Datenschutzaufsichtsbehörden prüfen grenzüberschreitende Datenübermittlungen

Nr.161103  | 03.11.2016  | DSMV  | datenschutz-mv.de

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern beteiligt sich an einer koordinierten, schriftlichen Prüfungsaktion zu Übermittlungen personenbezogener Daten in das Nicht-EU-Ausland (sog. Drittstaaten). Beteiligt sind die Datenschutzaufsichtsbehörden der Länder Bayern, Berlin, Bremen, Hamburg, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland und Sachsen-Anhalt. Die Aufsichtsbehörden werden in den nächsten Tagen insgesamt rund 500 Unternehmen anschreiben und verbindlich zur Beantwortung eines Fragebogens auffordern.

Ein wichtiges Ziel der Prüfung liegt in der Sensibilisierung der Unternehmen für Datenübermittlungen in Länder außerhalb der Europäischen Union. Die Erfahrung der Aufsichtsbehörden zeigt, dass sich Unternehmen nicht immer bewusst sind, dass sie überhaupt Daten in Drittstaaten, wie beispielsweise die USA, übermitteln. In den letzten Jahren haben grenzüberschreitende Übermittlungen von personenbezogenen Daten in der Privatwirtschaft aber massiv zugenommen. Zu den Ursachen dieser Entwicklung zählen neben der wirtschaftlichen Globalisierung vor allem die stetige Ausbreitung von Dienstleistungen und Produkten des sog. Cloud-Computing. Selbst kleinere und mittlere deutsche Unternehmen verarbeiten dadurch häufig personenbezogene Daten (z. B. von Kunden, Mitarbeitern oder Bewerbern) auf Servern externer Dienstleister. Ein klassisches Beispiel hierfür sind Office- Anwendungen, die standortunabhängig über das Internet in Anspruch genommen werden können.

Viele dieser Dienste stammen jedoch von US-Unternehmen und setzen deshalb meist die Übermittlung personenbezogener Daten in die USA und/oder in andere Drittstaaten voraus. Dies ist nur zulässig, wenn das Unternehmen im Vorfeld geprüft hat, ob ein angemessener Schutz dieser Daten auch nach der Übermittlung im Zielland sichergestellt ist.

Um Unternehmen das Auffinden solcher Übermittlungen zu erleichtern, wird im Laufe der Prüfung u. a. gezielt nach dem Einsatz von Produkten und Leistungen externer Anbieter gefragt, die – nach bisherigen Erfahrungen der Aufsichtsbehörden – mit einer Übermittlung personenbezogener Daten in Drittstaaten verbunden sind. Werden tatsächlich personenbezogene Daten übermittelt, wird auch nach der datenschutzrechtlichen Grundlage dieser Übermittlungen gefragt.

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern, Reinhard Dankert, dazu: „Ich gehe davon aus, dass die angeschriebenen Unternehmen die Prüfaktion auch als Chance verstehen, datenschutzrelevante Prozesse im Unternehmen weiter zu verbessern, um rechtlichen Anforderungen zu genügen. Mit der Teilnahme an dieser koordinierten Prüfung möchte ich dazu beitragen, dass auch die Unternehmen in Mecklenburg-Vorpommern fit sind für den Schutz personenbezogener Daten – insbesondere mit Blick auf die Europäische Datenschutz-Grundverordnung.“