Nahezu jedes Unternehmen nutzt mittlerweile IT-Dienstleister und Tools aus dem Nicht-EU-Ausland. Von amerikanischen Analysetools und Cloud-Diensten bis hin zur Fernwartung durch IT-Dienstleister in Indien bieten die Anbieter userfreundliche und kostengünstige Lösungen an. Dabei werden jedoch häufig die besonderen Anforderungen an eine Datenübertragung in das Nicht-EU-Ausland übersehen. Um Unternehmen für die Datenübertragung ins Nicht-EU-Ausland zu sensibilisieren, fordern deutsche Datenschutzaufsichtsbehörden rund 500 Unternehmen auf, in einer schriftlichen Prüfaktion Stellung zur Übermittlung personenbezogener Daten in das Nicht-EU-Ausland zu nehmen. Betroffen sind Unternehmen sämtlicher Größen und Branchen, von eCommerce Startups bis hin zu industriellen Großkonzernen.
Wie das Bayrische Landesamt für Datenschutzaufsicht mitteilte (siehe hier) werden die Datenschutzaufsichtsbehörden der Länder Bayern, Berlin, Bremen, Hamburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland sowie Sachsen-Anhalt in einer schriftlichen Prüfaktion Unternehmen zum grenzüberschreitenden Verkehr personenbezogener Daten ins Nicht-EU-Ausland befragen. Die rund 500 angeschriebenen Unternehmen wurden dabei nach dem Zufallsprinzip ausgewählt. Laut eigener Aussage kam es den Datenschutzaufsichtsbehörden vor allem darauf an, Unternehmen unterschiedlicher Größenordnungen und verschiedener Branchen einzubeziehen. Von der Prüfung können daher nicht nur Großkonzerne sondern auch Startups sowie Wachstumsunternehmen betroffen sein.
Prüfung soll Unternehmen für Datenübertragung ins Nicht-EU-Ausland sensibilisieren
Ziel der Prüfung ist die Sensibilisierung der Unternehmen für die Übermittlung personenbezogener Daten ins Nicht-EU-Ausland. Neben der Frage, ob und welche Daten übertragen werden, soll insbesondere auch das Bewusstsein für datenschutzrechtliche Grundlagen der Übermittlung geschärft werden. Abgefragt wird dementsprechend die Inanspruchnahme externer IT-Dienstleistungen wie Fernwartung, Support, Customer Relationship Management oder Ticketing-Bearbeitung oder auch die Nutzung von SaaS (Software as a Service) wie beispielsweise die Verwendung von Cloud-Services oder der Anwendung MS Office 365.
Was betroffene Unternehmen jetzt tun sollten
Bisher wurden bereits mehrere solcher schriftlicher Befragungen durchgeführt, zuletzt nachdem das Save-Harbour Abkommen durch ein Urteil des EuGH vom 06. Oktober 2015 (siehe hier) für ungültig erklärt wurde. Bereits damals wurden Unternehmen, die den Fragebogen gar nicht, unvollständig oder oberflächlich ausgefüllt haben, im Anschluss von den Datenschutzaufsichtsbehörden sehr genau unter die Lupe genommen.
TIPP
Wir raten daher dringend an, den Fragebogen nicht zu ignorieren oder oberflächlich auszufüllen. Bei Unklarheiten empfiehlt es sich, den unternehmenseigenen Datenschutzbeauftragten oder einen auf Datenschutzrecht spezialisierten Anwalt bei der Beantwortung der Fragen hinzuzuziehen.
Datenübertragung in die USA
Problematisch ist vor allem die Datenübertragung in die USA. Dies betrifft z.B. auch das beliebte Tool Google Analytics oder Cloud Anbieter. Einige Anbieter, wie z.B. Microsoft, haben mittlerweile reagiert und hosten ihre Dienste innerhalb der EU. Häufig wissen Unternehmen jedoch gar nicht, in welchem Land die IT-Dienstleister ihre Dienste hosten oder wo die Daten verarbeitet werden. Zudem werden viele Tools nur von amerikanischen IT-Dienstleistern angeboten, ohne dass eine europäische Alternative besteht. Mit dem neuen EU-US Privacy Shield ist eine rechtssichere Übertragung von personenbezogenen Daten in die USA zumindest an die Unternehmen möglich, die sich unter dem Privacy-Shield Abkommen ratifiziert haben. Die aktuelle Liste dieser Unternehmen kann hier eingesehen werden. Neben der Ratifizierung bedarf es in der Regel zusätzlich eines Auftragsdatenverarbeitungsvertrages mit dem IT-Dienstleister sowie einer gesetzlichen Erlaubnisnorm oder der Einwilligung des Nutzers. Auch diese Informationen werden im Fragebogen abgefragt und sollten demnach von den Unternehmen vorgehalten werden.
Datenschutzrechtliche Prüfung unter Compliance Gesichtspunkten
Da nahezu jedes Unternehmen unterschiedlichste IT-Dienstleistungen – von cloudbasierten Office Anwendungen bis hin zu Webseiten Analysetools – in Anspruch nimmt, sind nahezu alle Branchen von der Gefahr einer rechtswidrigen Datenübertragung betroffen. So ist z.B. auch die Lagerung von Personaldaten in Google Drive oder die Nutzung von Kommentardiensten wie Disqus datenschutzrechtlich bedenklich. Vor diesem Hintergrund sollten auch Unternehmen, die aktuell nicht von der Befragung betroffen sind, diese zum Anlass nehmen, ihren eigenen Datenschutz unter Compliance Gesichtspunkten zu prüfen. Eine rechtswidrige Datenübermittlung kann immerhin mit einem Bußgeld von bis zu 300.000 EUR sanktioniert werden (§ 43 BDSG, siehe hier).
Fazit – Akuter Handlungsbedarf, nicht nur für betroffene Unternehmen
Von der Prüfung betroffene Unternehmen sollten den Fragebogen gewissenhaft – notfalls mit professioneller Hilfe – ausfüllen und innerhalb der vorgesehenen Frist zurückschicken. Auch nicht betroffene Unternehmen sollten die Prüfung zum Anlass nehmen, den eigenen Datenschutz unter Compliance Gesichtspunkten unter die Lupe zu nehmen.
Du hast Interesse an detaillierten Informationen zum Thema Datenschutz und insbesondere zur Prüfaktion der Datenschutzaufsichtsbehörde?
Kontaktiere gerne unsere Expertin: hier klicken.
Das #StartupBriefing ist eine regelmäßige Publikation zu rechtlichen Themen, die vor allem für Gründer, Startups und junge Unternehmen relevant sind.
Mehr #StartupBriefings: hier klicken.