Datenschutzaufsichtsbehörden prüfen grenzüberschreitende Datenübermittlungen

Düsseldorf (EB) – In einer koordinierten schriftlichen Prüfaktion nehmen zehn deutsche Datenschutzaufsichtsbehörden Übermittlungen personenbezogener Daten in das Nicht-EU-Ausland genauer unter die Lupe. Angeschrieben werden bundesweit rund 500 Unternehmen unterschiedlicher Größe und verschiedener Branchen. Die Prüfung soll die Unternehmen auch für den Datenschutz sensibilisieren.

Fehlendes Problembewusstsein

Die grenzüberschreitende Übermittlung von personenbezogenen Daten in der Privatwirtschaft nimmt zu. Die wirtschaftliche Globalisierung und das sogenannte „Cloud Computing“ beschleunigen die weltweiten Datenströme. Betroffen sind Daten von Kunden, Mitarbeitern oder Bewerbern. Selbst kleinere und mittlere Unternehmen in Deutschland verarbeiten inzwischen zahlreiche personenbezogene Daten auf Servern externer Dienstleister. Beispiel hierfür sind Office-Anwendungen „aus dem Internet“, die standortunabhängig und flexibel genutzt werden können. Viele dieser Dienste stammen von US-Unternehmen und setzen deshalb meist die Übermittlung personenbezogener Daten in Nicht-EU-Staaten voraus. Das ist vielen Unternehmen nicht immer bewusst.

Datenschutz bei grenzüberschreitender Datenübermittlung

Unternehmen müssen wissen, ob und gegebenenfalls in welchem Rahmen sie personenbezogene Daten in Nicht-EU-Staaten übermitteln. Eine Datenübermittlung in Länder außerhalb Europas ist nur zulässig, wenn die Daten dort ange-messen geschützt sind. Sofern Unternehmen personenbezogene Daten in Nicht-EU-Staaten übermitteln, ist anzugeben, auf welcher datenschutzrechtlichen Grundlage die Übermittlungen erfolgen. Mitzuteilen ist beispielsweise,

- ob für das Zielland durch Beschluss der Europäischen Kommission ein an-gemessenes Datenschutzniveau anerkannt ist (dazu zählt auch der sogenannte EU-US Privacy Shield),

- ob Standardvertragsklauseln als Grundlage verwendet werden, oder

- ob die Übermittlungen auf Einwilligungen der Betroffenen gestützt werden.

Bestimmte Produkte und Leistungen besonders betroffen

Nach den bisherigen Erfahrungen der Aufsichtsbehörden ist mit bestimmten Produkten und Leistungen regelmäßig eine Übermittlung personenbezogener Daten in Nicht-EU-Staaten verbunden. Relevant sind beispielswiese Fernwartung, Support, Ticketing-Bearbeitung, aber auch Customer Relationship Management oder Bewerbermanagement. Um Unternehmen das Auffinden solcher Übermittlungen zu erleichtern, wird im Rahmen der Prüfaktion gezielt nach dessen Einsatz gefragt. Die Unternehmen werden dann aufgefordert, die entsprechenden von ihnen genutzten Dienstleistungen und Produkte konkret zu benennen.

Bundesweit koordinierte Prüfung

Bei der schriftlichen Prüfaktion werden rund 500 Unternehmen angeschrieben.

Die Aufsichtsbehörden haben dabei Wert darauf gelegt, Unternehmen unter-schiedlicher Größe und verschiedener Branchen einzubeziehen. Für die Auswahl der Unternehmen im Einzelnen galt das Zufallsprinzip. An der Prüfaktion beteiligen sich zehn deutsche Datenschutzaufsichtsbehörden: Bayern, Berlin, Bremen, Hamburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland und Sachsen-Anhalt.

Helga Block, Landesbeauftragte für Datenschutz und Informationsfreiheit Nord-rhein-Westfalen „Der Datenschutzstandard in Deutschland und Europa ist hoch. Die Bürgerinnen und Bürger achten zunehmend darauf, welche Unternehmen diesen Standard einhalten. Unternehmen sind sich jedoch oftmals nicht bewusst, dass die personenbezogenen Daten ihrer Angestellten, Kunden und Bewerber in die ganze Welt geschickt werden. Mit der Prüfaktion werden wir die Unternehmen sensibilisieren, beraten und wenn nötig den Datenschutz durchsetzen.“

 

Comments are closed.