Internationale Datenübermittlung: Prüfung durch Aufsichtsbehörden

08.06.2021

Häufiger denn je übermitteln Unternehmen personenbezogene Daten in das Ausland. Die Aufsichtsbehörden mehrerer Bundesländer nehmen diese Entwicklung als Anlass für eine umfassende Prüfung. Unternehmen sollten sich daher nicht wundern, wenn sie demnächst Post erhalten und zu internationalen Datentransfers befragt werden.

Länder starten gemeinsame Aktion

Mehrere Länder führen die Aktion gemeinsam durch. Dies geschieht durch die zuständigen Aufsichtsbehörden folgender Länder: Baden-Württemberg, Bayern, Berlin, Brandenburg, Bremen, Hamburg, Niedersachsen, Rheinland-Pfalz und Saarland.

Laut Mitteilung einzelner Behörden möchten sich die Datenschützer der Länder einen tieferen Einblick in die internationalen Datentransfers verschaffen. Sie möchten verstehen, was in der Praxis geschieht und welche Transfers besonders häufig stattfinden.

Von Bedeutung dürfte in diesem Zusammenhang vor allem die Übermittlung personenbezogener Daten in Drittländer sein. Hierbei ist es entscheidend, dass Exporteure geeignete Maßnahmen treffen, die ein angemessenes Datenschutzniveau zu gewährleisten.

Es stehen keineswegs nur Konzerne im Fokus, die Befragungen richten sich an Unternehmen jeder Größe. Dies überrascht nicht, denn wie angedeutet, werden häufiger als je zuvor Daten mit Personenbezug in das Ausland übermittelt. Grund hierfür ist nicht zuletzt das Internet und die damit einergehende Nutzung unterschiedlichster Dienste, wie z.B. Cloud-Services (die oft von im Ausland ansässigen Unternehmen betrieben werden).

Diese Themen stehen im Fokus

Die Aufsichtsbehörden der teilnehmenden Länder verschicken allesamt dieselben Fragebögen, die in Summe folgende Bereiche abdecken: Bewerberportale, konzerninterner Datenverkehr, Mailhoster, Tracking und Webhoster.

Diese Themenschwerpunkte unterstreichend den Einfluss von IT-Services auf die internationale Datenübermittlung. Zugleich sind dies Bereiche, in denen erhebliche Fallstricke lauern. Die folgenden zwei Beispiele verdeutlichen, welche Risiken bestehen und wie leicht diese zu übersehen sind.

Unbewusste Datentransfers: Nie zuvor war es so leicht, Daten in das Ausland zu übermitteln. Die heutige IT-Landschaft (insbesondere die bequeme und zugleich etablierte Nutzung von Cloud-Diensten) hält Lösungen bereit, die Geschäftsprozesse wirksam optimieren und zugleich spielend leicht zu nutzen sind. Doch leider sind sich viele Webentwickler und deren Auftraggeber/Manager nicht über die datenschutzrechtlichen Auswirkungen und Zusammenhänge im Klaren.

Kein angemessenes Datenschutzniveau: Auch wenn viele Cloud-Dienste in deutscher Sprache zur Verfügung stehen, muss sich die zugehörige Server-Infrastruktur nicht im EU-Raum befinden. Gerade in diesem Umfeld gelten viele US-Unternehmen als führend, was Datenübertragungen in die USA zur Folge haben kann. Dort geltendes Recht gewährleistet jedoch kein angemessenes Datenschutzniveau.

Prüfungen gehen in die Tiefe

Bislang ist nicht klar, wie viele Unternehmen von der Prüfung betroffen sind. Fakt ist, dass es jeden treffen kann und je nach Umfang der eigenen Transfers womöglich alle fünf Fragebögen vollständig zu beantworten sind.

Die Fragebögen der Aufsichtsbehörden sind jeweils mehrere Seiten stark gehen in die Tiefe. Die Behörden möchten im Detail wissen, welche Datentransfers erfolgen und wie sich die Exporteure absichern. Entsprechend ist es notwendig, sich mit den Dokumenten intensiv zu befassen und ausreichend Zeit für das Ausfüllen zu nehmen.