03.11.2016 - Datenschutzaufsichtsbehörden prüfen grenzüberschreitende Datenübermittlungen

 

In einer koordinierten schriftlichen Prüfaktion nehmen zehn deutsche Datenschutzaufsichtsbehörden Übermittlungen personenbezogener Daten in das Nicht-EU-Ausland genauer unter die Lupe. Angeschrieben werden bundesweit rund 500 Unternehmen unterschiedlicher Größe und verschiedener Branchen. Die Prüfung soll die Unternehmen auch für den Datenschutz sensibilisieren.

 

Fehlendes Problembewusstsein
Die grenzüberschreitende Übermittlung von personenbezogenen Daten in der Privatwirtschaft nimmt zu. Die wirtschaftliche Globalisierung und das sogenannte „Cloud Computing“ beschleunigen die weltweiten Datenströme. Betroffen sind Daten von Kunden, Mitarbeitern oder Bewerbern. Selbst kleinere und mittlere Unternehmen in Deutschland verarbeiten inzwischen zahlreiche personenbezogene Daten auf Servern externer Dienstleister. Beispiel hierfür sind Office-Anwendungen „aus dem Internet“, die standortunabhängig und flexibel genutzt werden können. Viele dieser Dienste stammen von US-Unternehmen und setzen deshalb meist die Übermittlung personenbezogener Daten in Nicht-EU-Staaten voraus. Das ist vielen Unternehmen nicht immer bewusst.

 

Datenschutz bei grenzüberschreitender Datenübermittlung
Unternehmen müssen wissen, ob und gegebenenfalls in welchem Rahmen sie personenbezogene Daten in Nicht-EU-Staaten übermitteln. Eine Datenübermittlung in Länder außerhalb Europas ist nur zulässig, wenn die Daten dort angemessen geschützt sind. Sofern Unternehmen personenbezogene Daten in Nicht-EU-Staaten übermitteln, ist anzugeben, auf welcher datenschutzrechtlichen Grundlage die Übermittlungen erfolgen. Mitzuteilen ist beispielsweise,

  • ob für das Zielland durch Beschluss der Europäischen Kommission ein an-gemessenes Datenschutzniveau anerkannt ist (dazu zählt auch der sogenannte EU-US Privacy Shield),
  • ob Standardvertragsklauseln als Grundlage verwendet werden, oder
  • ob die Übermittlungen auf Einwilligungen der Betroffenen gestützt werden.

 

Bestimmte Produkte und Leistungen besonders betroffen
Nach den bisherigen Erfahrungen der Aufsichtsbehörden ist mit bestimmten Produkten und Leistungen regelmäßig eine Übermittlung personenbezogener Daten in Nicht-EU-Staaten verbunden. Relevant sind beispielswiese Fernwartung, Support, Ticketing-Bearbeitung, aber auch Customer Relationship Management oder Bewerbermanagement. Um Unternehmen das Auffinden solcher Übermittlungen zu erleichtern, wird im Rahmen der Prüfaktion gezielt nach dessen Einsatz gefragt. Die Unternehmen werden dann aufgefordert, die entsprechenden von ihnen genutzten Dienstleistungen und Produkte konkret zu benennen.

 

Bundesweit koordinierte Prüfung
Bei der schriftlichen Prüfaktion werden rund 500 Unternehmen angeschrieben. Die Aufsichtsbehörden haben dabei Wert darauf gelegt, Unternehmen unterschiedlicher Größe und verschiedener Branchen einzubeziehen. Für die Auswahl der Unternehmen im Einzelnen galt das Zufallsprinzip. An der Prüfaktion beteiligen sich zehn deutsche Datenschutzaufsichtsbehörden: Bayern, Berlin, Bremen, Hamburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland und Sachsen-Anhalt.

 

Helga Block, Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen „Der Datenschutzstandard in Deutschland und Europa ist hoch. Die Bürgerinnen und Bürger achten zunehmend darauf, welche Unternehmen diesen Standard einhalten. Unternehmen sind sich jedoch oftmals nicht bewusst, dass die personenbezogenen Daten ihrer Angestellten, Kunden und Bewerber in die ganze Welt geschickt werden. Mit der Prüfaktion werden wir die Unternehmen sensibilisieren, beraten und wenn nötig den Datenschutz durchsetzen.“

 

Ausführliche Informationen zum internationalen Datenverkehr sind auf der Internetseite der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen abrufbar.

 

 

 

zurück zur Übersicht