BayLDA prüft grenzüberschreitende Datenübermittlungen

In  einer  koordinierten  schriftlichen  Prüfungsaktion  nehmen  zehn deutsche  Datenschutzaufsichtsbehörden Übermittlungen  personenbezogener  Daten  in  das  Nicht-EU-Ausland genauer unter  die  Lupe.  Die  Prüfung soll dabei auch der  Sensibilisierung von Unternehmen  für gerade  die Verarbeitungsprozesse dienen, bei  denen personenbezogene Daten in Nicht-EU-Länder  übermittelt  werden – wie  es  bspw.  bei Cloud Computing häufig der Fall ist.

In  den  letzten  Jahren haben grenzüberschreitende Übermittlungen von personenbezogenen Daten in der Privatwirtschaft weiter  massiv zugenommen.  Zu  den  Ursachen  dieser Entwicklung  zählen  die wirtschaftliche Globalisierung  wie  auch die  stetige  Ausbreitung von  Dienstleistungen  und  Produkten  des sog.  Cloud  Computing. Selbst viele  kleinere  und  mittlere Unternehmen in  Deutschland verarbeiten  inzwischen zahlreiche personenbezogene  Daten (z.B. von  Kunden,  Mitarbeitern  oder  Bewerbern) häufig auf  Servern  externer Dienstleister, oft außerhalb der Europäischen Union. Dies ist vor allem bei Angeboten wie dem sog. Software as a Service der Fall.  Ein  klassisches  Beispiel  hierfür  sind Office-Anwendungen „aus dem Internet“,  die  standortunabhängig  und flexibel genutzt werden können. Viele dieser Dienste stammen jedoch von US-Unternehmen und setzen deshalb meist die Übermittlung personenbezogener Daten in die USA und/oder in andere Nicht-EU-Staaten voraus. Die bisherige  Erfahrung der  Datenschutzaufsichtsbehörden zeigt,  dass sich Unternehmen bei Nutzung solcher Produkte nicht immer der Tatsache bewusst sind,  dass dadurch eine Übermittlung personenbezogener Daten in Nicht-EU-Staaten stattfindet und entsprechende datenschutzrechtliche Konsequenzen daraus resultieren.

Möchte ein  Unternehmen  personenbezogene  Daten in  Länder außerhalb  der  Europäischen  Union übermitteln, so muss es zuerst prüfen, ob überhaupt sicher gestellt werden kann, dass die Daten auch nach der Übermittlung noch angemessen geschützt bleiben – andernfalls muss die Übermittlung unterbleiben. Entscheidend ist daher, im  Unternehmen frühzeitig eine  Sensibilisierung  dafür  zu  erzeugen, ob  und ggf. im  Rahmen  welcher  Verarbeitungen das Unternehmen personenbezogene Daten in Nicht-EU-Staaten übermitteln möchte oder vielleicht sogar bereits übermittelt. Finden solche Übermittlungen statt, so muss sich das Unternehmen zwingend Gedanken machen, inwieweit diese auf eine datenschutzrechtliche Grundlage gestützt werden können oder nicht.

Vor  diesem  Hintergrund  werden zehn  deutsche  Datenschutzaufsichtsbehörden  (Bayern,  Berlin,  Bremen,  Hamburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland und Sachsen-Anhalt) in den nächsten Wochen eine  koordinierte schriftliche Prüfungsaktion zur Abfrage von Übermittlungen personenbezogener Daten durch nicht-öffentliche Stellen, d. h. insbesondere Unternehmen, in Nicht-EU-Staaten durchführen. Im Rahmen der Prüfung werden rund 500 Unternehmen angeschrieben, die nach dem Zufallsprinzip ausgewählt wurden. Die Aufsichtsbehörden haben dabei Wert darauf gelegt, Unternehmen unterschiedlicher Größenordnungen und verschiedener Branchen einzubeziehen.

Ein wichtiges Ziel der Prüfung liegt in der Sensibilisierung der Unternehmen für Datenübermittlungen in Länder außerhalb der Europäischen Union. Um Unternehmen das Auffinden solcher Übermittlungen zu erleichtern, wird auch gezielt nach  dem  Einsatz von  Produkten  und  Leistungen  externer  Anbieter  gefragt, die – nach bisherigen Erfahrungen  der  Aufsichtsbehörden – mit einer  Übermittlung personenbezogener Daten  in  Nicht-EU-Staaten verbunden sind. Gefragt  wird  zum  Beispiel  nach der Inanspruchnahme  externer  Leistungen  und  Produkte  in Bereichen wie Fernwartung,  Support,  Ticketing – Bearbeitung,  aber  auch  Customer  Relationship  Management oder  Bewerbermanagement.  Die  Unternehmen  werden dann aufgefordert,  die  entsprechenden von  ihnen genutzten Dienstleistungen und Produkte konkret zu nennen.

Sofern  personenbezogene  Daten  in  Nicht-EU-Staaten  übermittelt werden, sind die kontrollierten Unternehmen darüber  hinaus aufgefordert  anzugeben,  auf  welcher datenschutzrechtlichen  Grundlage  die  Übermittlungen erfolgen. Mitgeteilt werden muss bspw., ob für das Zielland durch Beschluss der Europäischen Kommission ein angemessenes Datenschutzniveau anerkannt ist (dazu zählt auch der sog. EU-U.S. Privacy Shield), ob Standardvertragsklauseln  als  Grundlage  verwendet  werden,  ob die  Übermittlungen  auf  Einwilligungen  der  Betroffenen gestützt werden o.a.

„Übermittlungen personenbezogener Daten in Nicht-EU-Staaten gehören inzwischen auch bei vielen mittelständischen Unternehmen zum Alltag, nicht zuletzt aufgrund der immer stärkeren Verbreitung von Angeboten des Cloud Computing.  Unternehmen  müssen  sich  aber dessen bewusst  sein,  dass  hierfür besondere datenschutzrechtliche Anforderungen gelten. Durch die koordinierte Prüfaktion, an der sich zehn deutsche Datenschutzaufsichtsbehörden beteiligen,  wollen  wir auch die  Sensibilität  der  Unternehmen  in  diesem  Bereich  erhöhen.“ betont  Thomas  Kranig, der  Präsident  des  Bayerischen  Landesamtes  für  Datenschutzaufsicht. „Ausgehend  von  der  Beantwortung  des Fragebogens  kann  und  wird  das  Bayerische  Landesamt  für  Datenschutzaufsicht dort,  wo  sich  dies  als  notwendig zeigt, auch in eine tiefere Prüfung einsteigen.“

Thomas Kranig
Präsident

Link PR-Mitteilung