Die Datenschutzaufsichtsbehörden von neun Bundesländern, darunter auch Nordrhein-Westfalen und Rheinland-Pfalz, gehen in einer koordinierten schriftlichen Prüfungsaktion vor und sind dabei, rund 500 Unternehmen anzuschreiben und verbindlich zur Beantwortung eines Fragebogens aufzufordern.
Das wichtigste Ziel der Prüfung liegt dabei in der Sensibilisierung der Unternehmen für Datenübermittlungen in Länder außerhalb der Europäischen Union.
Zwar sind sich viele Unternehmen bereits der Bedeutung des Datenschutzes in Europa und insbesondere in Deutschland bewusst und legen in den eigenen betrieblichen Abläufen hierauf Wert (etwa in der Personalverwaltung), ein ausgeprägtes Bewusstsein für die Problematik bei der Nutzung von informationstechnologischen (Dritt-)Diensten ist jedoch noch nicht gebildet.
Dies mag auch daran liegen, dass eigene IT-Abteilungen oftmals nicht unterhalten und stattdessen Dienste ausgelagert werden (wie z.B. die Softwareanschaffung und -verwaltung). Werden diesen Drittunternehmen nicht auch explizit datenschutzrechtliche Pflichten auferlegt, haben diese freilich wenig Anlass, sich auch um diesen Aspekt zu kümmern.
Das Problem bei der rechtskonformen Datenübertragung liegt hierbei in den hohen Hürden, die einer Übermittlung von personenbezogenen Daten ins Nicht-EU-Ausland gegenüberstehen.
Zum „Datenexport“ ist dabei auf der ersten Stufe zunächst – wie bei allen datenschutzrechtlich relevanten Vorgängen – entweder die Einwilligung der betroffenen Person oder aber eine datenschutzrechtliche Grundlage erforderlich.
Sodann muss auf der zweiten Stufe festgestellt werden, ob das Zielland ein angemessenes Datenschutzniveau unterhält. Dies ist beispielsweise gegeben, wenn dieser Umstand durch Beschluss der europäischen Kommission anerkannt wird (dazu zählt auch das neue Abkommen mit den USA, der sogenannte EU-U.S. Privacy Shield). Wird durch die Drittstaaten ein angemessenes Datenschutzniveau nicht gewährleistet, müssen mit dem Vertragspartner individuelle Regelungen über die Datensicherheit getroffen werden, bestenfalls über die Standardvertragsklauseln, die von der Europäischen Union bereitgestellt werden.
Sorgfältig ausformulierte vertragliche Vereinbarungen können insofern auch eine etwaig erforderliche Interessenabwägung, über das „ob“ in der Datenverarbeitung, auf der ersten Stufe zu Gunsten des Unternehmens entscheiden.
Problematische und damit regelmäßig regelungsbedürftige Bereiche bei der Datenübermittlung sind insbesondere das sogenannte „Cloud-Computing“ und die „software as a service“-Fälle (z.B. MS Office 365). Die vorgenannten Datenspeicher oder standortunabhängigen Softwaresysteme lagern die Nutzerdaten regelmäßig in den USA. Hierbei müssen die oben genannten Voraussetzungen geprüft werden, insbesondere ob der „EU-U.S. Privacy Shield“ Anwendung findet.
Besondere Obacht ist auch bei der Datenübermittlung zwischen Konzernunternehmen geboten, da diese nicht – wie oftmals fälschlich gedacht – grundsätzlich privilegiert ist.
Nicht nur aufgrund der sich ausweitenden Aktivitäten der Datenschutzaufsichtsbehörden und der (teils drakonischen) Strafen bei Verstößen gegen das BDSG, sondern auch aufgrund des erhöhten Stellenwerts des Datenschutzes in der Gesellschaft und dem negativen Markeneffekt bei dem Bekanntwerden von Verstößen, sollten Unternehmen die eigenen Datenübermittlungen rechtskonform ausgestalten und den Umgang mit personenbezogenen Daten unternehmensintern prüfen lassen.