Datenschutz-Sonderprüfung

Grenzüberschreitender Datenverkehr unter der Lupe

14.11.2016
Von    und Silvia C. Bauer
Christian Kuss ist Rechtsanwalt der Luther Rechtsanwaltsgesellschaft mbH in Köln. Sein Tätigkeitsschwerpunkt liegt auf IT- und Datenschutzrecht.
Zahlreiche Unternehmen dürfen in Kürze Briefpost von den Datenschutzaufsichtsbehörden erwarten. Wir sagen Ihnen, was da auf Sie zukommt.

Rund 500 deutsche Unternehmen müssen damit rechnen, innerhalb der nächsten Wochen Post von den deutschen Datenschutzbehörden zu erhalten. Der Grund: Die Datenschutzaufsichtsbehörden haben einen ausführlichen Fragebogen zum grenzüberschreitenden Datentransfer erstellt und fordern Unternehmen nun auf, diesen zu beantworten. Sie müssen dadurch offenlegen, ob sie die datenschutzrechtlichen Anforderungen an einen sogenannten Drittlandtransfer erfüllen - also die Übermittlung personenbezogener Daten in Staaten, deren Datenschutzniveau nicht dem europäischen Standard entspricht.

Hintergrund der Datenschutz-Sonderprüfung

In den letzten Jahren hat der globale Datentransfer durch die fortschreitende Globalisierung und die Nutzung von Cloud-Services massiv zugenommen. Software-as-a-Service-Dienste aus der Cloud, wie zum Beispiel Office-Anwendungen, ERP und CRM-Systeme, werden heute erheblich mehr genutzt als in der Vergangenheit. Diese Dienste werden überwiegend von Providern mit Sitz in den USA angeboten, so dass personenbezogene Daten aus der Europäischen Union in die USA oder auch in andere Staaten übermittelt werden.

Häufig schafft das Rechtsystem in diesen Ländern kein den europäischen Standards entsprechendes, angemessenes Datenschutzniveau. Dies gilt zum Beispiel auch für die USA. Deshalb ist der Datentransfer in diese Länder nicht ohne weiteres zulässig. Die Datenschutzaufsichtsbehörden haben in der Vergangenheit die Erfahrung gemacht, dass Unternehmen der Privatwirtschaft sich häufig nicht bewusst sind, welche datenschutzrechtlichen Anforderungen zu erfüllen sind, bevor Daten in Drittstaaten außerhalb der Europäischen Union und des Europäischen Wirtschaftsraums übermittelt werden dürfen. In der Praxis verstößt deshalb eine Vielzahl von Unternehmen gegen die datenschutzrechtlichen Anforderungen.

Rechtlicher Hintergrund: Safe Harbor & Privacy Shield

Unternehmen, die personenbezogene Daten in Staaten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums übermitteln, müssen sicherstellen, dass der Empfänger der personenbezogenen Daten ein den europäischen Standards entsprechendes Datenschutzniveau einhält. Die Europäische Kommission hat bei einer Reihe von Staaten, wie zum Beispiel der Schweiz, Kanada oder Argentinien, das durch das nationale Rechtssystem gewährleistete Datenschutzniveau durch Beschluss ausdrücklich als angemessen anerkannt.

Unternehmen, die personenbezogene Daten in die USA übermitteln, müssen für ein angemessenes Datenschutzniveau sorgen.
Unternehmen, die personenbezogene Daten in die USA übermitteln, müssen für ein angemessenes Datenschutzniveau sorgen.
Foto: Sehenswerk - shutterstock.com

Andere Staaten, wie die USA oder Indien weisen indes kein angemessenes Datenschutzniveau auf. In der Folge muss die Datenübermittlung in diese Länder auf andere Weise legitimiert werden. Für Datenübermittlungen in die USA steht zurzeit das sogenannte EU-US Privacy Shield zur Verfügung, unter dem sich das empfangende Unternehmen in den USA selbst zertifizieren lassen kann. Das Privacy Shield, das das im letzten Oktober vom EUGH für ungültig erklärte Safe-Harbor-Abkommen abgelöst hat, erkennen die Aufsichtsbehörden als Rechtsgrundlage der Fragebogenaktion an. Der Datentransfer in andere Drittstaaten kann zum Beispiel dadurch legitimiert werden, dass mit dem Empfänger die sogenannten Standardvertragsklauseln der EU-Kommission abgeschlossen werden.

So sieht der Datenschutz-Fragebogen für Unternehmen aus

Der dreiseitige Fragebogen umfasst ganz konkret Fragen nach Übermittlungen von Daten in die USA sowie in sonstige Drittstaaten und fragt darüber hinaus auch die Rechtsgrundlagen für diese Übermittlungen ab. Dabei spielt im Detail auch eine Rolle für welche Zwecke die Übermittlung erfolgt: Konzerninterner Datentransfer, Fernwartung, Wartung, Reisemanagement, Vertrieb und Marketing, oder Personalwesen.

Zusätzlich werden Fragen unter anderem nach Kommunikationsdiensten, Cloud-Office-Lösungen, Kollaborationsplattformen, Ticketsystemen oder sonstigen Systemen gestellt, bei deren Einsatz Daten in Drittstaaten übermittelt werden. Zu guter Letzt müssen die Unternehmen ausführen, ob ihr betrieblicher Datenschutzbeauftragter in die Prüfung der Rechtmäßigkeit der Übermittlung einbezogen wurde und müssen - falls das nicht geschehen ist - begründen, warum nicht.

Datenschutzrecht: Hilfestellung bei der Umsetzung

Laut der Pressemeldung der Datenschutzaufsichtsbehörden soll die Prüfung eine Hilfestellung für Unternehmen darstellen, um eventuelle Lücken in der Umsetzung des geltenden Datenschutzrechts zu identifizieren und zu schließen. Die Unternehmen werden rein zufällig ausgewählt, wobei Unternehmen unterschiedlicher Größenordnung und verschiedener Branchen umfasst sind. Angeschrieben werden Unternehmen mit Sitz in Bayern, Berlin, Bremen, Hamburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, dem Saarland und Sachsen-Anhalt.

Sofern ein Unternehmen den Fragebogen erhält, sollte dieser innerhalb der von der Aufsichtsbehörde gesetzten Frist beantwortet werden. Die Erfahrungen aus der letzten Fragebogenaktion, die nach der Entscheidung des EUGH zu Safe Harbor gestartet wurde, haben gezeigt, dass die Datenschutzaufsichtsbehörden sich nicht nur darauf beschränken, die Antworten auszuwerten. Unternehmen, die nicht reagierten oder bei denen Missstände aufgedeckt wurden, wurden weitergehenden Kontrollen unterzogen. Es drohen Bußgelder in Höhe von bis zu 300.000 Euro. (fm)