24.11.2016

Achtung: Kontrolle von Unternehmen zum Datentransfer ins Ausland

Die Datenschutzbehörden der Länder kontrollieren stichprobenartig deutsche Unternehmen im Hinblick auf Datentransfers in sogenannte Drittstaaten. Ist auch Ihr Unternehmen betroffen?

Die Übermittlung von personenbezogenen Daten ist als Unterfall der Verarbeitung von Daten nach dem Grundsatz des Verbotes mit Erlaubnisvorbehalt danach zu beurteilen, ob die Einwilligung des Betroffenen oder eine gesetzliche Erlaubnisnorm gegeben ist. Als gesetzliche Erlaubnisnorm kommt hier § 11 BDSG ins Spiel, wonach im Fall der Auftragsdatenverarbeitung der Empfänger der Daten nicht als „Dritter“, sondern quasi als verlängerter Arm des datenverarbeitenden Unternehmens anzusehen ist.

Der Datentransfer innerhalb Deutschlands und auch der innerhalb des EWR ist insofern „privilegiert“, als dass durch Abschluss eines entsprechenden Auftragsdatenverarbeitungsvertrages hier keine Übermittlung von Daten an Dritte gegeben ist.

Diese Privilegierung entfällt, wenn es um Datentransfer ins EWR Ausland geht und diese Staaten kein vergleichbares Datenschutzniveau aufweisen.

Sollen Daten in solche Drittstaaten übermittelt werden, gilt es ein angemessenes Datenschutzniveau beim Empfänger der Daten zu gewährleisten. Diese Gewährleistung ist nach dem Wegfall des Safe Harbor Abkommens insbesondere mit den USA noch immer nicht abschließend sichergestellt. Zwar ist mit dem „EU-US Privacy Shield“ kürzlich ein Folgeabkommen verabschiedet worden, jedoch leidet auch dieses nach Ansicht vieler Datenschützer an den selben rechtlichen Schwachstellen wie zuvor das Safe Harbor Abkommen und es ist bereits eine Klage auch gegen diese Abkommen beim EuG  anhängig.

In praktischer Hinsicht bleiben daneben die EU-Standardvertragsklauseln, Binding Corporate Rules (BCR) und die Einwilligung der Betroffenen als weitere legitimationsmittel übrig. Erstere sind auch sind nicht über jeden Zweifel erhaben (auch gegen die EU-Standardvertragsklauseln ist eine Klage anhängig) und die Einwilligung ist in den meisten Fällen nicht praxisrelevant.

Was die EU-Standardvertragsklauseln angeht, so befinden sich die Beschlüsse zu diesen zusammen mit den Beschlüssen zu den Angemessenheitsentscheidungen zum Schutzniveau für personenbezogene Daten in Drittstaaten aktuell in der Überprüfung durch die Europäische Kommission. Mitte Oktober verkündete der Artikel 31 Ausschuss – der zuletzt für den Erlass des Privacy Shield zuständig war, dass nach seiner Ansicht die Standardvertragsklauseln in ihrer jetzigen Form rechtswidrig seien. Am 15.November traf man sich, um die Änderungsentwürfe zu den Standardvertragsklauseln zu diskutieren. Insbesondere sollen auch die Kontrollrechte der nationalen Datenschutzbehörden im Hinblick auf die Angemessenheitsentscheidung gestärkt werden. Es wird erwartet, dass noch in diesem Jahr angepasste EU-Standardvertragsklauseln (Controller-Processor) veröffentlicht werden.

Die Datenübermittlung zu Unternehmen in die USA und andere Drittstaaten ist demnach weiterhin ein rechtlich heikles Thema und es herrscht bei vielen Unternehmen die auf solche Datenübermittlungen „angewiesen“ sind große Unsicherheit.

Kostenfreie Expertise im E-Mail-Postfach

Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.

Bitte rechnen Sie 6 plus 3.

Mit Klick auf den Button stimmen Sie dem Versand unseres Newsletters und der aggregierten Nutzungsanalyse (Öffnungsrate und Linkklicks) zu. Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink im Newsletter. Mehr Informationen: Datenschutzerklärung.

Da kommt die Nachricht, dass aktuell einige Datenschutzaufsichtsbehörden in Deutschland diese Auslandsübermittlungen unter die Lupe nehmen möchten, nicht gerade wie gerufen.

Anfang November wurde bekannt, dass auf Initiative des Hamburger Beauftragten für Datenschutz die Datenschutzaufsichtsbehörden der Länder Bayern, Berlin, Bremen Mecklenburg-Vorpommern, Saarland, Niedersachsen, Sachsen-Anhalt, Rheinland-Pfalz und Nordrhein-Westfalen Fragebögen zu Datentransfers ins Ausland, insbesondere die USA, an 500 Unternehmen in Deutschland verschicken. In diesen Fragebögen werden die betreffenden Unternehmen zu den durch sie ins EWR-Ausland transferierten Daten befragt und insbesondere die Anwendung der einschlägigen, zuvor dargestellten Rechtsgrundlagen, für diese Übermittlung überprüft.

Unternehmen, auch wenn sie nicht in den „Genuss“ dieses Fragebogens gekommen sein sollten, sollten die aktuelle Lage nutzen, um ihre Datentransfers und die insbesondere die Empfänger dieser Daten zu prüfen. Gerade im Hinblick auf die im Mai 2018 wirksam werdende EU-Datenschutzgrundverordnung mit ihren weitreichenden Änderungen und höheren Bußgeldern bei Datenschutzverstößen, so insbesondere auch bei unzulässigen Datentransfers ins EWR-Ausland, ist eine lückenlose Compliance, durch saubere vertragliche Vereinbarungen, in diesem Bereich unerlässlich. Gerne sind wie Ihnen bei der Feststellung Ihres Ist-Zustandes und der Umsetzung der gesetzlichen Anforderungen behilflich.

Weitere Neuigkeiten

24.07.2024

Windows-Ausfall durch CrowdStrike-Update öffnete Tür und Tor für Betrüger

Vielen Experten zufolge war es der größte IT-Ausfall der Geschichte. Am 19. Juli 2024 stieß CrowdStrike auf ein bedeutendes Problem mit einem Inhaltsupdate für seinen Falcon-Sensor auf Windows-Betriebssystemen. Dieses Update verursachte unerwartetes Systemverhalten, das insbesondere zu Blue-Screen-Fehlern (BSOD) auf den betroffenen Windows-Systemen führte. Viele Betrüger nutzen diesen Ausfall sofort aus. CrowdStrike reagierte schnell und stellte einen Fix bereit, um das Problem zu beheben und negative Auswirkungen auf die Betriebsabläufe ihrer Kunden zu minimieren.

Weiterlesen …

17.07.2024

Neue Regelungen für Ihr ISMS: Diese gesetzlichen Anforderungen muss Ihre IT-Sicherheit erfüllen

In den letzten Jahren haben zahlreiche neue gesetzliche Regelungen zur IT-Sicherheit Unternehmen vor erhebliche Herausforderungen gestellt. Diese Gesetze fordern von Unternehmen umfassende Maßnahmen zur Sicherung ihrer IT-Infrastruktur und Daten. Angesichts dieser wachsenden Anforderungen bietet sich die Einführung eines Informationssicherheits-Managementsystems (ISMS) an. Ein ISMS hilft nicht nur dabei, die gesetzlichen Anforderungen zu erfüllen, sondern trägt auch zur Verbesserung der allgemeinen Sicherheitslage eines Unternehmens bei.

Weiterlesen …

09.07.2024

NIS2-Richtlinie: Machen Sie Ihr Unternehmen fit für Oktober 2024 – mit unserem Leitfaden zum Download

Mit der nahenden Deadline im Oktober 2024 für die nationale Umsetzung der Network and Information Security (NIS) Directive 2 (NIS2) stehen schätzungsweise 30.000 deutsche Unternehmen vor der Herausforderung, gesetzliche Vorgaben zu erfüllen und die Sicherheit ihrer Informationstechnologie nachhaltig zu verbessern. In diesem Zusammenhang bieten wir umfassende Lösungen an, die darauf ausgerichtet sind, Ihr Unternehmen durch maßgeschneiderte Risikoanalysen, die Implementierung fortschrittlicher Cyber-Risikomanagementpraktiken und robuste Geschäftskontinuitätspläne auf den neuesten Stand der Technik zu bringen.

Weiterlesen …