In einer koordinierten schriftlichen Prüfaktion nehmen in den nächsten Wochen 10 deutsche Datenschutzaufsichtsbehörden Übermittlungen personenbezogener Daten in das Nicht-EU-Ausland unter die Lupe. Betroffen hiervon sind 500 Unternehmen, die per Zufallsprinzip von den Datenschutzaufsichtsbehörden ausgewählt werden. Hierbei legen die Datenschutzaufsichtsbehörden Wert darauf, Unternehmen unterschiedlicher Größenordnungen und verschiedener Branchen in die Prüfaktion einzubeziehen.

An der Prüfaktion beteiligen sich 10 deutsche Datenschutzaufsichtsbehörden und zwar in den Ländern Bayern, Berlin, Bremen, Hamburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland und Sachsen-Anhalt.

Hintergrund der Prüfaktion der Datenschutzaufsichtsbehörden

Nach Angaben der beteiligten Datenschutzaufsichtsbehörden liegt ein wichtiges Ziel der Prüfung in der Sensibilisierung der Unternehmen für Datenübermittlungen in Länder außerhalb der Europäischen Union. Um Unternehmen das Auffinden solcher Übermittlungen zu erleichtern, wird auch gezielt nach dem Einsatz von Produkten und Leistungen externer Anbieter gefragt, die mit einer Übermittlung personenbezogener Daten in Nicht-EU-Staaten verbunden sind.

Welche Informationen werden abgefragt

In einem standardisierten Fragebogen werden von den Unternehmen umfassende Angaben zur Übermittlung personenbezogener Daten in die USA und in sonstige Drittstaaten abgefragt. Der Fragebogen zur Prüfung des internationalen Datenverkehrs des Bayerischen Landesamts für Datenschutzaufsicht kann hier oder über die Webseite der Aufsichtsbehörde www.lda.bayern.de/de/international.html abgerufen werden.

Praxistipp:

Möchte ein Unternehmen personenbezogene Daten in die USA oder sonstige Drittstaaten übermitteln, muss es zuerst prüfen, ob überhaupt sichergestellt werden kann, dass die Daten auch nach der Übermittlung noch angemessen geschützt bleiben. Andernfalls muss die Übermittlung personenbezogener Daten in Drittstaaten unterbleiben. Die kontrollierten Unternehmen sind aufgefordert, anzugeben, auf welcher datenschutzrechtlichen Grundlage die Übermittlungen erfolgen. Mitgeteilt werden muss z. B., ob für das Zielland durch Beschluss der Europäischen Kommission ein angemessenes Datenschutzniveau anerkannt ist (z. B. das sogenannte EU-US Privacy Shield), ob EU-Standardvertragsklauseln oder Binding Corporate Rules (BCR) als Grundlage der Datenübermittlung verwendet werden können oder ob die Übermittlung auf Einwilligungen der betroffenen Personen gestützt werden können.

Die Erfahrungen bei vergleichbaren Prüfaktionen haben deutlich gemacht, dass die Beantwortung der Prüfungsanfragen innerhalb der gesetzten Frist erfolgen sollte und die Angaben sehr sorgfältig zu wählen sind. Anderweitig drohen unnötige Nachfragen der prüfenden Aufsichtsbehörde. Unterlassene oder falsche Auskünfte können mit behördlichen Anordnungen und mit Bußgeldern bis zu EUR 300.000,00 geahndet werden.