Deutschlandweit koordinierte Prüfung durch Datenschutz-Aufsichtsbehörden

Deutsche Aufsichtsbehörden überprüfen Datenschutz beim internationalen Datentransfer

Die Datenschutz-Aufsichtsbehörden von zehn Bundesländern prüfen seit November 2016 in einer koordinierten Aktion deutschlandweit 500 Unternehmen im Bereich der grenzüberschreitenden Datenübermittlung. Die Kontrolle erfolgt vorerst durch einen detaillierten Fragebogen. Je nach Ergebnis ist mit Folgemaßnahmen zu rechnen.

Durch die zunehmende Nutzung von Cloud-Computing und Software-as-a-Service (SaaS) in Unternehmen, aber auch durch die Auslagerung von Management- oder IT-Prozessen, werden immer häufiger personenbezogene Daten (etwa von Kunden oder Mitarbeitern) ins Nicht-EU-Ausland transferiert, weil die Server der jeweiligen Anbieter z. B. in den USA stehen. Vor dem Transfer der Daten muss vom Unternehmen sichergestellt werden, dass die Daten im Empfängerland ausreichend geschützt sind. Andernfalls hat die Übermittlung zu unterbleiben.

Die bisherige Erfahrung der Datenschutzaufsichtsbehörden zeige, dass sich Unternehmen bei Nutzung solcher Produkte nicht immer der Tatsache bewusst sind, dass daraus datenschutzrechtliche Konsequenzen resultieren. Die aktuelle Überprüfung habe deshalb den Zweck, Unternehmen für diese Herausforderung zu sensibilisieren, so das Bayerische Landesamt für Datenschutzaufsicht in seiner betreffenden Pressemitteilung (PDF).

Wo prüfen die Aufsichtsbehörden welche Unternehmen?

Die aktuelle Überprüfung wird koordiniert von den Datenschutz-Aufsichtsbehörden in den Bundesländern Bayern, Berlin, Bremen, Hamburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland und Sachsen-Anhalt angegangen. Im Rahmen der Prüfung werden rund 500 Unternehmen angeschrieben, die nach dem Zufallsprinzip ausgewählt wurden. Es wurde Wert daraufgelegt, Unternehmen unterschiedlicher Größenordnungen und verschiedener Branchen einzubeziehen.

Was wird überprüft?

Betroffene Unternehmen erhalten einen „Fragebogen zur Prüfung des internationalen Datenverkehrs“ (beim BayLDA als Download verfügbar). Gefragt wird zum Beispiel nach der Inanspruchnahme externer Leistungen und Produkte in Bereichen wie Fernwartung, Support, Ticketing-Bearbeitung, aber auch Customer-Relationship-Management oder Bewerbermanagement. Die Unternehmen werden dann aufgefordert, die entsprechenden von ihnen genutzten Dienstleistungen und Produkte konkret zu nennen.

Sofern personenbezogene Daten in Nicht-EU-Staaten übermittelt werden, sind die kontrollierten Unternehmen darüber hinaus aufgefordert anzugeben, auf welcher datenschutzrechtlichen Grundlage die Übermittlungen erfolgen. Mitgeteilt werden muss bspw., ob für das Zielland durch Beschluss der Europäischen Kommission ein angemessenes Datenschutzniveau anerkannt ist (dazu zählt auch das EU-U.S. Privacy Shield), ob Standardvertragsklauseln als Grundlage verwendet werden, ob die Übermittlungen auf Einwilligungen der Betroffenen gestützt werden und ob der Datenschutzbeauftragte des Unternehmens entsprechend konsultiert wurde.

Datenschutzrechtliche Einschätzung

Anzumerken ist, dass die aktuelle Prüfung der Aufsichtsbehörden sich vorwiegend auf den letzten zu klärenden Bereich beim Datentransfer in Drittstaaten bezieht. Denn die angemessene Datensicherheit am Empfängerort zu gewährleisten, ist längst nicht das einzige, was Unternehmen tun müssen.

Voraussetzung für einen zulässigen Drittstaatentransfer ist, dass für diesen an sich eine belastbare Rechtsgrundlage vorliegt und die gegebenenfalls notwendigen Formalien (etwa der Abschluss von Vereinbarungen zur Auftragsdatenverarbeitung) beachtet werden. Sind diese Voraussetzungen nicht erfüllt, ist die Datenübermittlung allein dadurch rechtswidrig. Diese Vorbedingungen werden im Fragebogen der Aufsichtsbehörden nur angedeutet.

Sind diese Inhalte hilfreich? Bitte bewerten Sie!
[23 Bewertung(en)/ratings]
0 Antworten

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Feel free to contribute!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.