Cloud Computing im Visier der Datenschutzbehörden – Fragenkatalog zu grenzüberschreitenden Datentransfers vorgelegt

von Jan Spittka und Jan Pohle

Die Übermittlung personenbezogener Daten ins Nicht-EU-Ausland ist keine Seltenheit und hat nach Auffassung der deutschen Datenschutzbehörden in den letzten Jahren massiv zugenommen. Besonders das Cloud Computing führt zu einer internationalen Vernetzung von Datenbeständen. Rechtsfragen auf diesem Gebiet rücken nun in den Fokus der Datenschutzbehörden.

In einer Presserklärung vom 3. November 2016 wurde nun eine koordinierte Prüfung dieser Datentransfers durch 10 deutsche Aufsichtsbehörden angekündigt. Zu diesem Zweck verschicken die Datenschutzbehörden Fragebögen an 500 zufällig ausgewählte Unternehmen unterschiedlicher Größe und  aus verschiedenen Branchen. Gefragt wird nach der Inanspruchnahme externer Dienstleistungen, wobei die genutzten Produkte und Dienstleistungen konkret benannt werden müssen. Der Fragenkatalog ist nach typischen Einsatzgebieten von grenzüberschreitender Software gegliedert und  umfasst u.a. Fragen zu konzerninternen Transfers, Support, Marketing, Compliance oder Cloud-Speicherlösungen. Findet grenzüberschreitende Datenverarbeitung statt, müssen die Rechtsgrundlagen benannt werden.

English Summary

While Cloud Computing and other types of trans-border transfers are nowadays vitally important for data processing, the transfer of personal data to third countries (i.e. non-EU/EEA countries) is subject to specific requirements under European data protection law. The data controller, e.g. the company transferring personal data to its affiliates or service providers, must ensure an adequate level of data protection, according to the EU Data Protection Directive (Directive 95/46/EC). Trans-border flows of personal data are now reviewed by German Data Protection Agencies (DPAs).

On 3 November 2016, ten German DPAs made a statement to the press, explaining that the transfer of personal data has increased strongly over the last years. In order to raise awareness of the legal frame regarding cross-border data transfers, a questionnaire will be send to 500 German companies of all size and with various fields of activity. Both management and companies´ data protection officer shall sign the questionnaire. The companies are expected to specify which services and products used by them require cross-border data transfer. The questionnaire contains in particular inquiries relating to marketing, recruiting, cloud storage, internal communication systems, and intra-group data transfer. The legal ground for each data transfer must be communicated.

(Please click here for full English version)

Hintergrund

Nach geltendem detuschen und EU-Datenschutzrecht ist eine Datenübermittlung ins außereuropäische Ausland nur unter strengen Voraussetzungen zulässig. Für die praktisch besonders wichtige Datenübertragung in die USA steht u.a. der EU-U.S. Privacy Shield zur Verfügung. Daneben kommen Standardvertragsklauseln sowie Binding Corporate Rules in Betracht. Durch Beschluss der EU-Kommission kann zudem ein Land zu einem Drittstaat mit angemessenem Datenschutzniveau erklärt werden. Nach Auffassung der deutschen Datenschutzbehörden bemühen sich Unternehmen noch nicht stark genug um die Einhaltung dieser Vorschriften.

Ziel der Aktion ist die Sensibilisierung der Wirtschaft für den Datenschutz bei grenzüberschreitenden Datenübermittlungen. Wie aus der Presseerklärung der bayerischen Datenschutzbehörde hervorgeht, sollen die Antworten in den Fragebögen verglichen werden und als Diskussionsgrundlage für das weitere Vorgehen dienen. Je nach den Ergebnissen der Untersuchung wird bei einzelnen Unternehmen eine vertiefte Prüfung in Betracht gezogen werden.

Auswirkungen in der Praxis:

  • Unternehmen müssen genaue Auskunft zur Datenübertragung in Drittstaaten erteilen.
  • Zur Auskunft gehört auch die konkrete Angabe von genutzten Dienstleistungen und Produkten, welche einen Datentransfer erforderlich machen.
  • In Zukunft müssen Unternehmen damit rechnen, dass stärker auf die Einhaltung der Datenschutzstandards bei grenzüberschreitenden Transfers geachtet wird.
  • Weitere Untersuchungen bis hin zu Bußgeldverfahren sind denkbar. Im schlimmsten Falle droht ein Bußgeld in Höhe von bis zu 300.000 €.