14.11.2016
Aktuelle Sonderprüfung grenzüberschreitender Datenübermittlungen durch die Datenschutzaufsichtsbehörden
500 deutsche Unternehmen werden innerhalb der nächsten Wochen einen ausführlichen Fragebogen zu grenzüberschreitenden Datenübermittlungen erhalten.
500 deutsche Unternehmen werden innerhalb der nächsten Wochen von zehn deutschen Datenschutzaufsichtsbehörden einen ausführlichen Fragebogen zu grenzüberschreitenden Datenübermittlungen erhalten und zur Beantwortung aufgefordert. Unternehmen müssen in diesem Fragebogen Auskunft erteilen, ob sie die datenschutzrechtlichen Anforderungen an Datentransfers in Staaten, deren Datenschutzniveau nicht dem europäischen Standard entspricht, erfüllen.
Die Datenschutzaufsichtsbehörden haben in den letzten Jahren zur Kenntnis genommen, dass die Anzahl von grenzüberschreitenden Übermittlungen von Daten durch die fortschreitende Globalisierung und die Nutzung von Cloud-Services massiv zugenommen hat. Insbesondere würden Software-as-a-Service-Dienste, wie Office-Anwendungen, erheblich mehr genutzt als in der Vergangenheit. Diese Dienste werden überwiegend von Providern mit Sitz in den USA angeboten und damit einhergehend erfolgt ein Transfer von Daten in die USA oder auch in andere Staaten, die kein den europäischen Standards entsprechendes angemessenes Datenschutzniveau aufweisen.
Die Erfahrungen der Datenschutzaufsichtsbehörden aus der Vergangenheit hätten gezeigt, dass Unternehmen der Privatwirtschaft sich häufig nicht bewusst seien, welche datenschutzrechtlichen Anforderungen zu erfüllen seien, bevor Daten in Länder außerhalb des Europäischen Wirtschaftsraums (so genannte „Drittstaaten“) übermittelt würden.
Der dreiseitige Fragebogen umfasst konkret Fragen nach Übermittlungen von Daten in die USA, sonstige Drittstaaten und nach den Rechtsgrundlagen für diese Übermittlungen. Daneben wird detailliert abgefragt, für welche Zwecke die Übermittlung erfolgt: Konzerninterner Datentransfer, Fernwartung, Wartung, Reisemanagement, Vertrieb / Marketing, Personalwesen usw. Zusätzlich werden Fragen nach u.a. Kommunikationsdiensten, Cloud-Office-Lösungen, Kollaborationsplattformen, Ticketsystemen oder sonstigen Systemen gestellt, bei deren Einsatz Daten in Drittstaaten übermittelt werden. Zu guter Letzt müssen die Unternehmen ausführen, ob ihr betrieblicher Datenschutzbeauftragter in die Prüfung der Rechtmäßigkeit der Übermittlung einbezogen wurde und wenn nicht, begründen, warum nicht.
Laut der Pressemeldung der Datenschutzaufsichtsbehörden soll die Prüfung den Unternehmen u.a. eine Hilfestellung sein, eventuelle Lücken in der Umsetzung des geltenden Datenschutzrechts zu identifizieren und zu schließen. Die Unternehmen werden rein zufällig ausgewählt, wobei Unternehmen unterschiedlicher Größenordnung und verschiedener Branchen umfasst sind. Angeschrieben werden Unternehmen mit Sitz in Bayern, Berlin, Bremen, Hamburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, dem Saarland und Sachsen-Anhalt.
Unternehmen, die Daten in Staaten außerhalb des Europäischen Wirtschaftsraums übermitteln, müssen sicherstellen, dass der Empfänger der Daten ein den europäischen Standards entsprechendes Datenschutzniveau einhält. Die Europäische Kommission hat bei einer Reihe von Staaten, wie z.B. der Schweiz, Kanada oder Argentinien, das bestehende Datenschutzniveau durch Beschluss ausdrücklich als angemessen anerkannt. Andere Staaten, wie z.B. die USA oder Indien, weisen indes kein solches Datenschutzniveau auf, so dass der Transfer auf andere Weise zu legitimieren ist. Für Transfers in die USA kann es zurzeit ausreichend sein, dass der Empfänger unter dem so genannten Privacy Shield registriert ist; für den Transfer in andere Drittstaaten können z.B. mit dem Empfänger die so genannten Standardvertragsklauseln abgeschlossen werden. Auch wenn das Privacy Shield, das das im letzten Oktober vom EUGH für ungültig erklärte Safe-Harbor-Abkommen abgelöst hat, durchaus in der Kritik steht, erkennen die Aufsichtsbehörden dieses ausweislich ihrer Pressemitteilung zur Fragebogenaktion als Rechtsgrundlage an.
Sofern ein Unternehmen den Fragebogen erhält, sollte dieser innerhalb der von der Aufsichtsbehörde gesetzten Frist beantwortet werden. Die Erfahrungen aus der letzten Fragebogenaktion, die nach der Entscheidung des EUGH zu Safe-Harbor gestartet wurde, haben gezeigt, dass die Datenschutzaufsichtsbehörden sich nicht nur darauf beschränken, die Antworten auszuwerten. Unternehmen, die nicht reagierten oder bei denen Missstände aufgedeckt wurden, wurden weitergehenden Kontrollen unterzogen. Es drohen Bußgelder bis zu EUR 300.000,00.
Es empfiehlt sich daher zunächst eine detaillierte Bestandsaufnahme, eine rechtliche Bewertung der Ergebnisse und im Anschluss eine sorgfältige Formulierung der Antworten. Nicht auszuschließen ist, dass die Datenschutzaufsichtsbehörden eine gemeinsame Auswertung der Antworten für bestimmte Produkte durchführen – auch aus diesem Grund empfiehlt sich eine sorgfältige Bearbeitung des Themas.
Die offizielle Pressemitteilung und der Link zum Fragebogen sind unter: https://www.lda.bayern.de/de/international_audit.html abrufbar.
Silvia C. Bauer
|
Dr. Stefanie Hellmich, LL.M. (Madrid)
|