Das Bundesamt für Information und Datensicherheit hat am 12.11.2020 ein Schreiben an sämtliche bundesdeutschen Behörden herausgegeben.
Konkrete Vorschläge werden auch hier nicht aufgeführt, doch es zeichnet sich auch für Unternehmen ein Weg ab, den das BfDI gehen wird.
Gefordert wird
- Behörden müssen sämtliche Datentransfers in Drittländer prüfen.
- Diese Prüfung muss dokumentiert sein.
- Können rechtlich unzulässige Datentransfers nicht ausgesetzt werden, müssen sie der Aufsichtsbehörde gemeldet werden – sowohl von den Anwendern wie von den Auftragsverarbeitern.
- Zusätzlich informiert das BfDI, dass Behörden künftig gezielt nach einzelnen Datentransfers befragt werden sollen.
Auch wenn das Schreiben nur an Behörden gerichtet ist, zeichnet sich der eingeschlagene Weg des BfDI ab. Für Unternehmen ist es sinnvoll, den Forderungen Gehör zu schenken, eigene Datentransfers zu prüfen, zu dokumentieren und die Rechtsgrundlage mit den Auftragsverarbeitern zu klären.
Kurzes Update vom 25.01.21 – es bleibt ruhig
Die Verhandlungen der US-Regierung (ITA) und des Data Protection Board (EDPB) sind inhaltlich noch nicht weiter gediegen. Derzeit werden von beiden Seiten nur Empfehlungen und Kommentare zu den Standardschutzklauseln (SCC) aus gegeben. Ob die Verhandlungen mit der US-Regierung eine Verhaltensänderung auf US-Seite überhaupt nach sich ziehen, bleibt abzuwarten. Im großen News-Überblick scheint die Diskussion rund um das Privacy Shield noch im Winterschlaf zu sein. Es fühlt sich an, wie die Ruhe vor dem Sturm, denn wir wissen noch nicht, welche weiteren Schritte die EU-Gesetzgeber gehen werden. Unsere Empfehlung, die rechtliche Grundlage der eigenen Datentransfers zu prüfen, bleibt bestehen – einfach um auf der sicheren Seite zu sein. Und vielleicht ist es jetzt auch an der Zeit, in die Initiative zu gehen und auf ein selbstgehostetes System umzusteigen.
