Datenschutz: Datenschutzaufsichtsbehörden prüfen grenzüberschreitende Datenübermittlungen

Rechtsanwalt & Fachanwalt für Informationstechnologierecht Jens Ferner: Ihr Anwalt in Alsdorf für die Region Aachen, Heinsberg & Düren im gesamten IT-Recht & Datenschutzrecht. Zu meiner Kerntätigkeit gehören als Fachanwalt für IT-Recht das Softwarerecht, Domainrecht, IT-Vertragsrecht, sowie mit Bezügen zur IT das Urheberrecht und Markenrecht.

Besprechungstermin vereinbaren: 02404-92100 | Anwalt für IT-Recht

Beachten Sie, dass wir ausnahmslos keine Beratung per Mail anbieten und dass wir nicht tätig sind, wenn sich Gerichtsstand oder Auftraggeber ausserhalb der Regionen Aachen, Heinsberg, Düren, Düsseldorf oder Köln befinden.

Die einzelnen Datenschutzaufsichtsbehörden der Bundesländer starten eine gemeinsame Aktion zur Prüfung datenschutzrechtlicher Vorgaben, wie etwa die Landesdatenschutzbeauftragte NRW mitteilt:

In einer koordinierten schriftlichen Prüfaktion nehmen zehn deutsche Datenschutzaufsichtsbehörden Übermittlungen personenbezogener Daten in das Nicht-EU-Ausland genauer unter die Lupe. Angeschrieben werden bundesweit rund 500 Unternehmen unterschiedlicher Größe und verschiedener Branchen. Die Prüfung soll die Unternehmen auch für den Datenschutz sensibilisieren.

Bei der Anzahl von 500 Unternehmen handelt es sich angesichts einer Zusammenarbeit aller 16 datenschutzrechtlichen Aufsichtsbehörden, um eine eher kleine Zahl, es ist wohl davon auszugehen, dass es sich um einen Pilotversuch handelt, um – ggfs. im Vorgriff auf die ab 2018 geltende Datenschutzgrundverordnung – umfassendere Aktionen abzustecken. Unternehmen die angeschrieben werden, erhalten dann als erstes ein Auskunftsersuchen der Aufsichtsbehörde an das sich gegebenenfalls eine verwaltungsrechtliche Anordnung anknüpft. Dabei zeigen die bisherigen derartigen Vorgehen, dass man jedenfalls aktuell bei ordnungsgemäßer Mitarbeit weniger mit Bussgeldern rechnen muss, weil die Behörden in erster Linie (öffentliche) Aufklärung betreiben möchten, auf der anderen Seite für sich aber auch breit gestreute Informationen über das Prozedere bei nicht-öffentlichen Datenverarbeitungsstellen sammeln möchten. Gleichwohl müssen derartige Anfragen entsprechend ernsthaft bearbeitet werden.

Dazu auch: Bericht bei Heise-Online

Aus der Pressemitteilung der Landesdatenschutzbeauftragten NRW:

Fehlendes Problembewusstsein
Die grenzüberschreitende Übermittlung von personenbezogenen Daten in der Privatwirtschaft nimmt zu. Die wirtschaftliche Globalisierung und das sogenannte „Cloud Computing“ beschleunigen die weltweiten Datenströme. Betroffen sind Daten von Kunden, Mitarbeitern oder Bewerbern. Selbst kleinere und mittlere Unternehmen in Deutschland verarbeiten inzwischen zahlreiche personenbezogene Daten auf Servern externer Dienstleister. Beispiel hierfür sind Office-Anwendungen „aus dem Internet“, die standortunabhängig und flexibel genutzt werden können. Viele dieser Dienste stammen von US-Unternehmen und setzen deshalb meist die Übermittlung personenbezogener Daten in Nicht-EU-Staaten voraus. Das ist vielen Unternehmen nicht immer bewusst.

Datenschutz bei grenzüberschreitender Datenübermittlung
Unternehmen müssen wissen, ob und gegebenenfalls in welchem Rahmen sie personenbezogene Daten in Nicht-EU-Staaten übermitteln. Eine Datenübermittlung in Länder außerhalb Europas ist nur zulässig, wenn die Daten dort angemessen geschützt sind. Sofern Unternehmen personenbezogene Daten in Nicht-EU-Staaten übermitteln, ist anzugeben, auf welcher datenschutzrechtlichen Grundlage die Übermittlungen erfolgen. Mitzuteilen ist beispielsweise, ob für das Zielland durch Beschluss der Europäischen Kommission ein an-gemessenes Datenschutzniveau anerkannt ist (dazu zählt auch der sogenannte EU-US Privacy Shield), ob Standardvertragsklauseln als Grundlage verwendet werden, oder ob die Übermittlungen auf Einwilligungen der Betroffenen gestützt werden.

Bestimmte Produkte und Leistungen besonders betroffen
Nach den bisherigen Erfahrungen der Aufsichtsbehörden ist mit bestimmten Produkten und Leistungen regelmäßig eine Übermittlung personenbezogener Daten in Nicht-EU-Staaten verbunden. Relevant sind beispielswiese Fernwartung, Support, Ticketing-Bearbeitung, aber auch Customer Relationship Management oder Bewerbermanagement. Um Unternehmen das Auffinden solcher Übermittlungen zu erleichtern, wird im Rahmen der Prüfaktion gezielt nach dessen Einsatz gefragt. Die Unternehmen werden dann aufgefordert, die entsprechenden von ihnen genutzten Dienstleistungen und Produkte konkret zu benennen.

Bundesweit koordinierte Prüfung
Bei der schriftlichen Prüfaktion werden rund 500 Unternehmen angeschrieben. Die Aufsichtsbehörden haben dabei Wert darauf gelegt, Unternehmen unterschiedlicher Größe und verschiedener Branchen einzubeziehen. Für die Auswahl der Unternehmen im Einzelnen galt das Zufallsprinzip. An der Prüfaktion beteiligen sich zehn deutsche Datenschutzaufsichtsbehörden: Bayern, Berlin, Bremen, Hamburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland und Sachsen-Anhalt.