Datenverkehr ins EU-Ausland: Aufsichtsbehörden verschicken Fragebögen

Datenverkehr ins EU-Ausland: Aufsichtsbehörden verschicken Fragebögen

Die Landesbeauftragten für Datenschutz und Informationsfreiheit haben begonnen, Fragebögen an circa 500 deutsche Unternehmen zu versenden. Ziel der koordinierten Aktion: Nach der Ungültigkeit von Safe Harbor und der Verabschiedung des „EU-US Privacy Shield“ wollen die Aufsichtsbehörden erneut die Rechtskonformität von Datenübermittlungen an Empfänger außerhalb der Europäischen Union überprüfen.

Verbindlicher Fragebogen für Unternehmen: Der Umgang mit personenbezogenen Daten auf dem Prüfstand

Den Verantwortlichen in Unternehmen sei nicht immer klar, wann und wie sie personenbezogene Daten in Länder außerhalb der EU (sogenannte Drittstaaten) versenden. So heißt es in einer Pressemitteilung des Landesbeauftragten für Datenschutz und Informationsfreiheit (LfD) Mecklenburg-Vorpommern.

Daher wollen diverse Aufsichtsbehörden nun in einer konzertierten Aktion den Istzustand in ausgewählten mittelständischen Unternehmen und Großkonzernen abfragen. Gleichzeitig sollen Firmen mit den Fragebögen über den ’neuen‘ Datenschutz informiert werden. Aufsichtsbehörden folgender Bundesländer beteiligen sich an der Prüfungsaktion:

  • Bayern
  • Berlin
  • Bremen
  • Hamburg
  • Mecklenburg-Vorpommern
  • Niedersachsen
  • Nordrhein-Westfalen
  • Rheinland-Pfalz
  • Saarland
  • Sachsen-Anhalt

Reinhard Dankert, LfD in Mecklenburg-Vorpommern, erläutert zu der Aktion:

„Ich gehe davon aus, dass die angeschriebenen Unternehmen die Prüfaktion auch als Chance verstehen, datenschutzrelevante Prozesse im Unternehmen weiter zu verbessern, um rechtlichen Anforderungen zu genügen.“

Dazu ergänzt Dankert:

„Mit der Teilnahme an dieser koordinierten Prüfung möchte ich dazu beitragen, dass auch die Unternehmen in Mecklenburg-Vorpommern fit sind für den Schutz personenbezogener Daten – insbesondere mit Blick auf die Europäische Datenschutz-Grundverordnung.“

Den aktualisierten Text der DSGVO lesen Sie auf EUDATAREG.

Feststellung des Status quo: Drittlandtransfers im Unternehmensalltag

Die Übermittlung personenbezogener Daten in Drittländer ist insbesondere seit der Ungültig-Erklärung des Safe-Harbor durch den EuGH im Oktober 2015 ins Fadenkreuz der Datenschutzaufsichtsbehörden geraten. In der Tat ist im Rahmen der Beratungspraxis festzustellen, dass Unternehmen oftmals das entsprechende Bewusstsein und/oder der entsprechende Überblick fehlen.

So gehören Cloudspeicher und andere Datendienste mittlerweile zum Alltag in den meisten Unternehmen. Doch die Anbieter der Services agieren oft in Ländern außerhalb der EU wie zum Beispiel in den USA: Werden also Kunden-, Mitarbeiter- oder Bewerberdaten auf ausländischen Servern gespeichert, muss im Vorfeld geprüft werden, ob die Informationen auch angemessen geschützt sind – betont auch der LfD von Mecklenburg-Vorpommern. In diesem Zusammenhang sind bereits diverse Office-Anwendungen relevant, die in der Cloud arbeiten. Ferner werden Geschäftsprozesse innerhalb von Konzernen zunehmend zentralisiert, sodass dann zahlreiche Mitarbeiterdaten an eine Konzerngesellschaft in einem Drittland übermittelt werden.

Wichtige Fragen in dem Prüfbogen der Behörden sind daher:

  • Nutzen Sie Produkte oder Leistungen, die personenbezogene Daten in Drittländer übermitteln?
  • Versenden Sie überhaupt personenbezogene Daten?
  • Welche datenschutzrechtlichen Grundlagen gibt es in Ihrem Unternehmen?

Angeschriebene Unternehmen sollten den Fragebogen nicht ignorieren: Gemäß § 38 Abs. 3 BDSG besteht eine Verpflichtung, der Aufsichtsbehörde die Fragen unverzüglich zu beantworten. Weitere aufsichtsbehördliche Maßnahmen – bis hin zu Zwangs- und Bußgeldern – sind möglich. Falls Sie ein entsprechendes Schreiben der Aufsichtsbehörden erhalten haben sollten und hierzu Fragen haben, kontaktieren Sie uns gerne.

Vorbereitung auf die DSGVO: Wie wir Sie unterstützen können

Die datenschutzkonforme Absicherung von Drittland-Transfers bildet auch einen wichtigen Pfeiler der Vorbereitung auf die Datenschutz-Grundverordnung (DSGVO). Unternehmen sollten daher bereits jetzt (auch wenn sie in den nächsten Tagen keinen entsprechenden Fragebogen erhalten sollten) prüfen, ob und auf welcher Grundlage (Standardvertragsklauseln, Binding Corporate Rules, Whitelist usw.) sie personenbezogene Informationen an Empfänger außerhalb der EU (sogenannte Drittstaaten) übermitteln.

Für den Fall, dass Datenübermittlungen in die USA immer noch auf Grundlage einer (mittlerweile unwirksamen) Safe Harbor-Mitgliedschaft des jeweiligen Datenempfängers vorgenommen werden sollten, besteht bereits jetzt akuter Handlungsbedarf!

Wenn Sie mehr dazu wissen wollen, welche Schritte Sie sonst noch zur Umstellung auf die DSGVO ergreifen sollten, lesen Sie auch unseren Beitrag: Fit für den EU-Datenschutz: So meistern Sie die Umstellung auf die Datenschutz-Grundverordnung.

Bitte wenden Sie sich bei Fragen jederzeit gerne an einen unserer Experten.

Tobias Rothkegel
Geposted von Tobias Rothkegel

Tobias Rothkegel ist Rechtsanwalt in unserem Büro in Hamburg. Der Schwerpunkt seiner Tätigkeit liegt im IT- und Datenschutzrecht. Hierbei berät er sowohl führende Unternehmen als auch Start-ups im Digital-Business-Sektor.

Kommentieren

Pflichtfelder sind markiert*