Zehn Datenschutzaufsichtsbehörden (Bayern, Berlin, Bremen, Hamburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland und Sachsen-Anhalt) haben mit einer koordinierten schriftlichen Prüfung zum Thema Datenübermittlung in Nicht-EU-Staaten begonnen.

Im Rahmen der Prüfung sollen rund 500 Unternehmen angeschrieben werden, die nach dem Zufallsprinzip ausgewählt wurden. Die Aufsichtsbehörden haben – eigenen Angaben zu Folge – dabei Wert darauf gelegt, Unternehmen unterschiedlicher Größenordnungen und aus verschiedenen Branchen einzubeziehen.

Hintergrund der Prüfung ist die Pflicht eines jeden Unternehmens vor der Übermittlung von Daten in das Nicht-EU-Ausland zu überprüfen, ob die Daten nach ihrer Übertragung angemessen geschützt sind. Ziel der Prüfung soll eine frühzeitige Sensibilisierung der Unternehmen darauf sein, wann und wie eigentlich personenbezogene Daten in das Ausland übermittelt werden. Die Erfahrung der Behörden zeigt, dass vielen Unternehmen gar nicht bewusst ist, dass bei der Inanspruchnahme externer Dienstleistungen wie Fernwartung, Support etc. oder aber beim Einsatz von Cloud Computing Daten ins Ausland übertragen werden. Das Gleiche gilt auch für den Einsatz von Office-Produkten, die über das Internet genutzt werden. Auch hier erfolgt regelmäßig eine Übertragung von Daten ins Ausland (z.B. USA bei Office 365).

Die Aufsichtsbehörden werden im Zuge der Überprüfung auch klären, auf welcher datenschutzrechtlichen Grundlage die Übermittlungen erfolgen (z.B. EU-Standardvertragsklauseln, Corporate Binding Rules, EU-US-Privacy-Shield).

Den Fragenkatalog der Aufsichtsbehörden haben wir als pdf für Sie bereitgestellt.