Koordinierte Prüfung durch Datenschutzaufsichtsbehörden

500 Unternehmen erhalten Fragebogen bezüglich Übermittlungen ins nicht-europäische Ausland.

Wie u.a. der Landesbeauftragte für den Datenschutz in Rheinland-Pfalz in seiner Pressemitteilung[i] vom 03.11.2016 mitgeteilt hat, nehmen „zehn deutsche Datenschutzaufsichtsbehörden“ „in einer koordinierten schriftlichen Prüfungsaktion“ „Übermittlungen personenbezogener Daten in das Nicht-EU-Ausland genauer unter die Lupe“.

An dieser gemeinsamen Aktion beteiligen sich die Aufsichtsbehörden der Bundesländer Bayern, Berlin, Bremen, Hamburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland und Sachsen-Anhalt.

Bei der Prüfungsaktion werden von den Aufsichtsbehörden zufällig verantwortliche Stellen ausgewählt, über alle Bundesländer zusammen sollen 500 Unternehmen geprüft werden. Zitat dazu aus der Pressemitteilung der Berliner Aufsichtsbehörde[ii]: „Dabei werden insgesamt rund 500 Unternehmen angeschrieben, die nach dem Zufallsprinzip ausgewählt wurden. Die Aufsichtsbehörden haben Wert darauf gelegt, Unternehmen unterschiedlicher Größenordnungen und verschiedener Branchen einzubeziehen.“

Das bayerische Landesamt für Datenschutzaufsicht hat bereits angekündigt[iii], 150 dieser 500 Prüfungen durchführen zu wollen, dort ist auch der gemeinsame Fragebogen[iv] als Download beziehbar. Andere Bundesländer werden voraussichtlich weniger Unternehmen prüfen, die Bremische Aussichtsbehörde spricht in ihrer Pressemitteilung von 16 Unternehmen[v].

Mit dieser Prüfaktion wollen die Aufsichtsbehörden zum einen ihrer Prüfpflicht nachkommen, zum anderen aber auch Unternehmen dafür sensibilisieren, was alles schon Verarbeitung personenbezogener Daten auf Servern von externen und im Zweifelsfall nicht-europäischen Anbietern sein kann (als Beispiel führt hier die Aufsichtsbehörde aus NRW „Office-Anwendungen ‚aus dem Internet‘, die standortunabhängig und flexibel genutzt werden können“ an[vi]).

In dem bereits erwähnten Fragebogen werden Fragen zu folgenden Themen gestellt:

  • Findet eine Datenübermittlung in die USA statt, falls ja, um welche Daten handelt es sich und auf welcher Grundlage (hier wird unter anderem noch Safe Harbor angeboten, die Aufsichtsbehörden erwarten dort also noch rechtswidrige Datenübermittlungen) werden die Daten übermittelt?
  • Findet eine Datenübermittlung in andere Drittländer statt, falls ja, in welches Land, um welche Daten handelt es sich und auf welcher Grundlage werden die Daten übermittelt?
  • Im nächsten Themengebiet soll (neben der Frage ob die Übermittlung an Dienstleister oder andere verantwortliche Stellen geht) der Zweck der Datenverarbeitung der personenbezogenen Daten, die ins Ausland übermittelt werden, benannt werden.
    Geht es also zum Beispiel um konzerninterne Datentransfers, da sich Konzernunternehmen im nicht-europäischen Ausland befinden? Geht es um Cloud-basierte Dienste? Um Übermittlungen im Supportfall? Insgesamt werden hier zwölf verschiedene Varianten benannt (inklusive der Möglichkeit, einen sonstigen Grund anzugeben, da der konkret genutzte ggf. nicht in dem Fragebogen aufgeführt ist).
  • Als letztes wird, wie fast immer in Fragebogenaktionen von Aufsichtsbehörden nach dem Datenschutzbeauftragten gefragt, hier konkret ob ein DSB bestellt ist, ob er in die Überprüfung der Rechtmäßigkeit der Übermittlung einbezogen wurde und falls nicht, warum nicht.

Die Lektüre dieses Fragebogens kann auch Unternehmen aus nicht betroffenen Bundesländern nur empfohlen werden. Die Datenschutzbeauftragten von nicht von dieser Aktion betroffenen Unternehmen sollten den Fragebogen zum Anlass nehmen, um unternehmensintern den Fragestellungen nachzugehen und sicher zu stellen, dass das eigene Unternehmen bei Übermittlungen datenschutzkonform handelt.

Der konkrete Zeitraum, der für die Beantwortung bleibt, kann aus dem Fragebogen nicht ersehen werden, üblicherweise setzen Aufsichtsbehörden hier aber Fristen, die maximal vier Wochen umfassen.

Sollte Ihr Unternehmen von Ihrer zuständigen Datenschutzaufsicht den Fragebogen erhalten haben, sollten Sie ihn gemeinsam mit Ihren Datenschutzbeauftragten ausfüllen und fristgerecht zurück senden. Alle Aufsichtsbehörden behalten sich eine anschließende weiterführende Überprüfung der angeschriebenen Unternehmen vor, die korrekte, umfassende Beantwortung des Fragebogens kann hier also zusätzlichen Aufwand vermeiden.

Sollten Sie Fragen zu der Fragebogenaktion haben oder Unterstützung durch einen externen Datenschutzbeauftragten brauchen, so sprechen Sie uns bitte an.

[i] https://www.datenschutz.rlp.de/de/presseartikel.php?pm=pm2016110301

[ii] https://datenschutz-berlin.de/attachments/1260/Pressemitteilung.pdf?1478163682

[iii] https://www.lda.bayern.de/de/international_audit.html

[iv] https://www.lda.bayern.de/media/international_audit.docx

[v] https://ssl.bremen.de/datenschutz/sixcms/detail.php?gsid=bremen236.c.11715.de

[vi] https://www.ldi.nrw.de/mainmenu_Service/submenu_Pressemitteilungsarchiv/Inhalt/PM_Datenschutz/Inhalt/2016/Datenschutzaufsichtsbeh__rden_pr__fen_grenz__berschreitende_Daten__bermittlungen/Datenschutzaufsichtsbeh__rden_pr__fen_grenz__berschreitende_Daten__bermittlungen.php