In  einer  koor­di­nier­ten  schrift­li­chen  Prü­fungs­ak­ti­on  neh­men  zehn deut­sche  Daten­schutz­auf­sichts­be­hör­den Über­mitt­lun­gen  per­so­nen­be­zo­ge­ner  Daten  in  das  Nicht-EU-Aus­land genau­er unter  die  Lupe.  Die  Prü­fung soll dabei auch der  Sen­si­bi­li­sie­rung von Unter­neh­men  für gera­de  die Ver­ar­bei­tungs­pro­zes­se die­nen, bei  denen per­so­nen­be­zo­ge­ne Daten in Nicht-EU-Län­der  über­mit­telt  wer­den – wie  es  bspw.  bei Cloud Com­pu­ting häu­fig der Fall ist.

In  den  letz­ten  Jah­ren haben grenz­über­schrei­ten­de Über­mitt­lun­gen von per­so­nen­be­zo­ge­nen Daten in der Pri­vat­wirt­schaft wei­ter  mas­siv zuge­nom­men.  Zu  den  Ursa­chen  die­ser Ent­wick­lung  zäh­len  die wirt­schaft­li­che Glo­ba­li­sie­rung  wie  auch die  ste­ti­ge  Aus­brei­tung von  Dienst­lei­stun­gen  und  Pro­duk­ten  des sog.  Cloud  Com­pu­ting. Selbst vie­le  klei­ne­re  und  mitt­le­re Unter­neh­men in  Deutsch­land ver­ar­bei­ten  inzwi­schen zahl­rei­che per­so­nen­be­zo­ge­ne  Daten (z.B. von  Kun­den,  Mit­ar­bei­tern  oder  Bewer­bern) häu­fig auf  Ser­vern  exter­ner Dienst­lei­ster, oft außer­halb der Euro­päi­schen Uni­on. Dies ist vor allem bei Ange­bo­ten wie dem sog. Soft­ware as a Ser­vice der Fall.  Ein  klas­si­sches  Bei­spiel  hier­für  sind Office-Anwen­dun­gen „aus dem Inter­net“,  die  stand­ort­u­n­ab­hän­gig  und fle­xi­bel genutzt wer­den kön­nen. Vie­le die­ser Dien­ste stam­men jedoch von US-Unter­neh­men und set­zen des­halb meist die Über­mitt­lung per­so­nen­be­zo­ge­ner Daten in die USA und/​oder in ande­re Nicht-EU-Staa­ten vor­aus. Die bis­he­ri­ge  Erfah­rung der  Daten­schutz­auf­sichts­be­hör­den zeigt,  dass sich Unter­neh­men bei Nut­zung sol­cher Pro­duk­te nicht immer der Tat­sa­che bewusst sind,  dass dadurch eine Über­mitt­lung per­so­nen­be­zo­ge­ner Daten in Nicht-EU-Staa­ten statt­fin­det und ent­spre­chen­de daten­schutz­recht­li­che Kon­se­quen­zen dar­aus resul­tie­ren.

Möch­te ein  Unter­neh­men  per­so­nen­be­zo­ge­ne  Daten in  Län­der außer­halb  der  Euro­päi­schen  Uni­on über­mit­teln, so muss es zuerst prü­fen, ob über­haupt sicher gestellt wer­den kann, dass die Daten auch nach der Über­mitt­lung noch ange­mes­sen geschützt blei­ben – andern­falls muss die Über­mitt­lung unter­blei­ben. Ent­schei­dend ist daher, im  Unter­neh­men früh­zei­tig eine  Sen­si­bi­li­sie­rung  dafür  zu  erzeu­gen, ob  und ggf. im  Rah­men  wel­cher  Ver­ar­bei­tun­gen das Unter­neh­men per­so­nen­be­zo­ge­ne Daten in Nicht-EU-Staa­ten über­mit­teln möch­te oder viel­leicht sogar bereits über­mit­telt. Fin­den sol­che Über­mitt­lun­gen statt, so muss sich das Unter­neh­men zwin­gend Gedan­ken machen, inwie­weit die­se auf eine daten­schutz­recht­li­che Grund­la­ge gestützt wer­den kön­nen oder nicht.

Vor  die­sem  Hin­ter­grund  wer­den zehn  deut­sche  Daten­schutz­auf­sichts­be­hör­den  (Bay­ern,  Ber­lin,  Bre­men,  Ham­burg, Meck­len­burg-Vor­pom­mern, Nie­der­sach­sen, Nord­rhein-West­fa­len, Rhein­land-Pfalz, Saar­land und Sach­sen-Anhalt) in den näch­sten Wochen eine  koor­di­nier­te schrift­li­che Prü­fungs­ak­ti­on zur Abfra­ge von Über­mitt­lun­gen per­so­nen­be­zo­ge­ner Daten durch nicht-öffent­li­che Stel­len, d. h. ins­be­son­de­re Unter­neh­men, in Nicht-EU-Staa­ten durch­füh­ren. Im Rah­men der Prü­fung wer­den rund 500 Unter­neh­men ange­schrie­ben, die nach dem Zufalls­prin­zip aus­ge­wählt wur­den. Die Auf­sichts­be­hör­den haben dabei Wert dar­auf gelegt, Unter­neh­men unter­schied­li­cher Grö­ßen­ord­nun­gen und ver­schie­de­ner Bran­chen ein­zu­be­zie­hen.

Ein wich­ti­ges Ziel der Prü­fung liegt in der Sen­si­bi­li­sie­rung der Unter­neh­men für Daten­über­mitt­lun­gen in Län­der außer­halb der Euro­päi­schen Uni­on. Um Unter­neh­men das Auf­fin­den sol­cher Über­mitt­lun­gen zu erleich­tern, wird auch gezielt nach  dem  Ein­satz von  Pro­duk­ten  und  Lei­stun­gen  exter­ner  Anbie­ter  gefragt, die – nach bis­he­ri­gen Erfah­run­gen  der  Auf­sichts­be­hör­den – mit einer  Über­mitt­lung per­so­nen­be­zo­ge­ner Daten  in  Nicht-EU-Staa­ten ver­bun­den sind. Gefragt  wird  zum  Bei­spiel  nach der Inan­spruch­nah­me  exter­ner  Lei­stun­gen  und  Pro­duk­te  in Berei­chen wie Fern­war­tung,  Sup­port,  Ticke­ting – Bear­bei­tung,  aber  auch  Custo­mer  Rela­ti­onship  Manage­ment oder  Bewer­ber­ma­nage­ment.  Die  Unter­neh­men  wer­den dann auf­ge­for­dert,  die  ent­spre­chen­den von  ihnen genutz­ten Dienst­lei­stun­gen und Pro­duk­te kon­kret zu nen­nen.

Sofern  per­so­nen­be­zo­ge­ne  Daten  in  Nicht-EU-Staa­ten  über­mit­telt wer­den, sind die kon­trol­lier­ten Unter­neh­men dar­über  hin­aus auf­ge­for­dert  anzu­ge­ben,  auf  wel­cher daten­schutz­recht­li­chen  Grund­la­ge  die  Über­mitt­lun­gen erfol­gen. Mit­ge­teilt wer­den muss bspw., ob für das Ziel­land durch Beschluss der Euro­päi­schen Kom­mis­si­on ein ange­mes­se­nes Daten­schutz­ni­veau aner­kannt ist (dazu zählt auch der sog. EU-U.S. Pri­va­cy Shield), ob Stan­dard­ver­trags­klau­seln  als  Grund­la­ge  ver­wen­det  wer­den,  ob die  Über­mitt­lun­gen  auf  Ein­wil­li­gun­gen  der  Betrof­fe­nen gestützt wer­den o.a.

Über­mitt­lun­gen per­so­nen­be­zo­ge­ner Daten in Nicht-EU-Staa­ten gehö­ren inzwi­schen auch bei vie­len mit­tel­stän­di­schen Unter­neh­men zum All­tag, nicht zuletzt auf­grund der immer stär­ke­ren Ver­brei­tung von Ange­bo­ten des Cloud Com­pu­ting.  Unter­neh­men  müs­sen  sich  aber des­sen bewusst  sein,  dass  hier­für beson­de­re daten­schutz­recht­li­che Anfor­de­run­gen gel­ten. Durch die koor­di­nier­te Prüf­ak­ti­on, an der sich zehn deut­sche Daten­schutz­auf­sichts­be­hör­den betei­li­gen,  wol­len  wir auch die  Sen­si­bi­li­tät  der  Unter­neh­men  in  die­sem  Bereich  erhö­hen.“ betont  Tho­mas  Kra­nig, der  Prä­si­dent  des  Baye­ri­schen  Lan­des­am­tes  für  Daten­schutz­auf­sicht. „Aus­ge­hend  von  der  Beant­wor­tung  des Fra­ge­bo­gens  kann  und  wird  das  Baye­ri­sche  Lan­des­amt  für  Daten­schutz­auf­sicht dort,  wo  sich  dies  als  not­wen­dig zeigt, auch in eine tie­fe­re Prü­fung ein­stei­gen.“

Tho­mas Kra­nig
Prä­si­dent

Link PR-Mit­tei­lung