Skip to main content

Deutsche Datenschutzbehörden untersuchen Datenübermittlungen ins Ausland.

Zehn deutsche Datenschutzaufsichtsbehörden haben angekündigt, 500 Unternehmen im Hinblick auf deren Datenübermittlungen ins Ausland zu befragen. Unternehmen sollten dies zum Anlass nehmen, die Einhaltung von Datenschutzvorschriften vor allem mit Blick auf derartige Übermittlungen zu überprüfen.

Was ist die Ausgangslage?

Nachdem der Europäische Gerichtshof (EuGH) mit seinem Urteil im Verfahren Schrems (C-362/14) entschieden hatte, dass personenbezogene Daten nicht mehr auf Grundlage des „Safe Harbor"-Abkommens in die USA weitergegeben werden dürfen, waren Übermittlungen personenbezogener Daten in das Nicht-EU-Ausland verstärkt in den Fokus geraten. Dass die Aufsichtsbehörden die Konsequenzen des Urteils ernst nehmen, zeigte sich in der Folge, etwa als der Hamburgische Datenschutzbeauftragte gegenüber verschiedenen Unternehmen, die weiterhin auf „Safe Harbor" setzten, Bußgelder verhängte.

Was ist nun passiert?

In einer konzertierten Aktion werden zehn deutsche Aufsichtsbehörden eine schriftliche Prüfungsaktion zu internationalen Datenübermittlungen durchführen (siehe etwa die Pressemitteilungen der Aufsichtsbehörde für Bayern vom 3. November 2016: https://www.lda.bayern.de/media/pm2016_09.pdf). Betroffen von der Überprüfung werden insgesamt rund 500 nach dem Zufallsprinzip ausgewählte Unternehmen sein, die in den nächsten Tagen angeschrieben und verbindlich zur Beantwortung eines Fragebogens aufgefordert werden. Erklärtes Ziel der Prüfungsaktion ist eine Sensibilisierung der Unternehmen für datenschutzrechtliche Belange. Dabei soll mit der Prüfungsaktion nicht lediglich die aktuelle Einhaltung datenschutzrechtlicher Standards überprüft werden. Die Aktion dient darüber hinaus auch als Warnschuss für anstehende Anpassungen, die nicht zuletzt durch die Einführung der Europäischen Datenschutz-Grundverordnung erforderlich sind.

Was bedeutet das für Sie konkret?

Selbst wenn Ihr Unternehmen nicht von der Prüfungsaktion betroffen ist, sollte die Untersuchung gleichwohl Anlass dazu geben, dass Sie sich in Ihrem Unternehmen insbesondere mit den folgenden Fragestellungen auseinandersetzen:

  • Werden personenbezogene Daten in das Nicht-EU-Ausland übermittelt? Dies kann nicht zuletzt im Rahmen von IT-Dienstleistungen und Cloud-Computing-Produkten in Drittstaaten erfolgen, etwa in Office- und Customer Relationship Management-Anwendungen.
  • Welche Rechtsgrundlagen greifen für die Datenübermittlung in Drittstaaten? Erfolgen noch Datenübermittlungen auf der Grundlage des unwirksamen „Safe Harbor"? Werden Standardvertragsklauseln als Grundlage verwendet? Können die Übermittlungen auf Einwilligungen der Betroffenen gestützt werden?

Mit Blick auf die ab Mai 2018 geltende Datenschutz-Grundverordnung und die damit einhergehenden stark verschärften Sanktionsmöglichkeiten wird allen Unternehmen empfohlen, ihre internen Datenschutzprozesse auf den Prüfstand zu stellen und an die kommenden Anforderungen anzupassen. Vor dem Hintergrund der nun anstehenden Prüfungsaktion sollte dabei besonderes Augenmerk auf die Beantwortung der Fragen zu den internationalen Datenübermittlungen gelegt werden.

Für Rückfragen stehen wir Ihnen jederzeit gerne zur Verfügung. Gerne vereinbaren wir auch ein persönliches Gespräch mit Ihnen, um über Ihre Fragen im Detail zu sprechen.