die Zugriffsmöglichkeiten öffentlicher Stellen von Drittländern auf personenbezogene Daten thematisiert. Der Beschluss zeigt die Erwartungshaltung der Aufsichtsbehörden und betrifft Drittlandsübermittlungen im Sinne von Art. 44 ff. DSGVO. Unternehmen sollten sich mit den Anforderungen auseinandersetzen, um den gestiegenen Anforderungen an die Rechenschaftspflicht gerecht zu werden.
Keine Drittlandsübermittlung bei bloßer Gefahr einer Datenübermittlung
Die DSK hat in ihrem Beschluss klargestellt, dass die bloße Gefahr einer Datenübermittlung in ein Drittland noch keine Drittlandsübermittlung im Sinne der DSGVO darstellt. Allein die Möglichkeit, dass ein Unternehmen aus dem Anwendungsbereich der DSGVO, von der Muttergesellschaft oder öffentlichen Stellen in Drittstaaten angewiesen werden könnten, eine Datenverarbeitung im Rahmen einer Übermittlung ins Ausland vorzunehmen, reicht nicht aus, um eine Drittlandsübermittlung anzunehmen. Unternehmen sollten jedoch bedenken, dass die DSK eine frühzeitige Überprüfung der Rechtslage im Drittland und das Risiko eines unrechtmäßigen Herausgabeverlangens fordert.
Prüfung der Zuverlässigkeit des Auftragsverarbeiters
Die DSK verortet das Problem der Drittlandsübermittlung bereits frühzeitig in die zu überprüfende Zuverlässigkeit des Auftragsverarbeiters im Rahmen von Art. 28 Abs. 1 DSGVO. Die DSK folgt dem risikobasierten Ansatz der DSGVO, bei dem die Art, die Zwecke und der Umfang der verarbeiteten Daten berücksichtigt werden müssen. Eine Prüfung der Rechtslage im Drittland und das Risiko eines unrechtmäßigen Herausgabeverlangens sind daher nach Auffassung der DSK auch dann notwendig, wenn keine Drittlandsübermittlung stattfindet.
Transfer Impact Assessment als konkrete Form der Risikobewertung
Danach kann der Verantwortliche verpflichtet sein, eine Prüfung der Rechtslage im Drittland durchzuführen sowie das Risiko eines unrechtmäßigen Herausgabeverlangens zu bewerten. Diese Pflicht ist gleichbedeutend mit einer vorgezogenen Ausarbeitung eines Transfer Impact Assessments (TIA). Bei einem TIA handelt es sich um eine konkrete Form der Risikobewertung für Datenübermittlungen in unsichere Drittländer. Unternehmen müssten sich auf einen enormen Mehraufwand einstellen, um den gestiegenen Anforderungen an die Rechenschaftspflicht für Verantwortliche gerecht zu werden. Besteht nach der Risikoevaluierung die realistische Gefahr, dass der Auftragsverarbeiter seine Pflichten aus dem Auftragsverarbeitungsvertrag nicht einhalten kann, darf er im Extremfall nicht eingesetzt werden.
Was bedeutet das für Unternehmen?
Für Unternehmen bedeutet dieser DSK-Beschluss eine weitere Verschärfung der Anforderungen im Datenschutz. Insbesondere müssten Unternehmen nun bei der Auswahl ihrer Auftragsverarbeiter noch stärker auf deren Zuverlässigkeit achten und gegebenenfalls ein Transfer Impact Assessment durchführen, soweit sie der Auffassung der DSK folgen. Dies bedeutet einen erheblichen Mehraufwand, der insbesondere für kleine und mittelständische Unternehmen eine große Herausforderung darstellen kann.
Es ist daher dringend ratsam, dass Unternehmen sich mit diesem Beschluss auseinandersetzen und ihre Datenschutzmaßnahmen überprüfen und gegebenenfalls anpassen, um den gestiegenen Anforderungen gerecht zu werden. Insbesondere sollten sie sicherstellen, dass sie eine Liste aller Auftragsverarbeiter und Subauftragsverarbeiter führen und diese regelmäßig überprüfen. Zudem sollten sie sicherstellen, dass sie Verträge mit ihren Auftragsverarbeitern haben, die den Anforderungen der DSGVO entsprechen und gegebenenfalls entsprechende Zusatzvereinbarungen abschließen.
Fazit
Der DSK-Beschluss vom 31.01.2023 zeigt, dass Datenschutz auch in Zukunft ein wichtiges Thema bleiben wird und dass die Anforderungen an Unternehmen weiter steigen werden. Insbesondere im Bereich der Drittlandsübermittlung und der Auswahl von Auftragsverarbeitern sollten Unternehmen nach wie vor verstärkt auf die Einhaltung der datenschutzrechtlichen Vorgaben achten.
Es ist daher dringend ratsam, dass Unternehmen ihre Datenschutzmaßnahmen überprüfen und gegebenenfalls anpassen, um den gestiegenen Anforderungen gerecht zu werden. Hierbei kann es sinnvoll sein, einen externen Datenschutzbeauftragten hinzuzuziehen, der Unternehmen bei der Umsetzung der datenschutzrechtlichen Vorgaben unterstützt und berät.
Insgesamt bleibt festzuhalten, dass Datenschutz ein wesentlicher Aspekt der Compliance von Unternehmen bleibt. Auf Grund des Beschlusses ist zu befürchten, dass die Aufsichtsbehörden bei Kontrollen zukünftig entsprechende Nachweise über den Umgang mit den Risiken extraterritorialer Zugriffe anfordern werden. Insbesondere in technischen Bereichen, die einschlägige US-Anbieter mit einbeziehen, dürfte dies zumindest bis zu einem neuen Angemessenheitsbeschluss der EU akut werden.
Fraglich bleibt natürlich, ob die Anforderungen in der Praxis tatsächlich so umgesetzt werden. Die weitere Entwicklung muss daher mit Spannung erwartet werden.
.png)
Fachanwalt für Insolvenz- und Sanierungsrecht
Datenschutzauditor (TÜV)
Datenschutzbeauftragter (TÜV)
Zum Profil
