Behörden prüfen internationalen Datenexport

Zehn deutsche Landesbehörden für die Datenschutzaufsicht beginnen im November mit der Überprüfung des Datenexport in das Nicht-EU-Ausland durch Unternehmen. Die Maßnahme verläuft schriftlich und nach dem Zufallsprinzip. Betroffen sind ca. 500 Unternehmen aller Größen und Branchen.

Wie das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) in einer Pressemitteilung bekannt gab, werden zehn Landesbehörden, die zuständig für den Datenschutz sind, beginnend im November Unternehmen überprüfen, die personenbezogene Daten aus der EU hinaus exportieren. Darunter fallen bspw. Datenübermittlungen in die USA.

Datenexport wird umfangreich überprüft

Von der Überprüfung kann de facto jedes Unternehmen betroffen sein. Die Behörden gehen nach dem Zufallsprinzip vor und beziehen in die mögliche Auswahl bewusst Unternehmen jeder Größenordnung und Branchenzugehörigkeit ein. Von der schriftlichen Überprüfungen werden ca. 500 Unternehmen betroffen sein, so das BayLDA.

Cloud Computing und Drittanbieter im Fokus

Die Behörden richten ihr Augenmerk insbesondere auf Unternehmen, die für den Datenexport Cloud Computing nutzen. Gerade der Einsatz von Software as a Service-Produkten (SaaS) interessiert die Datenschützer. Auch die Inanspruchnahme von externen Dienstleistern ist Teil der Überprüfung. Gezielt fragen die Behörden nach deren Beteiligung in den Bereichen Support, Fernwartung, Ticketing, Customer Relationship Management und Bewerbermanagement.

Ziel ist Sensibilisierung

Die Unternehmen müssen zudem die datenschutzrechtliche Grundlage angeben, auf deren Basis die Übermittlung der Daten in einen Nicht-EU-Staat erfolgt. Ziel der Behörden ist primär die Sensibiliserung der betroffenen Unternehmen für das Thema und damit verbundene Probleme. Werden Mängel festgestellt, müssen sich die entsprechenden Unternehmen auf die Aufforderung zur Mängelbeseitigung unter Androhung von Bußgeldern einstellen.

 

Klage gegen Privacy Shield eingereicht

Digital Rights Ireland hat Klage gegen das kürzlich angenommene Abkommen EU-US Privacy Shield eingereicht. Bereits nach zwei Monaten wird Privacy Shield nun zum Fall für die europäischen Gerichte.

Privacy Shield unter Beschuss

Eingereicht wurde eine Nichtigkeitsklage nach Art. 263 AEUV (Vertrag über die Arbeitsweise der Europäischen Union) von der Lobbygruppe Digital Rights Ireland Ltd. Als erstinstanzliches Gericht ist das Europäische Gericht (EuG) zuständig, das die Rechtssache unter dem Aktenzeichen T-670/16 verhandelt. Die zweite Instanz wäre dann der Europäische Gerichtshof (EuGH).

Tauziehen um Datenexport in die USA geht weiter

Mit der eingereichten Klage geht das Tauziehen um den Datenexport aus der EU in die USA in die nächste Runde. Unternehmen haben während des Verfahrens, wenn überhaupt, eine wackelige Rechtssicherheit, die aber kaum ein langfristiges Planen auf Basis des neuen Abkommens ermöglicht. Viele Kritiker von Privacy Shield bezweifeln ein Standhalten des Abkommens bei einer Überprüfung durch den EuGH. Unternehmen müssen sich auf eine anhaltende unklare Rechtslage einstellen.

Kommission: Standard Contract Clauses rechtswidrig

Die EU-Kommission arbeitet an neuen Entwürfen zu ihren Beschlüssen bezüglich der EU Standard Contract Clauses. Unter anderem sollen jegliche Beschränkungen der Aufsichtsbehörden entfallen. Ihre aktuellen Beschlüsse betrachtet die Kommission als rechtswidrig.

Das EuGH-Urteil zur Nichtigkeit des Safe Harbor-Abkommens hat weitere Auswirkungen auf die Rechtslage der EU. Nachdem die irische Datenschutzaufsicht angekündigt hatte, die Rechtswirksamkeit der EU Standard Contract Clauses gerichtlich überprüfen zu lassen, hat auch die Kommission mit einer Überprüfung ihrer Beschlüsse zu diesem Thema begonnen.

Beschränkungen für Behörden werden gestrichen

Die neuen Entwürfe der Kommission sehen vor, dass jegliche Beschränkungen für die nationalen Aufsichtsbehörden gestrichen werden. Damit dürften die Beschränkungen nach Art. 4 der Standardvertragsklauseln gemeint sein. Der EuGH hatte in seinem Urteil zu Safe Harbor Beschränkungen für Aufsichtsbehörden für unzulässig erklärt, die die Behörden in der Ausübung ihrer Kontrollrechte nach Art. 28 RL 95/46/EG einschränken. Im Fall Safe Harbor war dies die Möglichkeit nach einer Eingabe eines Betroffenen tätig zu werden, die ein Schutzniveau eines Landes in Frage stellt, das die Kommission für ausreichend hält.

Kommission hält eigenen Beschluss für rechtswidrig

Zudem betrachtet die Kommission ihren eigenen Beschluss als rechtswidrig. Dies folge unmittelbar aus dem EuGH-Urteil zu Safe Harbor. Es ist daher davon auszugehen, dass Unternehmen bald auch die EU Standard Contract Clauses nicht mehr als rechtswirksame Möglichkeit der Datenübermittlung in Drittländer zur Verfügung stehen wird. In Anbetracht vielfacher Ankündigungen, auch das kürzlich angenommene Abkommen EU-US Privacy Shield gerichtlich überprüfen zu lassen, warten Unternehmen noch weiter auf Rechtssicherheit. Die Kommission will aber ihre Beschlüsse der neuen Rechtslage anpassen.