Die Übermittlung personenbezogener Daten ins Nicht-EU-Ausland ist keine Seltenheit und hat nach Auffassung der deutschen Datenschutzbehörden in den letzten Jahren massiv zugenommen. Besonders das Cloud Computing führt zu einer internationalen Vernetzung von Datenbeständen. Rechtsfragen auf diesem Gebiet rücken nun in den Fokus der Datenschutzbehörden.

In einer Presserklärung vom 3. November 2016 wurde nun eine koordinierte Prüfung dieser Datentransfers durch 10 deutsche Aufsichtsbehörden angekündigt. Zu diesem Zweck verschicken die Datenschutzbehörden Fragebögen an 500 zufällig ausgewählte Unternehmen unterschiedlicher Größe und aus verschiedenen Branchen. Gefragt wird nach der Inanspruchnahme externer Dienstleistungen, wobei die genutzten Produkte und Dienstleistungen konkret benannt werden müssen. Der Fragenkatalog ist nach typischen Einsatzgebieten von grenzüberschreitender Software gegliedert und umfasst u.a. Fragen zu konzerninternen Transfers, Support, Marketing, Compliance oder Cloud-Speicherlösungen. Findet grenzüberschreitende Datenverarbeitung statt, müssen die Rechtsgrundlagen benannt werden.

Nach geltendem detuschen und EU-Datenschutzrecht ist eine Datenübermittlung ins außereuropäische Ausland nur unter strengen Voraussetzungen zulässig. Für die praktisch besonders wichtige Datenübertragung in die USA steht u.a. der EU-U.S. Privacy Shield zur Verfügung. Daneben kommen Standardvertragsklauseln sowie Binding Corporate Rules in Betracht. Durch Beschluss der EU-Kommission kann zudem ein Land zu einem Drittstaat mit angemessenem Datenschutzniveau erklärt werden. Nach Auffassung der deutschen Datenschutzbehörden bemühen sich Unternehmen noch nicht stark genug um die Einhaltung dieser Vorschriften.

Ziel der Aktion ist die Sensibilisierung der Wirtschaft für den Datenschutz bei grenzüberschreitenden Datenübermittlungen. Wie aus der Presseerklärung der bayerischen Datenschutzbehörde hervorgeht, sollen die Antworten in den Fragebögen verglichen werden und als Diskussionsgrundlage für das weitere Vorgehen dienen. Je nach den Ergebnissen der Untersuchung wird bei einzelnen Unternehmen eine vertiefte Prüfung in Betracht gezogen werden.

Auswirkungen in der Praxis:

  • Unternehmen müssen genaue Auskunft zur Datenübertragung in Drittstaaten erteilen.
  • Zur Auskunft gehört auch die konkrete Angabe von genutzten Dienstleistungen und Produkten, welche einen Datentransfer erforderlich machen.
  • In Zukunft müssen Unternehmen damit rechnen, dass stärker auf die Einhaltung der Datenschutzstandards bei grenzüberschreitenden Transfers geachtet wird.
  • Weitere Untersuchungen bis hin zu Bußgeldverfahren sind denkbar. Im schlimmsten Falle droht ein Bußgeld in Höhe von bis zu 300.000 €.