Vorbereitung auf Datenschutzprüfung in Unternehmen

Datenschutzrecht, Datenschutzprüfung - Safe Harbor-Entscheidung des EuGH, Datenübermittlung USA

Jetzt auf anstehende Datenschutzprüfung durch die Datenschutzaufsichtsbehörden in allen Bundesländern vorbereiten

Datenschutzprüfungen ergeben einen erheblicher Aufklärungsbedarf bei Unternehmen zum Datenschutzrecht, insbesondere bei der Nutzung von US-Internetangeboten wie Cloud-Computing.

Die EuGH Entscheidung zu Datenschutzgrundrecht und Datenübermittlung in die USA

Nachdem der Europäische Gerichtshof am 06.10.2015 die Entscheidung der Eu-Kommission zum Datentransfer in die USA unter dem Stichwort „Safe Harbor“ für ungültig erklärt hat, haben die deutschen Datenschutzaufsichtsbehörden sich zum Datenschutz bei Übermittlung von Daten an Staaten außerhalb der EU positioniert. (siehe zum EuGH-Urteil, den Hintergründen und Folgen die bisherigen Blog-Beiträge – hier als pdf-Datei zusammengefasst)

Aufsichtsbehörden führen Datenschutzprüfungen in Unternehmen ab Februar durch

Die Datenschutzaufsicht in Rheinland Pfalz hat direkt nach der EuGH-Entscheidung mehr als 120 Auskunftsverfahren bei den größten Unternehmen in ihrem Zuständigkeitsbereich eingeleitet. Die Auskunftsverfahren erfolgen in Form eines Fragebogens. Gefragt wurde insbesondere danach, ob Datenübermittlungen in Drittstaaten (Länder außerhalb der EU) stattfinden und auf welcher Rechtsgrundlage (Safe Harbor, EU-Standardvertragsklauseln, verbindliche Unternehmensrichtlinie – sog. BCR), wie die Unternehmen auf die EuGH-Entscheidung reagiert haben und ob der Datenschutzbeauftragte eingebunden war.

Die Antwortfrist endete am 15.12.15. Die Datenschutzaufsicht LdDI stellte das Ergebnis am 22.12.15 vor: Die Aufsicht war mit der Rücklaufquote von 95% innerhalb der gesetzten Frist zufrieden, aber nur mit rund der Hälfte der Antworten.

16 Unternehmen baten um Fristverlängerung. Dass einige Unternehmen sich nicht in der Lage sahen, die einfachen Fragen – m.E. ist aber die Antwort gerade in technische organisatorischer Hinsicht bei Änderungsbedarf nicht so einfach – fristgerecht zu beantworten, sieht die Aufsicht aber als Zeichen mangelnder Datenschutzorganisation und Kenntnis. Nur 56 von 111 Unternehmen haben vollständig, fristgerecht und plausibel geantwortet.

Datenschutzprüfung offenbart Unkenntnis über die im Hintergrund stattfindende Datenverarbeitung und Grundsätze des Datenschutzrechts

17 Unternehmen gaben widersprüchliche Antworten. Der häufigste Widerspruch bestand darin, dass die Unternehmen eine Datenübermittlung in die USA verneinten, dann aber wohl erschreckenderweise unwissentliche doch eine Datenübermittlung in die USA einräumten, indem sie die Nutzung bestimmten Tools angaben, z.B.

  • die Nutzung von Cloud-Diensten,
  • von Google-Analytics, (bzw. Adobe-Analytics)
  • Microsoft Office 365 oder
  • Facebook (oder anderen soziale Netzwerke, z.B. google+).

Auch durch die Nutzung der Programme, bei Backups (oft auf Cloud-Speichern), Fernwartung  (Remote Access), 24/7 Diensten oder Updates, Lohnabrechnungen oder Reiseabwicklung über US-Unternehmen kommt es zu Datenübermittlungen in die USA.

Ebenso kann es durch die Nutzung von WhatsApp (ein Dienst von Facebook) und vergleichbaren Messaging-Diensten oder von Videotelefonie wie Skype (ein Dienst von Microsoft) sowie von Smart-Phone-Datensicherung in der Cloud, insbesondere wenn Mitarbeiter ihre eigenen Smart-Phones nutzen können (Stichwort Bring Your Own Device, BYOD), zur unberechtigten Datenübermittlung in die USA kommen.

Selbst wenn ein Unternehmen sich eines Dienstleisters in Deutschland oder der EU bedient, kann dieser wiederrum Subunternehmen, z.B. Speicherplatz in der Cloud (z.B. amazon cloud oder dropbox), mit Sitz in einem Drittstaat nutzen. Unternehmen, die personenbezogene Daten verarbeiten lassen, müssen aber über diese Zusammenhänge und Hintergrunde bescheid wissen und verantworten die Datenverarbeitung, § 3 Abs. 7 BDSG.

Weitere 15% der Unternehmen gingen noch immer von einem „angemessenen Datenschutzniveau“ in den USA oder bei ihren US-Partnerfirmen aus, obwohl der EuGH dem gerade deutlich widersprochen hat. Die Datenschutzaufsicht wird diese Aussagen im Rahmen seiner ab Februar 2016 angekündigten Datenschutzprüfungen bei Unternehmen nicht mehr akzeptieren.

Aus den Antworten konnte die Datenschutzaufsicht zum Teil sogar auf die grundsätzliche Unkenntnis des Begriffs „personenbezogenes Datum“ (jede Information über einen lebenden Menschen, auch wenn die Info noch so belanglos erscheinen mag) schließen, etwa wenn Unternehmen meinten, dass „Alltags-Daten“ wie Namen, Adressen, oder Telefonnummern nicht schutzwürdig seien. Die damit einhergehende Verletzung der Grundrechte der betroffenen Personen wird die Aufsicht nicht tolerieren. Sie setzt zunächst auf Aufklärungsarbeit.

Ihr stehen aber auch deutlich härtere Maßnahmen zur Verfügung. So kann sie die entsprechende Datenverarbeitung untersagen oder Bußgelder bis 300.000 Euro verhängen.

On Premises und No Cloud Policys

Für rund 53% der Unternehmen hatte die Datenschutzaufsicht aber auch lobende Worte parat:

„Für einige Unternehmen zahle sich jetzt die vorausschauende Positionierung in Sachen Datenschutz, etwa „No Cloud Policys“, „on premises“-Nutzungen (= IT im eigenen Hause) oder die Bevorzugung von europäischen Dienstleistern mit hohem Datenschutzstandard aus.“

Wie der Deutsche Anwaltsverein in seinen wiederholten Stellungnahmen in den letzten Jahren gegenüber der EU und dem nationalen Gesetzgeber betont, müssen deutsche Unternehmen mit dieser Position aber höhere Kosten und Wettbewerbsnachteile hinnehmen, die sich durch andere rechtliche Regelungen, die der neuere technischen Entwicklung angepasst sind, auch unter Beachtung der Interessen der Betroffenen vermeiden ließen.

Fazit

Bis zu einer Änderung der Gesetze oder Rechtsprechung oder neuer internationaler Datenschutzabkommen bleibt aber nur der Rat sich auf die angekündigte Datenschutzprüfungen gut vorzubereiten, um erstens fristgerecht antworten zu können und zweitens so antworten zu können, dass aus den Antworten kein datenverarbeitungs-technisches Unverständnis und keine datenschutzrechtliche Unkenntnis abzulesen ist.

Bei Fragen zum Datenschutzrecht und bei der Beantwortung von Fragen im Rahmen einer Datenschutzprüfung unterstützt Sie RA David Seiler gerne.