Zehn deutsche Datenschutzaufsichtsbehörden (Bayern, Berlin, Bremen, Hamburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland und Sachsen Anhalt) haben im Rahmen ihrer jeweiligen, bereits am 3. November 2016 erschienenen Pressemitteilungen darüber informiert, dass es in den nächsten Wochen eine koordinierte schriftliche Prüfaktion zur Datenübermittlung in Nicht-EU-Staaten geben wird.
- Das Thema ist für Unternehmen insbesondere auch dann praxisrelevant, wenn sie beispielsweise Cloud-Dienste amerikanischer Anbieter oder Webanalysetools nutzen, in deren Rahmen ein transatlantischer Datentransfer stattfindet.
Von der Prüfung sollen rund 500 Unternehmen betroffen sein, die nach dem Zufallsprinzip ausgewählt wurden. Nach den Pressemitteilungen der Aufsichtsbehörden wurde hierbei Wert darauf gelegt, Unternehmen unterschiedlicher Größenordnungen und verschiedener Branchen einzubeziehen.
Hintergrund der Prüfaktion ist ausweislich der Pressemitteilungen somit auch die massive Zunahme grenzüberschreitender Übermittlungen von personenbezogenen Daten. Als Ursachen dieser Entwicklung werden vor allem die wirtschaftliche Globalisierung wie auch die weit verbreitete Nutzung von Cloud-Computing-Diensten ausgemacht. Die bisherige Erfahrung der Datenschutzaufsichtsbehörden zeige, dass Unternehmen, die Cloud-Computing-Produkte nutzen, oftmals nicht wissen, dass eine Übermittlung personenbezogener Daten ins EU/ EWR – Ausland stattfinde. Die entsprechenden datenschutzrechtlichen Voraussetzungen würden in der Folge auch nicht beachtet. Das deutsche Datenschutzrecht sieht vor, dass Unternehmen bei der Übermittlung von Daten ins EU/ EWR – Ausland ein angemessenes Datenschutzniveau sicherstellen müssen (§§ 4b, 4c BDSG).
Die durchzuführende Prüfaktion soll dabei vor allem der Sensibilisierung von Unternehmen gerade für solche Verarbeitungsprozesse dienen, bei denen personenbezogene Daten in Länder außerhalb der EU und des EWR übermittelt werden. Im Rahmen der schriftlichen Prüfung sollen Unternehmen aufgefordert werden, anzugeben, auf welcher datenschutzrechtlichen Grundlage die Übermittlungen erfolgen (also EU-US Privacy Shield, EU-Standardvertragsklauseln, Binding Corporate Rules oder Einwilligung). Ausgehend von der Beantwortung des Fragebogens soll auch eine tiefergehende Prüfung möglich sein.
Weiterführende Informationen
tw
Weitere aktuelle Nachrichten
-
Wettbewerbszentrale setzt Werbekennzeichnung im Influencer-Marketing durch
-
OLG Hamm: Unternehmen haftet für Fehler in Google Shopping-Anzeige
-
BMJ veröffentlicht Diskussionsentwurf zur Umsetzung der EmpCo-Richtlinie – Werbung mit Green Claims wird reguliert
-
Wettbewerbszentrale beanstandet Verlängerung einer zeitlich begrenzten Rabattaktion eines Online-Möbelhändlers als wettbewerbswidrig
-
BGH schafft Klarheit: Verkauf von Dekoartikeln durch Gartencenter an Sonntagen ist zulässig