klar

03.11.2016

LfD-Logo


Niedersachsen prüft den Einsatz
von Cloud Computing und anderer
grenzüberschreitender Datenübermittlung


Gemeinsam mit neun anderen deutschen Datenschutzaufsichtsbehörden nimmt die Landesbeauftragte für den Datenschutz Niedersachsen den Einsatz von Cloud Computing und andere Übermittlungen personenbezogener Daten in das Nicht-EU-Ausland in den Fokus. Die in dieser Woche beginnende Schwerpunktprüfung soll insbesondere die Unternehmen dafür sensibilisieren, dass durch den Einsatz vieler gängiger IT-Anwendungen eine Daten-übermittlung in Drittländer stattfindet, was einer gesonderten Rechtsgrundlage bedarf.

In den letzten Jahren sind grenzüberschreitende Übermittlungen von personenbezogenen Daten in der Privatwirtschaft eher die Regel als die Ausnahme. Zu den Ursachen dieser Entwicklung zählen die wirtschaftliche Globalisierung wie auch die stetige Ausbreitung von Dienstleistungen und Produkten des sog. Cloud Computing. Selbst viele kleinere und mittlere Unternehmen in Deutschland verarbeiten inzwischen zahlreiche personenbezogene Daten (z. B. von Kunden, Mitarbeitern oder Bewerbern) häufig auf Servern externer Dienstleister, oft außerhalb der Europäischen Union. Dies ist vor allem bei Angeboten wie dem sog. Software as a Service der Fall. Ein klassisches Beispiel hierfür sind Office-Anwendungen „aus dem Internet", die standortunabhängig und flexibel genutzt werden können. Viele dieser Dienste stammen von US-Unternehmen und setzen deshalb meist die Übermittlung personenbezogener Daten in die USA und/oder in andere Nicht-EU-Staaten voraus. Die bisherige Erfahrung der Datenschutzaufsichtsbehörden zeigt, dass sich Unternehmen bei Nutzung solcher Produkte nicht immer der Tatsache bewusst sind, dass dadurch eine Übermittlung personenbezogener Daten in Nicht-EU-Staaten stattfindet und entsprechende datenschutzrechtliche Konsequenzen daraus resultieren.

Möchte ein Unternehmen personenbezogene Daten in Länder außerhalb der Europäischen Union übermitteln, so muss es zuerst prüfen, ob überhaupt sichergestellt werden kann, dass die Daten auch nach der Übermittlung noch angemessen geschützt bleiben - andernfalls muss die Übermittlung unterbleiben. Entscheidend ist daher, im Unternehmen frühzeitig eine Sensibilisierung dafür zu erzeugen, ob und ggf. im Rahmen welcher Verarbeitungen das Unternehmen personenbezogene Daten in Nicht-EU-Staaten übermitteln möchte oder vielleicht sogar bereits übermittelt. Finden solche Übermittlungen statt, so muss sich das Unternehmen zwingend Gedanken machen, inwieweit diese auf eine datenschutzrechtliche Grundlage gestützt werden können oder nicht.

Vor diesem Hintergrund werden zehn deutsche Datenschutzaufsichtsbehörden (Bayern, Berlin, Bremen, Hamburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland und Sachsen-Anhalt) in den nächsten Wochen eine koordinierte schriftliche Prüfungsaktion zur Abfrage von Übermittlungen personenbezogener Daten durch nicht-öffentliche Stellen, d. h. insbesondere Unternehmen, in Nicht-EU-Staaten durchführen. Im Rahmen der Prüfung werden rund 500 Unternehmen angeschrieben, die nach dem Zufallsprinzip ausgewählt wurden. Die Aufsichtsbehörden haben dabei Wert darauf gelegt, Unternehmen unterschiedlicher Größenordnungen und verschiedener Branchen einzubeziehen.

Ein wichtiges Ziel der Prüfung liegt in der Sensibilisierung der Unternehmen für Datenübermittlungen in Länder außerhalb der Europäischen Union. Um Unternehmen das Auffinden solcher Übermittlungen zu erleichtern, wird auch gezielt nach dem Einsatz von Produkten und Leistungen externer Anbieter gefragt, die - nach bisherigen Erfahrungen der Aufsichtsbehörden - mit einer Übermittlung personenbezogener Daten in Nicht-EU-Staaten verbunden sind. Gefragt wird zum Beispiel nach der Inanspruchnahme externer Leistungen und Produkte in Bereichen wie Fernwartung, Support, Ticketing-Bearbeitung, aber auch Customer Relationship Management oder Bewerbermanagement. Die Unternehmen werden dann aufgefordert, die entsprechenden von ihnen genutzten Dienstleistungen und Produkte konkret zu nennen.

Sofern personenbezogene Daten in Nicht-EU-Staaten übermittelt werden, sind die kontrollierten Unternehmen darüber hinaus aufgefordert anzugeben, auf welcher datenschutzrechtlichen Grundlage die Übermittlungen erfolgen. Mitgeteilt werden muss bspw., ob für das Zielland durch Beschluss der Europäischen Kommission ein angemessenes Datenschutzniveau anerkannt ist (dazu zählt auch der sog. EU-U.S. Privacy Shield), ob Standardvertragsklauseln als Grundlage verwendet werden, ob die Übermittlungen auf Einwilligungen der Betroffenen gestützt werden o.a.
„Jedes Unternehmen muss ein vollständiges Bild über seine internationalen Datentransfers haben", so Barbara Thiel, LfD Niedersachsen. „Die Sicherstellung der datenschutzrechtlichen Anforderungen sollte deshalb integraler Bestandteil der Compliance sein!"



Die Landesbeauftragte für den Datenschutz Niedersachsen
Prinzenstraße 5
30159 Hannover
Telefon 0511 120-4500
Fax 0511 120-4599
E-Mail an Ansprechpartner schreiben




Presse
Artikel-Informationen

03.11.2016

zum Seitenanfang
zur mobilen Ansicht wechseln