24
Nov
2016

Datenschutz und IT-Recht

Datentransfer in Drittstaaten – konzertierte Prüfaktion der Aufsichtsbehörden

Dr. Frank Bongers

Zehn deutsche Datenschutzaufsichtsbehörden beginnen in diesen Wochen eine konzertierte Prüfaktion von Unternehmen. Gegenstand der Prüfung ist der Transfer personenbezogener Daten in Staaten, die nicht Mitglieder der Europäischen Union oder des Europäischen Wirtschaftsraums sind. Nach dem Zufallsprinzip ausgewählte Unternehmen werden aufgefordert, dazu einen ausführlichen Fragebogen auszufüllen.

Dies hat u. a. der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit in einer Presseerklärung vom 03.11.2016 bekannt gegeben.

Wer prüft wen?

Die Aufsichtsbehörden folgender Bundesländer nehmen an der Prüfungsaktion teil: Bayern, Berlin, Bremen, Hamburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland und Sachsen-Anhalt.

Im Rahmen der Prüfung werden Unternehmen angeschrieben, die nach dem Zufallsprinzip ausgewählt wurden. Dabei wurde nach Angaben der Aufsichtsbehörden Wert darauf gelegt, Unternehmen unterschiedlicher Größenordnungen und verschiedener Branchen einzubeziehen.

Was wird wie geprüft?

Gegenstand der Prüfung sind die Übermittlung personenbezogener Daten in sogenannte Drittstaaten. Dabei handelt es sich um Staaten, die weder Mitglieder der Europäischen Union noch Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum sind.

Bei der Übermittlung personenbezogener Daten in Drittstaaten sind nicht nur die gleichen rechtlichen Anforderungen zu beachten wie bei Datenübermittlungen zwischen zwei Stellen innerhalb der Bundesrepublik. Es muss zusätzlich jeweils auf einer zweiten Stufe geprüft werden, ob sichergestellt ist, dass die Daten beim Empfänger entsprechend dem europäischen Datenschutzniveau verarbeitet werden. Da die lokale Rechtsordnung in Drittstaaten in der Regel kein nach europäischen Maßstäben angemessenes Datenschutzniveau gewährleisten, muss dies auf andere Weise sichergestellt werden. Anderenfalls ist die Übermittlung rechtswidrig. Die Sicherstellung eines angemessenen Datenschutzniveaus kann häufig insbesondere durch den Abschluss von Datenschutzverträgen gewährleistet werden. Hierfür stehen von der EU-Kommission veröffentlichte Muster, die sogenannten EU-Standard-Verträge, zur Verfügung.

Die Aufsichtsbehörden werden zur Ermittlung der Sachverhalte Fragebögen versenden. Ein Muster dieses Fragebogens findet sich auf den Internetseiten des Bayerischen Landesamts für Datenschutzaufsicht. Neben der Art der übermittelten Daten wird die Frage nach den rechtlichen Grundlagen der Datenübermittlung zu beantworten sein. Gegenstand der Befragung werden zudem folgende Sachverhalte und deren etwaiger Drittlandbezug sein, wie

  • Datenübermittlungen im Konzern
  • Fernwartungen
  • technischer Support
  • Dienste und Leistungen des Reisemanagements
  • Customer Relationship Management/Marketing
  • Personalrecruiting/Bewerber- bzw. Kandidatenmanagement/Skill-Datenbanken
  • Cloud-Speicherlösungen
  • Kommunikationsdienste
  • Cloud-Office-Lösungen
  • Kollaborationsplattformen
  • Ticketing- oder Supportsysteme
  • Qualitätsmanagement, Risikomanagement bzw. Compliance-Produkte

Außerdem wird nach dem betrieblichen Datenschutzbeauftragten gefragt.

Fazit

Die koordinierte Prüfungsaktion der Aufsichtsbehörden zeigt, dass eine sorgfältige Gestaltung internationaler Datentransfers – u. a. zur Vermeidung von Bußgeldern – notwendig und dringend zu empfehlen ist. Dies gilt auch für Stellen, die nicht aktuell von den Aufsichtsbehörden kontaktiert werden.

Weiterführende Links:

» zur Übersicht