Zehn deutsche Datenschutzaufsichtsbehörden (Bayern, Berlin, Bremen, Hamburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland und Sachsen Anhalt) haben im Rahmen ihrer jeweiligen, bereits am 3. November 2016 erschienenen Pressemitteilungen darüber informiert, dass es in den nächsten Wochen eine koordinierte schriftliche Prüfaktion zur Datenübermittlung in Nicht-EU-Staaten geben wird.
- Das Thema ist für Unternehmen insbesondere auch dann praxisrelevant, wenn sie beispielsweise Cloud-Dienste amerikanischer Anbieter oder Webanalysetools nutzen, in deren Rahmen ein transatlantischer Datentransfer stattfindet.
Von der Prüfung sollen rund 500 Unternehmen betroffen sein, die nach dem Zufallsprinzip ausgewählt wurden. Nach den Pressemitteilungen der Aufsichtsbehörden wurde hierbei Wert darauf gelegt, Unternehmen unterschiedlicher Größenordnungen und verschiedener Branchen einzubeziehen.
Hintergrund der Prüfaktion ist ausweislich der Pressemitteilungen somit auch die massive Zunahme grenzüberschreitender Übermittlungen von personenbezogenen Daten. Als Ursachen dieser Entwicklung werden vor allem die wirtschaftliche Globalisierung wie auch die weit verbreitete Nutzung von Cloud-Computing-Diensten ausgemacht. Die bisherige Erfahrung der Datenschutzaufsichtsbehörden zeige, dass Unternehmen, die Cloud-Computing-Produkte nutzen, oftmals nicht wissen, dass eine Übermittlung personenbezogener Daten ins EU/ EWR – Ausland stattfinde. Die entsprechenden datenschutzrechtlichen Voraussetzungen würden in der Folge auch nicht beachtet. Das deutsche Datenschutzrecht sieht vor, dass Unternehmen bei der Übermittlung von Daten ins EU/ EWR – Ausland ein angemessenes Datenschutzniveau sicherstellen müssen (§§ 4b, 4c BDSG).
Die durchzuführende Prüfaktion soll dabei vor allem der Sensibilisierung von Unternehmen gerade für solche Verarbeitungsprozesse dienen, bei denen personenbezogene Daten in Länder außerhalb der EU und des EWR übermittelt werden. Im Rahmen der schriftlichen Prüfung sollen Unternehmen aufgefordert werden, anzugeben, auf welcher datenschutzrechtlichen Grundlage die Übermittlungen erfolgen (also EU-US Privacy Shield, EU-Standardvertragsklauseln, Binding Corporate Rules oder Einwilligung). Ausgehend von der Beantwortung des Fragebogens soll auch eine tiefergehende Prüfung möglich sein.
Weiterführende Informationen
tw
Weitere aktuelle Nachrichten
-
Rückblick: Online-Veranstaltung zum BGH-Urteil „klimaneutral“ und künftiger Regulierung von Green Claims
-
BGH untersagt Werbung mit „klimaneutral“ – Wettbewerbszentrale setzt sich mit Forderung nach Erläuterung von Green Claims durch
-
LG München I: Kündigungsformular hinter Login ist unzulässig
-
Update: „Ärzte-Siegel“-Verfahren der Wettbewerbszentrale beim OLG München – Termin zur mündlichen Verhandlung aufgehoben
-
EuGH entscheidet im Verfahren der Wettbewerbszentrale: Keine Werbung für Desinfektionsmittel mit „hautfreundlich“