Der Großteil der deutschen Datenschutzbehörden wird in den kommenden Wochen Unternehmen dazu befragen, wie personenbezogene Daten in Länder außerhalb der Europäischen Union übermittelt werden. Dies wird nicht nur große, sondern auch mittlere und kleine Unternehmen betreffen.

adv_check_behoerden

Anfang November meldete der Hamburgische Datenschutzbeauftragte, dass er gemeinsam mit den Datenschutzbehörden aus Bayern, Berlin, Bremen, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland und Sachsen-Anhalt in den kommenden Wochen Unternehmen einen Fragebogen zur Datenübermittlung schicken wird. Mit diesem Fragebogen verlangen die Datenschutzbehörden Auskunft über den Datentransfer in Staaten außerhalb der EU, insbesondere in die USA. Dabei wird auch danach gefragt, auf welcher Grundlage Datentransfers erfolgen. Zudem müssen die Unternehmen angeben, welche Arten von Datenübertragung sie nutzen, beispielsweise Cloud-Dienste, Customer-Relationship-Management, Kommunikationsdienste oder Ticket-Systeme.

Rechtlich zulässige Formen der Datenübertragung
Beim Transfer personenbezogener Daten in Staaten außerhalb der EU, aber auch beim Zugriff auf in EU-Staaten gespeicherte Daten aus dem Ausland müssen Unternehmen sicherstellen, dass in dem betreffenden Staat ein angemessenes Datenschutzniveau besteht. Die EU-Kommission hat eine Liste mit Staaten veröffentlicht, in denen dies der Fall ist. In der Praxis spielt insbesondere der Datentransfer in die USA eine bedeutende Rolle. Dafür steht seit kurzer Zeit das EU-US Privacy Shield zur Verfügung.

EU-US Privacy Shield
Der Safe Harbor-Nachfolger ermöglicht es, personenbezogene Daten an Unternehmen in die USA zu übermitteln, sofern diese unter dem EU-US Privacy Shield zertifiziert sind. Die aktuelle Liste der Unternehmen kann über eine Webseite des US-amerikanischen Handelsministeriums abgerufen werden. Mit Diensten wie Amazon mit den Amazon Web Services, Google , Facebook oder Slack kann bereits über das Privacy Shield ein Datenaustausch erfolgen.

Die Umstellung auf das Privacy Shield macht es teilweise auch erforderlich, bestehende Verträge zu ändern. So muss aktuell die Auftragsdatenverarbeitung zu Google Analytics erneuert werden.

Standardvertragsklauseln
Sofern keine Zertifizierung nach dem Privacy Shield vorliegt, können Standardvertragsklauseln (Model Contract Clauses) genutzt werden. Standardvertragsklauseln sind aber auch zulässig, wenn das Unternehmen unter das Privacy Shield fällt. So bieten beispielsweise die Amazon Web Services neben dem Privacy Shield auch Standardvertragsklauseln an.

Binding Corporate Rules
Eine weitere Möglichkeit sind sogenannte Binding Corporate Rules (BCR). Sie erlauben flexible und individuell an den Konzern angepasste Regelungen, allerdings dauert die Einführung recht lange, da die Datenschutzbehörden zu beteiligen sind. Zu den Anforderungen haben die europäischen Datenschutzbehörden hilfreiche Dokumente veröffentlicht.

Einwilligung
Zuletzt besteht auch die Möglichkeit, Einwilligungen der Personen einzuholen, die von der Datenübermittlung betroffen sind. Dies ist aber insbesondere bei großen Datenmengen wenig praktikabel.

Compliance-Prüfung
Unternehmen sollten die aktuellen Kontrollen der Datenschutzbehörden zum Anlass nehmen, die Datenverarbeitungsvorgänge nochmals einer Prüfung zu unterziehen. Dies nimmt meist viel Zeit in Anspruch, da innerhalb eines Unternehmens eine Vielzahl unterschiedlicher Programme genutzt wird. Angesichts der drohenden Bußgelder und der negativen Auswirkungen auf die Reputation lohnt sich die Investition in Datenschutz-Compliance. Die Partner der Datenschutzkanzlei leisten hierbei gerne rechtliche Unterstützung.


Verfasser: Malte Kröger ( (juristischer Mitarbeiter der Datenschutzkanzlei)