Ausweislich der heute erschienenen Pressemitteilungen der Aufsichtsbehörden, unter anderem des bayerischen Landesamts für Datenschutz, werden die Datenschutzbehörden in den nächsten Wochen verschiedenen Unternehmen einer datenschutzrechtlichen Überprüfung unterziehen. Gegenstand der Untersuchung ist die Datenübermittlung ins EU/ EWR – Ausland. Hier soll gezielt nachgeforscht werden, ob Unternehmen ihren internationalen Datentransfer im Blick haben und die erforderlichen Maßnahmen zur Herstellung des angemessenen Datenschutzniveaus treffen.
Der Inhalt im Überblick
Anlass der Prüfaktion
In der Vergangenheit hat die Beauftragung externer Dienstleister, die im EU/EWR – Ausland personenbezogene Daten verarbeiten, merklich zugenommen. Das betrifft im Besonderen verschiedenen Cloud-Computing Dienste, vornehmlich aus den Bereichen Personalrecruiting / Bewerbermanagement, Reisemanagement der Mitarbeiter, Customer-Relationship-Management, den Einsatz von „Office-Lösungen aus der Cloud“, wie z.B. Microsoft Office 365 oder die Bereiche IT-Support und Fernwartung.
Mit der Prüfaktion soll die Sensibilität der Unternehmen für den Umgang mit Mitarbeiter – und Kundendaten, speziell in Hinblick auf das Thema grenzüberschreitende Datenübermittlung, gestärkt werden. Werden Daten in ein Land außerhalb der EU und des EWR übermittelt und dort verarbeitet, sind die Unternehmen gesetzlich dazu verpflichtet, ein angemessenes Datenschutzniveaus sicherzustellen (§§ 4b, 4c BDSG).
Die Aufsichtsbehörden haben im Rahmen ihrer Tätigkeit festgestellt, dass Unternehmen häufig überhaupt nicht bewusst ist, dass ihre personenbezogenen Daten in Drittländern verarbeitet werden. Auch wenn das Bewusstsein vorhanden ist, fehle es weiter an speziellen Kenntnissen zur Herstellung des sicheren Datenschutzniveaus.
Ablauf der Prüfaktion
Beteiligt an der Überprüfung sind zehn deutsche Datenschutzaufsichtsbehörden (Bayern, Berlin, Bremen, Hamburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland und Sachsen-Anhalt). Das Prüfverfahren soll schriftlich erfolgen. Nach dem Zufallsprinzip werden insgesamt 500 Unternehmen ausgewählt. Um eine möglichst große Bandbreite zu erfassen, umfasst die Auswahl Unternehmen von unterschiedlicher Größe und Branchenzugehörigkeit. Die betroffenen Unternehmen werden aufgefordert, einen Fragebogen zu den im Unternehmen eingesetzten externen Dienstleister auszufüllen, die Daten außerhalb der EU und des EWR verarbeiten.
Was wird im Rahmen der Prüfung abgefragt?
Der Fragebogen, der uns zur Kenntnisnahme vorliegt, erfasst nur Angaben, die sich auf die Rechtmäßigkeit der Datenübermittlung in Drittländer beziehen (zweite Stufe). Ob die Datenübermittlung im Generellen rechtmäßig ist (erster Stufe), wird nicht überprüft. Dem Fragebogen ist zusätzlich ein Infoblatt beigelegt, welches die einzelnen Punkte näher erläutert.
Konkret müssen Unternehmen zu folgenden Punkten Stellung nehmen:
- Angaben zur Datenübermittlung in die USA oder in Dritstaaten: Es muss offengelegt werden, in welche Länder personenbezogene Daten übermittelt werden
- Angaben zu den betroffenen Datenkategorien (Mitarbeiterdaten, Kundendaten, sonstige Daten)
- Namentliche Nennung der eingesetzen Diensleistern, bezogen auf bestimmte Bereichen (Personalwesen, Reisemanagment usw.)
- Angaben hinsichtlich der getroffenen Maßnahmen zur Herstellung eines angemessenen Datenschutzniveaus
- Bestellung eines Datenschutzbeauftragten
Wann ist meine Datenübermittlung rechtskonform?
Ob die Datenübermittlung rechtmäßig ist, wird auf zwei Stufen geprüft:
- Besteht eine gesetzliche Erlaubnis zur Datenverarbeitung (BDSG oder Spezialgesetze)
- Wenn ja: Ist bei der Datenübermittlung in angemessenes Datenschutzniveau gewährleiset?
Wann kann ich ein sicheres Datenschutzniveau annehmen?
Ein sicheres Datenschutzniveau besteht zunächst bei Datenübermittlungen innerhalb der EU und des EWR.
Daneben gibt es Staaten, die zwar außerhalb der EU liegen, deren Datenschutzniveau jedoch von der Europäischen Kommission als ebenwürdig eingestuft wurde (§ 4 b Abs. 3 BDSG). Diese Staaten gelten als „sichere Drittstaaten“. Dabei handelt es sich momentan um die Schweiz, Kanada, Argentinien, Guernsey, Jersey, Isle of Man, Israel, Neuseeland, Australien, Andorra, Faröer, Uruguay.
Wie kann das sichere Datenschutzniveau hergestellt werden?
Werden personenbezogenen Daten nun weder innerhalb der EU/ EWR verarbeitet, noch in einem sicheren Drittstaat, muss das angemessene Datenschutzniveau zunächst hergestellt werden.
Möglichkeiten dazu sind momentan:
- EU/ U.S. Privacy Shield beim Datentransfer in die USA
- EU-Standardvertragsklauseln
- Bindig Corporate Rules beim konzerninternen Datentransfer
- Einwilligung der betroffenen Person
Haben Sie den Überblick über Ihren Datentransfer?
Wenn die Antwort darauf „nein“ lautet, ist nun ein guter Zeitpunkt, die unternehmenseigenen Prozesse unter die Lupe zu nehmen. Auch wer nicht von den Behörden aufgefordert wird, sollte dies zum Anlass nehmen, und den eigenen Datentransfer zu überprüfen.
Dazu empfiehlt es sich, wie auch von den Aufsichtsbehörden in Angriff genommen, eine Liste mit allen Dienstleistern, Kategorien der verarbeiteten Daten, Ort der Datenverarbeitung und getroffenen datenschutzrechtlichen Maßnahmen zu erstellen. Sofern sich hier Lücken zeigen, ist nun der richtige Zeitpunkt, diese zu schließe und das Datenschutzniveau herzustellen.
Dabei unterstützt Sie Ihr Datenschutzbeauftragter!