Ob Mailversand, Hosting, HR-Tools oder Webtracking: Fast allen Unternehmen drohen jetzt Kontrollen von Landesdatenschützern. Es geht um Applikationen von Herstellern außerhalb der EU oder wie Datenschützer sagen: „Eine grundlegende Umstellung lange praktizierter Geschäftsmodelle“.
Die Pressemitteilung des Datenschützers aus Baden-Württemberg lässt an Deutlichkeit nichts zu wünschen übrig: Sie trägt die Überschrift „Koordinierte Prüfung internationaler Datentransfers“ und birgt eine kaum zu unterschätzende Sprengkraft. Es läuft aktuell eine länderübergreifende Kontrolle. Die Datenschützer verschicken an Unternehmen gemeinsam erarbeitete Fragebögen und wollen wissen, welche zusätzlichen Maßnahmen sie zum Schutz personenbezogener Daten ergriffen haben, wenn sie Applikationen von Herstellern außerhalb der EU oder des EU-Wirtschaftsraums verwenden. Der bisherige Verweis auf die Standarddatenschutzklauseln reicht nicht.
Hintergrund: Der rechtssichere Datentransfern zwischen den USA und der EU regelte bis vor einem Jahr der sogenannte Privacy Shild. In einem spektakulären Urteil hatte aber der Europäische Gerichtshof (EuGH) die Regelung im Juli 2020 gekippt (Schrems II). Seither sind Datenschützer in Unternehmen oder ihre IT-Dienstleister gefordert, beziehungsweise hätten Vorkehrungen treffen sollen. Denn ein Jahr haben bundesdeutsche Datenschützer die Füße still gehalten. Nun aber wollen sie von Unternehmen wissen: „Welche Gedanken sie sich gemacht haben, knapp ein Jahr nach dem Schrems II Urteil, um auf die Rechtslage zu reagieren“, sagt Baden-Württembergs oberster Datenschützer Stefan Brink.
Klingt erst einmal vernünftig, dass ein Datenschützer seiner Arbeit nachgeht und prüfen will, ob sich Unternehmen an Datenschutzgesetze halten. Wenn sie gestern noch gültig waren, heute dagegen nicht mehr, zeigt auch Brink durchaus Gesprächsbereitschaft. Aber es ist aber ein Fördern und Fordern. „Wir beraten und erwarten, dass die Unternehmen, die von der Drittstaatenproblematik betroffen sind, ernsthaft nach tragfähigen Lösungen suchen“.
Dass es Unternehmen ans‘ Eingemachte geht, daran lässt der ehemalige Verwaltungsrichter Brink keinen Zweifel. „Das Urteil des EuGH erfordert in vielen Fällen eine grundlegende Umstellung lange praktizierter Geschäftsmodelle und –abläufe“, sagt er.
Im Visier der Datenschützer sind praktisch alle Applikationen, Cloud- oder SaaS-Services von Herstellern, die ihren Sitz außerhalb der EU haben. Die Behörden wollen sich zunächst auf folgende Anwendungen konzentrieren: E-Mail-Versand, Hosting von Webseiten, Webtracking, HR-Verwaltung und Tools zum internen Austausch von Kundendaten, also im Kern CRM-Systeme.