Datenschutzaufsichtsbehörden prüfen grenzüberschreitende Datenübermittlungen von ca. 500 Unternehmen

Die deutschen Datenschutzaufsichtsbehörden werden in den nächsten Tagen in einer koordinierten schriftlichen Prüfungsaktion insgesamt rund 500 Unternehmen anschreiben und verbindlich zur Beantwortung eines Fragebogens auffordern.

Beteiligt an der Prüfungsaktion zur Übermittlung personenbezogener Daten in das Nicht-EU-Ausland sind die Datenschutzaufsichtsbehörden der Länder Bayern, Berlin, Bremen, Hamburg, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland und Sachsen-Anhalt. Die von der Prüfungsaktion betroffenen Unternehmen werden nach dem Zufallsprinzip ausgewählt. Die Aufsichtsbehörden haben klargestellt, dass sie Unternehmen unterschiedlicher Größenordnungen und verschiedener Branchen in die Prüfung einbeziehen werden.

Ein wichtiges Ziel der Prüfung liegt in der Sensibilisierung der Unternehmen für Datenübermittlungen in Länder außerhalb der Europäischen Union. Unsere wie auch die Erfahrung der Aufsichtsbehörden zeigt, dass sich Unternehmen nicht immer bewusst sind, dass sie überhaupt Daten in Drittstaaten, wie beispielsweise die USA, übermitteln. In den letzten Jahren haben grenzüberschreitende Übermittlungen von personenbezogenen Daten in der Privatwirtschaft massiv zugenommen. Zu den Ursachen dieser Entwicklung zählen neben der wirtschaftlichen Globalisierung vor allem die stetige Ausbreitung von Dienstleistungen und Produkten des sog. Cloud-Computing. Selbst kleinere und mittlere deutsche Unternehmen verarbeiten regelmäßig personenbezogene Daten (z.B. von Kunden, Mitarbeitern oder Bewerbern) auf Servern externer Dienstleister. Dies ist vor allem bei „Software as a Service” der Fall. Ein klassisches Beispiel hierfür sind Office-Anwendungen (z.B. MS Office 365), die standortunabhängig über das Internet in Anspruch genommen werden können. Viele dieser Cloud - Dienste werden von US-Unternehmen angeboten. Die Übermittlung personenbezogener Daten in die USA und/oder in andere Drittstaaten ist daher in der Regel erforderlich, um die Dienste in Anspruch nehmen zu können. Die Zulässigkeit einer Datenübermittlung in ein Land außerhalb der EU bzw. des EWR muss jedoch immer vor Übermittlung geprüft werden.

In dem Fragebogen wird zum Beispiel danach gefragt, ob

  • Datenübermittlungen an Konzernunternehmen mit Sitz außerhalb der EU/EWR stattfinden,
  • Fernwartung, Support, Ticketing-Bearbeitung durch Dritte außerhalb der EU/EWR durchgeführt wird bzw,
  • Cloud & Hosting - Lösungen (z.B. Office 365, virtueller Speicherplatz, SaaS-Tools z.B. bezogen auf CRM- oder Reisemanagement) in Anspruch genommen werden.

Die Unternehmen werden aufgefordert, die entsprechenden von ihnen genutzten Dienstleistungen und Produkte konkret zu nennen. Sofern personenbezogene Daten in Nicht-EU-/-EWR- Staaten übermittelt werden, müssen die kontrollierten Unternehmen angeben, auf welcher datenschutzrechtlichen Grundlage die Übermittlungen erfolgen. Mitgeteilt werden muss z.B., ob für das Zielland durch Beschluss der Europäischen Kommission ein angemessenes Datenschutzniveau anerkannt ist (dazu zählt auch der sog. EU-U.S. Privacy Shield), ob Standardvertragsklauseln als Grundlage verwendet werden, ob die Übermittlungen auf Einwilligungen der Betroffenen gestützt werden, etc.

Wir empfehlen, die Beantwortung des Fragebogens sehr ernst zu nehmen. Bei der Datenübermittlung zwischen Unternehmen, insbesondere in Länder außerhalb der EU, handelt es sich um ein äußerst komplexes Thema. Wir möchten hervorheben, dass z.B. eine Datenübermittlung zwischen Konzernunternehmen nicht privilegiert ist, sondern vielmehr wie die Übermittlung von Daten zwischen Dritten zu behandeln ist. Zudem sei daran erinnert, dass eine Datenübermittlung auf Basis von „Safe Harbour“ nicht mehr geeignet ist, ein angemessenes Datenschutzniveau sicherzustellen.

Gerne unterstützen wir Sie beim Ausfüllen des Fragebogens, wenn Sie zu den betroffenen Unternehmen gehören sollten. Sofern Sie nicht zu den von der Prüfaktion betroffenen Unternehmen zählen, empfehlen wir dennoch dringend, diese Prüfaktion zum Anlass zu nehmen, Ihre Datenübermittlungen rechtskonform zu gestalten. Eine rechtswidrige Datenübermittlung kann aktuell (BDSG) mit einem Bußgeld von bis zu €300.000 sanktioniert werden. Ab Mai 2018 (DSGVO) sind Geldbußen in Höhe von bis zu €20 Millionen oder 4% des weltweiten Jahresumsatzes eines Unternehmens möglich.

Bei Fragen wenden Sie sich bitte jederzeit an unsere Ansprechpartner Christopher Götz oder Sascha Kuhn.

Dieses Dokument und alle Informationen, die über die Links in diesem Dokument aufgerufen werden können, enthalten lediglich allgemeine Informationen und ersetzten keine juristische Beratung im Einzelfall. Wir empfehlen Ihnen, sich professioneller juristischer Beratung zu bedienen, bevor Sie aufgrund der Inhalte dieses Dokumentes Entscheidungen treffen oder von solchen absehen.