Wie das BayLDA in einer Pressemitteilung am Donnerstag bekannt gab, wird mit sofortiger Wirkung eine großangelegte koordinierte schriftliche Prüfung der Übermittlung personenbezogener Daten in das Nicht-EU-Ausland durch zehn deutsche Datenschutzaufsichtsbehörden durchgeführt.
ZUNAHME VON ÜBERMITTLUNGEN
Die grenzüberschreitende Übermittlung von personenbezogenen Daten hat die letzten Jahre beständig zugenommen. Als Grund dafür sieht man die wirtschaftliche Globalisierung und zunehmende Beliebtheit von Cloud-Computing. Wie es in der Pressemitteilung heißt: „Selbst viele kleinere und mittlere Unternehmen in Deutschland verarbeiten inzwischen zahlreiche personenbezogene Daten (z. B. von Kunden, Mitarbeitern oder Bewerbern) häufig auf Servern externer Dienstleister, oft außerhalb der Europäischen Union.“
DATENSCHUTZRECHTLICHE KONSEQUENZEN
Allerdings ergeben sich aus der Übermittlung von personenbezogenen Daten ins Nicht-EU-Ausland auch datenschutzrechtliche Konsequenzen. So ist zuerst zu prüfen ob sichergestellt werden kann, dass die Daten auch nach der Übermittlung noch angemessen geschützt bleiben. Ist dies nicht der Fall, muss die Übermittlung unterbleiben. Die Übermittlung hat auf einer datenschutzrechtlichen Grundlage zu erfolgen. Dies kann das neue EU-US Privacy Shield sein, aber auch die EU-Standardvertragsklauseln.
ABLAUF DER PRÜFUNG
Die Datenschutzaufsichtsbehörden von Bayern, Berlin, Bremen, Hamburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland und Sachsen-Anhalt werden in den kommenden Wochen rund 500 Unternehmen anschreiben, die nach dem Zufallsprinzip ausgewählt wurden. Dabei wurde darauf Wert gelegt, dass Unternehmen unterschiedlicher Größenordnungen und verschiedener Branchen untersucht werden. Gefragt werden diese dann beispielsweise nach der Inanspruchnahme externer Leistungen und Produkte in Bereichen wie Fernwartung, Support, Ticketing-Bearbeitung, aber auch Customer Relationship Management oder Bewerbermanagement. Die Unternehmen werden anschließend aufgefordert, die von ihnen genutzten Dienstleistungen und Produkte in diesem Bereich konkret zu nennen. Die genauen Prüffragen stellt das BayLDA schon vorab auf seinen Seiten als Download zur Verfügung.
TIEFERE PRÜFUNG WENN NÖTIG
Thomas Kranig, Präsident des BayLDA ergänzt hierzu:
„Übermittlungen personenbezogener Daten in Nicht-EU-Staaten gehören inzwischen auch bei vielen mittelständischen Unternehmen zum Alltag, nicht zuletzt aufgrund der immer stärkeren Verbreitung von Angeboten des Cloud Computing. Unternehmen müssen sich aber dessen bewusst sein, dass hierfür besondere datenschutzrechtliche Anforderungen gelten. Durch die koordinierte Prüfaktion, an der sich zehn deutsche Datenschutzaufsichtsbehörden beteiligen, wollen wir auch die Sensibilität der Unternehmen in diesem Bereich erhöhen. Ausgehend von der Beantwortung des Fragebogens kann und wird das Bayerische Landesamt für Datenschutzaufsicht dort, wo sich dies als notwendig zeigt, auch in eine tiefere Prüfung einsteigen.“