header icetemplate

Kontrolle durch Datenschutzaufsichtsbehörden stehen bevor! - Nutzung ausländischer Webdienste und -anwendungen werden demnächst bzgl. grenzüberschreitender Datenübermittlungen in Drittstaaten geprüft

autoreparatur joern buchheim fotolia comStichprobenartige Prüfaktion der deutschen Datenschutzbehörden

Wie das bayrische Datenschutzzentrum (LDA Bayern) in einer Pressemitteilung gemeldet hat, werden ab Anfang November 2016 in weiten Teilen des Bundesgebietes verstärkt datenschutzrechtliche Kontrollen durch die Datenschutzbehörden durchgeführt. Angeblich sollen davon 500 zufällig selektierte Unternehmen in ganz Deutschland betroffen sein.

Gegenstand der Kontrollen sollen insbesondere Aspekte des Datenschutzes bei grenzüberschreitenden Datentransfers sein, mithin die Frage, ob in den kontrollierten Unternehmen personenbezogene Daten in Länder außerhalb der Europäischen Union übermittelt werden, und ob die Unternehmen die hierfür einzuhaltenden, datenschutzrechtlichen Vorschriften beachten.

Angeblich nehmen die Datenschutzbehörden der Länder Bayern, Berlin, Bremen, Hamburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland und Sachsen-Anhalt an der Aktion teil. Unternehmen in diesen Bundesländern müssen also grundsätzlich mit einer zeitnahen Überprüfung durch die zuständige Behörde rechnen.

Ziel dieser bundesweit koordinierten Aktion soll es nach Angaben der Datenschutzbehörden sein, deutsche Unternehmen nach dem Ende des Safe-Harbor-Abkommens für die Problematik ins Nicht-EU-Ausland übertragener, personenbezogener Daten zu sensibilisieren und auf eine Einhaltung der gesetzlichen Vorgaben, z.B. die des EU-USA Privacy Shields, zu drängen. (Siehe hierzu auch: Pressemitteilung des LDA Bayern) Denn im Nicht-EU-Ausland ist oftmals nicht ohne Weiteres gewährleistet, dass den europäischen Datenschutzstandards genüge getan wird.

Hierfür wird den Unternehmen ein Fragenkatalog zugesandt über den mehrere Informationen abgefragt werden. Insbesondere erfragen die Behörden ob - und wenn ja - in welche Drittstaaten Daten übermittelt werden, in welchem Kontext dies geschieht, und inwiefern hierbei den Anforderungen an den Datenschutz entsprochen wurde. Der versandte Fragenkatalog ist unter folgendem Link einsehbar.

Was sollten Unternehmen nun mindestens tun?

Auch außerhalb der geplanten Aktion kann jedes Unternehmen Gegenstand einer solchen Untersuchung / Inspektion der jeweils örtlich zuständigen Aufsichtsbehörde werden. Als Unternehmen sollten Sie daher in einem ersten Schritt prüfen, ob bei Ihnen personenbezogene Daten ins Nicht-EU-Ausland übertragen werden. In vielen Fällen werden sich die Unternehmen dieses Umstandes gar nicht bewusst sein. Eine eingehende Überprüfung der unternehmensinternen Prozesse durch den Datenschutzbeauftragten ist daher unumgänglich.

In einem zweiten Schritt sollte sodann die rechtliche Zulässigkeit der Datenübertragung juristisch geklärt werden. Diese hängt insbesondere von folgenden Umständen ab:

Gemäß §§4b Abs.2 BDSG ist eine Übermittlung personenbezogener Daten in Drittländer nur dann erlaubt, wenn keine schutzwürdigen Interessen der Betroffenen entgegenstehen. Zulässig ist eine Datenübertragung daher, wenn bei den empfangenden Stellen im Ausland ein angemessenes Datenschutzniveau sichergestellt ist.

Dies ist beispielweise dann der Fall, wenn die Europäische Kommission nach Art.26 Abs.6 EU-DatSchRL verbindlich festgestellt hat, dass das Datenschutzniveau in einem bestimmen Land als „angemessen“ zu betrachten ist. Unproblematisch ist daher meist die Datenübertragung in die Länder Andorra, Argentinien, Kanada, Schweiz, Färöer Inseln, Guernsey, Israel, Isle of Main, Jersey, Neuseeland und Uruguay, für die die EU-Kommission ebendies festgestellt hat.

Sonderfall: Datenübermittlung in die USA

Einen Sonderfall stellt die Datenübertragung in die USA dar. Nachdem der Europäische Gerichtshof mit seiner Entscheidung vom 6. Oktober 2015 (Aktenzeichen: C-362/14) das sogenannte „Safe Harbor“-Abkommen für ungültig erklärt hat, gelten seit 12. Juli 2016 nach Beschluss der EU-Kommission die Regeln des „EU-US Privacy Shield“. Danach ist eine Übertragung personenbezogener Daten in die USA nur zu solchen amerikanischen Unternehmen zulässig, die sich auf der sogenannten „Privacy Shield List“ haben eintragen lassen.

Ob die jeweiligen Unternehmen dort eingetragen sind, ist über eine eigens hierfür von den amerikanischen Behörden eingerichtete Webseite einzusehen (https://www.privacyshield.gov/list). Dabei ist jedoch zu beachten, dass für die Zulässigkeit der Datenübertragung an das jeweilige amerikanische Unternehmen auch von Bedeutung ist, ob es sich um „Personaldaten“, also Daten der Angestellten des deutschen Unternehmens, oder lediglich um sonstige personenbezogene Daten, wie beispielsweise Kundendaten, handelt. An die Übermittlung von Personaldaten sind nämlich höhere, datenschutzrechtliche Anforderungen zu stellen. Die Übertragung von Personaldaten ist damit nur dann zulässig, wenn dies beim jeweiligen amerikanischen Unternehmen in der „Privacy Shield List“ ausdrücklich mit dem Kürzel „HR“ (kurz für: „Human Resources“) verzeichnet ist.

Werden personenbezogene Daten in sonstige Drittstaaten übertragen, kann ein angemessenes Datenschutzniveau und damit die Zulässigkeit der Übertragung auch durch eine Vielzahl anderer Mechanismen sichergestellt werden, beispielsweise durch EU-Standardvertragsklauseln, Binding Corporate Rules oder durch die konkrete Einwilligung der Betroffenen.

Fazit: Keine Panik!

Aufgrund der Vielfältigkeit der denkbaren Konstellationen sollte in jedem Unternehmen eine umfassende Prüfung des Datentransfers in Drittstaaten vorgenommen werden. Dies gilt insbesondere auch für Unternehmen, die von den aktuellen Maßnahmen der Datenschutzbehörden nicht konkret betroffen sind. Denn auch hier ist damit zu rechnen, dass die Behörden in Zukunft die Einhaltung der gesetzlichen Vorgaben aktiver überprüfen werden. Fallen bei der Überprüfung durch die Behörden Verstöße auf, steht es in deren Ermessen, nach §43 Abs.2 BDSG Ordnungsgelder von bis zu dreihunderttausend Euro festzusetzen. Mit Einführung der Datenschutzgrundverordnung ab dem Jahr 2018 werden sich diese Bußgelder noch erhöhen.

Die finanziellen Risiken für Unternehmen sind daher nicht zu vernachlässigen.

Wir raten daher dringend dazu, sich mit der Thematik der grenzüberschreitenden Datentransfers frühzeitig auseinanderzusetzen und bei Handlungsbedarf geeignete Maßnahmen zu treffen.

Falls Sie eine Anfrage einer Datenschutzbehörde der Länder Bayern, Berlin, Bremen, Hamburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland und Sachsen-Anhalt erhalten haben, melden Sie sich einfach bei uns!

Wir vertreten Unternehmen aus dem gesamten Bundesgebiet und aus Luxemburg in datenschutzrechtlichen Fragen und können Ihnen gerne helfen, Ihre IT-gestützten Prozesse datenschutzkonform auszugestalten. Nutzen Sie hierfür einfach unser Kontakformular oder rufen Sie uns unter 0681 94005430 an.

Bidlquelle: autoreparatur joern buchheim fotolia.com

Autor: ref. jur. Maximilian Michels
Rechtsreferendar
Über den Autor:
Max Michels ist seit dem September 2016 Referendar in der IT-Recht Kanzlei DURY Rechtsanwälte und unterstützt das Datenschutzteam im Bereich der rechtlichen Recherche und Vertragsbearbeitung.

Blog-Suche

Ihre Berater:

RA Marcus Dury LL.M.

RAin Sandra Dury - Datenschutzauditorin

RA Michael Pfeiffer

anwalt sidebar mk new small

Newsletter Anmeldung:

captcha 
Ihre E-Mail-Adresse wird nicht an Dritte weitergegeben. Eine Abmeldung ist jederzeit möglich. Weitere Infos finden Sie in unserer Datenschutzerklärung.

*Wichtiger Hinweis:

Alle Leistungen, außer der Bearbeitung von Filesharing-Fällen für Verbraucher i.S.d. § 13 BGB, richten sich ausschließlich an Unternehmer i.S.d. § 14 BGB, nicht an Verbraucher i.S.d. § 13 BGB! Alle Preisangaben außerhalb des Bereichs der Abwehr von urheberrechtlichen Abmahnung wegen Filesharings erfolgen daher als Netto-Preise.

© 2018 DURY Rechtsanwälte