Aktuelle Datenschutzkontrollen zum internationalen Datenverkehr in 10 Bundesländern

Die Datenschutzbeauftragen von 10 Bundesländern haben Anfang November mit stichprobenartigen Überprüfungen von Unternehmen zur Praxis der Übermittlung personenbezogener Daten in Drittstaaten begonnen. 500 Unternehmen werden angeschrieben.

Nach eigener Auskunft ist es das Bestreben der Datenschützer, für eine erhöhte Sensibilisierung in den Unternehmen hinsichtlich der von ihnen eingesetzten Datenverarbeitungsmittel zu sorgen. Ausgehend von den Erfahrungen der letzten Jahre habe sich gezeigt, dass sich Unternehmen gerade bei Nutzung von Cloud-basierten Produkten (z.B. SaaS) nicht immer der Tatsache bewusst sind, dass dadurch unter Umständen eine Übermittlung personenbezogener Daten in Nicht-EU-Staaten stattfinden könne. Die Überprüfung wird über die nächsten Wochen in den Bundesländern Bayern, Berlin, Bremen, Hamburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland und Sachsen-Anhalt durchgeführt. Lesen Sie hier die entsprechende Pressemitteilung vom 03.11.2016.

Fragebögen versandt

Zur Durchführung der Prüfung sollen nun insgesamt 500, nach dem Zufallsprinzip ausgewählte Unternehmen angeschrieben und zum Ausfüllen eines entsprechenden Fragebogens aufgefordert werden. Bei der Auswahl werde Wert darauf gelegt, Unternehmen unterschiedlicher Größenordnungen und verschiedener Branchen einzubeziehen. Mitgeteilt werden muss beispielsweise, ob für das Zielland durch Beschluss der Europäischen Kommission ein angemessenes Datenschutzniveau anerkannt ist (dazu zählt auch der sog. EU-U.S. Privacy Shield), ob Standard-vertragsklauseln als Grundlage verwendet werden, ob die Übermittlungen auf Einwilligungen der Betroffenen gestützt werden. Der Fragebogen ist öffentlich einsehbar.

BVDW-Infoseite zu EU-US Privacy Shield

Der BVDW hat zu diesem Thema eine eigene Webseite mit umfangreichen FAQs, Hintergrundinformationen und Stellungnahmen eingerichtet auf der sich Unternehmen der digitalen Wirtschaft umfassen informieren können.

Ebenso wird dieses Thema in den derzeit bundesweit stattfindenden Veranstaltungen im Rahmen der BVDW-Datenschutzroadshow zusammen mit den jeweiligen Landesdatenschutzbeauftragten erörtert. Hier geht’s zur Anmeldung.

Information zu Datenübermittlungen ins Ausland

Es muss zunächst klargestellt werden, dass datenschutzrechtliche Regelungen nur dann greifen, wenn es sich bei den zu übermittelten Daten tatsächlich um personenbezogene Daten im Sinne des Datenschutzrechts handelt. Gemäß § 3 Abs. 1 des deutschen Bundesdatenschutzgesetzes (BDSG) sind personenbezogene Daten [sind] Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).

Zudem sind eine Reihe von Datenübermittlungen – wie zuvor auch - auch ohne EU-US Privacy Shield weiterhin zulässig. Übermittlungen in Drittstaaten richten sich in Deutschland nach § 4b BDSG. Achtung: Für die Übermittlung reicht auch die Zugriffsmöglichkeit. Eine Datenübermittlung liegt also auch dann vor, wenn der US-Dienstleister Zugriff auf Kunden- oder Mitarbeiterdaten eines deutschen Unternehmens hat. Es ist darüber hinaus wichtig zu wissen, dass nicht alle Datenübermittlungen in unsichere Drittstaaten immer unzulässig sind. Nach § 4b Abs. 2 BDSG muss die Datenübermittlung in Drittstaaten unterbleiben

• „soweit der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat, insbesondere wenn bei den in Satz 1 genannten Stellen ein angemessenes Datenschutzniveau nicht gewährleistet ist“.

Der Nachweis ist z. B. durch Zusammenarbeit mit EU-US Privacy Shield zertifizierten Unternehmen, die Verwendung von EU-Standardvertragsklauseln oder bindende, unternehmensinterne Datenschutzregeln (BCR) möglich.

Das Gesetz kennt aber auch Ausnahmen. Auch ohne Nachweis ist die Übermittlung nämlich in folgenden Fällen zulässig, nämlich „….sofern 

• der Betroffene seine Einwilligung gegeben hat,

• die Übermittlung für die Erfüllung eines Vertrags zwischen dem Betroffenen und der verantwortlichen Stelle oder zur Durchführung von vorvertraglichen Maßnahmen, die auf Veranlassung des Betroffenen getroffen worden sind, erforderlich ist,

• die Übermittlung zum Abschluss oder zur Erfüllung eines Vertrags erforderlich ist, der im Interesse des Betroffenen von der verantwortlichen Stelle mit einem Dritten geschlossen wurde oder geschlossen werden soll,….“

Diese Ausnahmen betreffen eine ganze Reihe von Geschäftsmodellen, etwa einwilligungsbasierte Nutzer-Services, Direktverträge mit Nutzern (Reisedirektbuchungen) oder den Datenaustausch mit angeschlossenen Dienstleistern, etwa bei der Zurverfügungstellung vertraglich geschuldeter Zusatzleistungen.

Information zum betrieblichen Datenschutzbeauftragten

Ebenso wird im Fragebogen abgefragt, ob ein betrieblicher Datenschutzbeauftragter im Unternehmen existiert. Hierzu sieht das Gesetz folgendes vor:

Ein betrieblicher Datenschutzbeauftragter muss gemäß § 4f Abs. 1 Bundesdatenschutzgesetz (BDSG) immer dann bestellt werden, wenn mindestens 9 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Unabhängig von der Anzahl der im Unternehmen Beschäftigten muss immer ein Datenschutzbeauftragter bestellt werden, wenn personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung automatisiert verarbeitet werden. Weiterführende Hinweise können Sie unserem Whitepaper zum Datenschutzmanagement entnehmen.