Header graphic for print
Datenschutz News & Trends
Rubrik: Datenschutz Allgemein, Datenschutz im Internet, Datenschutz International, EU-Standardvertragsklauseln

500 Unternehmen betroffen: Datenschutzbehörden überprüfen internationale Datentransfers

Internationaler DatentransferIn den bevorstehenden Wochen werden zehn der deutschen Datenschutzbehörden in einer gemeinsam koordinierten Prüfaktion rund 500 verschiedene Unternehmen auffordern, Auskunft zu den von ihnen veranlassten internationalen Datentransfers zu erteilen. Den betroffenen Unternehmen werden dabei Fragebögen zugesendet, in denen detaillierte Angaben zu Übermittlungen von personenbezogenen Daten in Nicht-EU/EWR-Staaten abgefragt werden. Die Behörden gehen davon aus, dass vielen Unternehmen gar nicht bewusst ist, in welchem Umfang sie personenbezogene Daten in das Ausland übermitteln und ob dies rechtmäßig erfolgt.

Hintergrund der Prüfaktion

Nach Angaben der beteiligten Datenschutzbehörden hat die Anzahl der grenzüberschreitenden Übermittlungen von personenbezogenen Daten in den letzten Jahren ganz erheblich zugenommen. Dies sei insbesondere durch die immer umfangreichere Nutzung von Cloud-Services bedingt. So lassen mittlerweile sogar viele kleinere und mittlere Unternehmen personenbezogene Daten (etwa von Mitarbeitern, Kunden oder Webseitenbesuchern) durch externe Dienstleister verarbeiten, die ihre Server außerhalb der EU/des EWR betreiben. Nach den Feststellungen der Datenschutzbehörden fehle Unternehmen dabei oftmals das Bewusstsein für die datenschutzrechtlichen Anforderungen solcher Datenübermittlungen. Durch die Prüfaktion sollen die deutschen Unternehmen für die Rechtslage sensibilisiert werden. Nicht zuletzt ausschlaggebend für die Prüfaktion dürfte auch die anhaltende Diskussion um die Rechtmäßigkeit von Datentransfers in die USA gewesen sein.

Welche Unternehmen sind betroffen?

Nach den entsprechenden Pressemitteilungen beteiligen sich an den Prüfungen die Datenschutzbehörden der Länder Bayern, Berlin, Bremen, Hamburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland und Sachsen-Anhalt. Unternehmen mit Niederlassungen im Zuständigkeitsbereich dieser Behörden müssen in den nächsten Wochen mit den angekündigten behördlichen Auskunftsschreiben rechnen. Die Datenschutzbehörden haben die Unternehmen nach dem Zufallsprinzip ausgewählt, wobei darauf geachtet wurde, dass Unternehmen unterschiedlicher Größenordnungen und Branchen angeschrieben werden.

Welche Informationen werden abgefragt?

In den Fragebögen werden von den Unternehmen umfassende Angaben zu internationalen Datenströmen abgefragt. Kurz zusammengefasst sind folgende Angaben zu machen:

  • Ob, und wenn ja, auf welcher Grundlage personenbezogene Daten in die USA übermittelt werden;
  • Ob, und wenn ja, in welche sonstigen Drittstaaten auf welcher rechtlichen Grundlage personenbezogene Daten übermittelt werden;
  • Welcher Art die Datenübermittlungen sind: Dabei sind insbesondere Angaben zu machen Übermittlungen im Zusammenhang mit der Nutzung von Leistungen in Bereichen der Fernwartung, Support, Reisemanagements, Customer-Relationship-Management, Marketing, Personal-Recruiting, Bewerbermanagement, Cloud-Services, Kommunikationsdienste, Cloud Office-Lösungen, Kollaborationsplattformen, Ticketing-Systeme, Qualitätsmanagement, Compliance-Produkten oder sonstigen externen Dienstleistungen erfolgt;
  • Ob ein betrieblicher Datenschutzbeauftragter bestellt und, falls ja, ob dieser in die Prüfung der Rechtmäßigkeit der Datenübermittlungen einbezogen wurde.

Eine vollständige Fassung des Fragebogens ist auf der Webseite des Bayrischen Landesamtes für Datenschutzaufsicht abrufbar.

Welches sind die Rahmenbedingungen für internationale Datentransfers?

Übermittelt ein Unternehmen personenbezogene Daten in ein Land außerhalb der EU und des EWR, ist dies nur zulässig, wenn die in Frage stehende Verarbeitung als solche gerechtfertigt ist (sog. 1. „Stufe“, siehe § 4 Abs. 1 BDSG) und dabei ein angemessenes Datenschutzniveau sichergestellt ist (sog. „2. Stufe“, siehe §§ 4b, 4c BDSG). Auf die genannte 2. Stufe zielen die angekündigten Auskunftsanfragen der Behörden ab.

Unproblematisch sind die Fälle, in denen Daten in solche Nicht-EU-Staaten übermittelt werden, deren Datenschutzniveau von der Europäischen Kommission als angemessen eingestuft wurde (wie die Schweiz, Kanada, Argentinien, Guernsey, Jersey, Isle of Man, Israel, Neuseeland, Australien, Andorra, Faröer und Uruguay). Sind andere Drittstaaten betroffen, wie etwa die USA, müssen Unternehmen auf andere Mechanismen zurückgreifen, um ein angemessenes Datenschutzniveau herzustellen. Solche Mechanismen umfassen:

  • EU-Standardvertragsklauseln,
  • Binding Corporate Rules
  • Einwilligungen der betroffenen Personen, oder,
  • im Falle von Übermittlungen in die USA auch den EU-US Privacy Shield.

Tipps für betroffene Unternehmen

Die Erfahrungen bei vergleichbaren Prüfaktionen haben gezeigt, dass bei der Beantwortung der Prüfungsanfragen nicht zu lange gewartet werden sollte. Zudem sind die Angaben sehr sorgfältig zu wählen und zu prüfen, um unnötige Folgefragen zu vermeiden.

Bei der Beantwortung der Anfragen ist auch zu bedenken, dass die Behörden die eingeholten Ergebnisse sehr wahrscheinlich untereinander auf ihre Plausibilität überprüfen werden. Unterlassene oder sogar falsche Auskünfte können mit behördlichen Anordnungen und sogar Bußgeldern bis zu 300.000 Euro geahndet werden (siehe §§ 38, 42 BDSG).

Unternehmen, die eine Prüfung und Risikobewertung der durch sie zu verantwortenden internationalen Datentransfers bisher nicht vorgenommen haben, sind spätestens jetzt dringend aufgerufen, entsprechende Prüfungen durchzuführen.

Bei Fragen hierzu steht Ihnen unser Datenschutzrechtsteam gerne zur Verfügung.

Eine englischsprachige Mitteilung zu diesem Thema finden Sie zudem hier.