Internationale Datenübermittlung: Aufsichtsbehörden prüfen deutsche Unternehmen

18.11.2016

1abstract-1278060_1280

Datenschutzaufsichtsbehörden von zehn Bundesländern haben ein Prüfverfahren eingeleitet. 500 Unternehmen werden zu internationalen Datentransfers befragt. Ziel ist es, Lücken im Datenschutz - insbesondere im Zusammenhang mit der Datenübermittlung in das Ausland - aufzuspüren. Festgestellte Verstöße gegen geltendes Datenschutzrecht können mit Bußgeldern geahndet werden. Kernproblem ist, dass sich viele Unternehmen ihrer Datenschutzverstöße gar nicht bewusst sind.

Internationaler Datentransfer sind stärker verbreitet, als oft vermutet

Tag für Tag transferieren Unternehmen unzählige Daten - häufig auch in das Ausland. Sobald es sich dabei um sensible Daten handelt, ist unbedingt zu prüfen, ob bei der Datenübermittlung geltende Datenschutzbestimmungen (derzeit nach BDSG, später nach der EU-DSGVO) eingehalten werden. Andernfalls würden Verstöße vorliegen, die zuständige Datenschutzaufsichtsbehörden wiederum mit Bußgeldern ahnden können.

Eines der wesentlichen Probleme besteht darin, dass den Verantwortlichen häufig nicht bewusst ist, wie und wo sie sensible Daten übertragen. Gerade der internationale Datentransfer ereignet sich häufiger, als gerne vermutet wird. Insbesondere im Segment outgesourcter Dienstleistungen hat er zuletzt zugenommen. So werden z.B. immer häufiger Bewerber- und Mitarbeiterdaten an Recruiting-Dienstleister aus dem Ausland übermittelt. Ähnlich sieht es im CRM Umfeld aus, wo z.B. Kundendaten an Callcenter transferiert werden.

Bei den genannten Beispielen ist der Datentransfer noch relativ offensichtlich. Manchmal kann die Datenübermittlung aber auch unbewusst erfolgen, insbesondere im IT-Umfeld. Dort befinden sich vor allem Cloud-Lösungen auf dem Vormarsch. Gute Beispiele sind externe Datenspeicher, wie Dropbox oder One Drive. Mitunter werden sensible Daten auf Servern im Ausland (womöglich sogar in Drittländern) abgelegt, ohne dass sich jemand im Unternehmen darüber im Klaren ist. Ebenso verhält es sich mit dem Einsatz anderer Cloudlösungen, wie z.B. Office 365 oder Salesforce.

Kurzum: In zahlreichen Unternehmen besteht eine relativ hohe Wahrscheinlichkeit, dass Verstöße gegen geltende Datenschutzbestimmungen - wenn auch unbewusst - begangen werden.

Behörden haben Prüfaktion eingeleitet

Die Datenschutzaufsichtsbehörden der einzelnen Bundesländer sind sich dieser Problematik bewusst. Damit sie sich ein besseres Bild von der gegenwärtigen Situation machen können, wurde kürzlich eine länderübergreifende Prüfaktion eingeleitet.

Datenschutzaufsichtsbehörden von insgesamt zehn Bundesländern haben sich zusammengeschlossen, um im Rahmen der Prüfaktion 500 deutsche Unternehmen unter die Lupe zu nehmen. Unternehmen der folgenden Bundesländer müssen damit rechnen, demnächst befragt zu werden: Bayern, Berlin, Bremen, Hamburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland und Sachsen-Anhalt.

Wir möchten anmerken, dass die Datenschutzaufsichtsbehörden keine Einschränkungen hinsichtlich bestimmter Branchen oder Untenrehmensgrößen getroffen haben. Dies ist eine bewusste Entscheidung, um einen möglichst guten Gesamtüberblick schaffen zu können.

So erfolgt die Überprüfung

Wer nun befürchtet, dass schon bald Datenschützer vor der Türe stehen und Einblick in Unternehmensprozesse nehmen möchten, kann aufatmen. Der Ablauf der Prüfaktion erfolgt nämlich per Fragebogen. Unternehmen erhalten den Fragebogen auf dem Postweg zugesendet, einschließlich einem weiteren Bogen, auf dem die Fragen und Hintergründe näher erläutert werden. Folgenden fünf Fragen müssen sich die ausgewählten Unternehmen stellen.

  • Werden Daten mit Personenbezug in die USA oder andere Drittländer (also keine EU-Mitgliedsstaaten) übermittelt?
  • Welche Datenkategorien sind hierbei betroffen (Kundendaten, Mitarbeiterdaten, sonstige)?
  • An welche konkreten Unternehmen werden die Daten übermittelt?
  • Welche Maßnahmen wurden getroffen, um ein angemessenes Datenschutzniveau zu gewährleisten?
  • Wurde ein Datenschutzbeauftragter bestellt?

Wie sich Unternehmen absichern

Für Unternehmen ist es wichtig, dass sie bei internationalen Datentransfers die Einstufung der Zielländer berücksichtigen. Vorsicht ist bei Drittländern angebracht, d.h. die keine EU-Mitgliedsstaaten sind. Einige davon haben aufgrund ihrer eigenen Datenschutzbestimmungen ein Datenschutzniveau geschaffen, das von der EU als sicher eingestuft wird. Hierzu diesen Ländern zählen derzeit: Andorra, Argentinien, Australien, Faröer-Inseln, Guernsey, Isle of Man, Israel, Jersey, Kanada, Neuseeland, Schweiz und Uruguay.

Sollten andere Länder beim internationalen Datentransfer involviert sein, gilt es ein angemessenes Datenschutzniveau herzustellen. Dies ist z.B. auf Basis von EU-Standardvertragsklauseln oder dem Privacy-Shield Abkommen (nur USA) möglich. Darauf basierend könnte die Datenübermittlung datenschutzkonform erfolgen.

Unabhängig von internationalen Datentransfers und der Prüfaktion sollten Unternehmen außerdem das Thema Auftragsdatenverarbeitung berücksichtigen. Hierbei ist es zwingend erforderlich, einen datenschutzkonformen Rahmen zu schaffen, indem u.a. ein entsprechender Vertrag geschlossen wird.

Tipp: Mit einem externen Datenschutzbeauftragten stets abgesichert sein

Keine Frage, das Thema Datenschutz hat in den vergangenen Jahren stark an Komplexität gewonnen. Immer mehr Unternehmen tun sich schwer damit, die aktuellen Datenschutzbestimmungen (derzeit nach BDSG, später nach der EU-DSGVO) im Blick zu behalten. Schnell können Kleinigkeiten im Datenschutzrecht übersehen werden, die das Datenschutzniveau gefährden.

Eine sichere Lösung besteht darin, einen externen Datenschutzbeauftragten zu bestellen. Als spezialisierter Dienstleister kümmert er sich um die Einführung oder Überprüfung eines Datenschutzkonzepts sowie dessen spätere Überwachung.

Bei Fragen zur internationalen Datenübermittlung, zum Datenschutzrecht sowie der Bestellung eines externen Datenschutzbeauftragten stehen wir Ihnen gerne zur Verfügung. Wir sind sowohl telefonisch unter 0800 5600831 (gebührenfrei) als auch über unser Kontaktformular zu erreichen.