Deutsche Datenschutzbehörden verschicken Fragebögen zum internationalen Datentransfer
Die deutschen Datenschutzbehörden versenden im Moment an 500 Unternehmen Fragebögen zum Datentransfer ins Ausland. Die Behörden begründen das damit, auf Grund der wirtschaftlichen Globalisierung, aber auch durch das Cloud Computing würden immer mehr Daten an Empfänger im Ausland übermittelt.
Wer ist betroffen?
Die Anfragen der Behörden können jedes Unternehmen treffen. Tochtergesellschaften von US-Unternehmen oder andere konzernangehörige Unternehmen senden regelmäßig Daten an die Konzernmütter. Auch Handelsunternehmen tauschen Daten mit Geschäftspartnern in den USA, Asien oder anderen Staaten außerhalb der EU aus.
Die Fragebogenaktion zielt aber auch auf kleinere und mittlere Unternehmen ab, die Cloud-Dienste nutzen. Da die Daten in Rechenzentren gelangen und viele Cloud-Anbieter aus den USA stammen, kann es zu Datentransfer ins Ausland kommen. In der Pressemitteilung der bayrischen Datenschutzbehörde wird offen gesagt, dass Unternehmen betroffen sein können, die Office Anwendungen aus der Cloud nutzen.
Datenexport außerhalb Europas
Personenbezogene Daten dürfen nur dann außerhalb des Europäischen Wirtschaftsraums (EU plus Island, Liechtenstein und Norwegen) exportiert werden, wenn bestimmte Voraussetzungen vorliegen.
Die wichtigste Rechtsgrundlage für den Datenaustauch mit den USA war das Safe Harbor Programm. Im Oktober 2015 hat der Europäische Gerichtshof dieses Pro-gramm für unwirksam erklärt. Seitdem haben die EU und die US-Regierung sich auf den so genannten Privacy Shield verständigt. Die EU Kommission hat den Privacy Shield im Juli 2016 anerkannt. Wer den Datentransfer hierauf stützen will, muss aber genau prüfen, ob die Voraussetzungen vorliegen. Eine andere Möglichkeit ist es, EU-Standardvertragsklauseln zu schließen.
Die deutschen Datenschutzbehörden sehen Datentransfer in Staaten außerhalb Europas zunehmend kritisch. Das gilt vor allem auch für den Datentransfer in die USA.
Wie sollte man sich verhalten?
Bereits Anfang 2016 haben deutsche Datenschutzbehörden damit begonnen, Unternehmen anzuschreiben und sie nach dem Datentransfer ins Ausland zu befragen. Anschließend wurden gegen einige Unternehmen Verfahren eingeleitet. Es wurden sogar Bußgelder wegen rechtswidriger Datenübermittlung verhängt. Solche Bußgelder können bis zu 300.000,00 EUR betragen.
Unternehmen, die den Fragebogen erhalten haben, müssen damit rechnen, dass auch gegen sie Verfahren eingeleitet werden. Daher muss man den Fragebogen sorgfältig prüfen. Stellt man bei der internen Untersuchung fest, dass rechtliche Probleme bestehen, ist zügiges Handeln geboten.
Arnd Böken, Rechtsanwalt und Partner
Berlin