open search
close
  • Suche
    • Autoren Über uns Kliemt.de Podcast Home
    Datenschutz

    Compliance beim Datentransfer: Zur „Fragenbogenaktion“ der Datenschutzbehörden

    Print Friendly, PDF & Email
    Datentransfer

    Seit dem Ende von „Safe Harbor“ steht der Datentransfer in das außereuropäische Ausland zunehmend im Blickwinkel der Datenschutzbehörden.  Seit Anfang November 2016 haben nunmehr zehn deutsche Landesdatenschutzbehörden unter der Federführung des Bayrischen Landesamtes für Datenschutzaufsicht eine so genannte „Prüfaktion“ eingeleitet, bei der solche Verarbeitungsprozesse unter die Lupe genommen werden sollen. Auch für (noch) nicht betroffene Unternehmen lohnt sich ein Blick auf die Inhalte der Prüfung.

    Hintergrund der Prüfung

    Die Datenschutzbehörden führen als Hintergrund ihrer Prüfung an, dass die Nutzung personenbezogener Daten in den letzten Jahren enorm zugenommen habe, sowie die zunehmende Prävalenz von Cloud Computing. Faktisch aber dürfte maßgeblich das Ende des „sicheren Hafens“ für Datentransfers in die USA und die entstehende Rechtsunsicherheit ausschlaggebend für die Aktion geworden sein.

    Zweck der Prüfung

    Das Bayrische Landesamt für Datenschutzaufsicht formuliert den Zweck der Aktion wie folgt:

    Die Prüfung soll (…) auch der Sensibilisierung von Unternehmen für gerade die Verarbeitungsprozesse dienen, bei denen personenbezogene Daten in Nicht-EU-Länder übermittelt werden (…) Die bisherige Erfahrung der Datenschutzaufsichtsbehörden zeigt, dass sich Unternehmen bei Nutzung [cloudbasierter] Produkte [von Herstellern aus dem EU-Ausland] nicht immer der Tatsache bewusst sind, dass dadurch eine Übermittlung personenbezogener Daten in Nicht-EU-Staaten stattfindet und entsprechende datenschutzrechtliche Konsequenzen daraus resultieren.

    Alles also rein unverbindlich und nur zur Sensibilisierung? Das wäre zu kurz gegriffen.

    „Fragebogenaktion“ oder Prüfung?

    Die Landesdatenschutzbehörden begreifen ihre Fragebogenaktion als Teil einer Prüfung im Sinne des § 38 BDSG. Als solches verlangen die Datenschutzbehörden auch unter dem Fragebogen eine Bestätigung der Richtigkeit der Auskünfte durch die Unternehmensleitung.

    Werden im Rahmen einer Prüfung nach § 38 BDSG Defizite festgestellt und innerhalb einer Frist nicht umgesetzt, sind förmliche Anordnungen, Zwangsgeldandrohungen oder Bußgelder denkbar. Die Bayerische LDA formuliert dies so:

    Ziel unserer Prüfungen ist es nicht, Sachverhalte für die Durchführung eines Bußgeldverfahrens zu suchen. Entsprechend erhalten wir von den bisher geprüften Unternehmen zur Vor-Ort-Prüfung zumeist eine positive Resonanz. Viele verantwortliche Stellen betrachten unsere Vor-Ort-Prüfungen (zumindest im Nachhinein) als eine konstruktive Beratung.

    Ob ein „Fragebogen“ gleich eine „Prüfung“ im Rechtssinne darstellt, könnte durchaus kritisch hinterfragt werden. Faktisch aber wird eine Nicht- oder nicht zutreffende Beantwortung der Fragebögen aber für Unternehmen keine Option darstellen, möchten sie sich nicht an dieser Front eine Auseinandersetzung mit den Datenschutzbehörden eröffnen.

    Anders als in der Vergangenheit, wo die Behörden durchaus einen regional unterschiedlichen Grad an Konsequenz bei der Ahndung von Verstößen an den Tag legten, ist nunmehr damit zu rechnen, dass eher der strengen Linie aus Hamburg, Niedersachsen & Co. gefolgt wird, und tatsächlich Bußgelder verhängt werden könnten. Auch die bisher eher zurückhaltendere Linie etwa des Bayerischen LDA muss also keinen Bestand haben.

    Adressaten der Prüfung

    Im Rahmen der Prüfung wurden bereits bzw. werden noch rund 500 Unternehmen angeschrieben, die – laut Datenschutzbehörden – nach dem Zufallsprinzip ausgewählt wurden. Davon fallen rund 150 allein in den Zuständigkeitsbereich des Bayerischen LDA. Hierbei werden Unternehmen unterschiedlicher Größenordnungen und verschiedener Branchen angefragt.

    Inhalt der Prüfung

    Neben allgemeinen Fragen zu Rechtsgrundlagen eines Datentransfers ins außereuropäische Ausland [etwas „hinterlistig“: die Möglichkeit der Auswahl der Rechtsgrundlage „Safe Harbor“] fragen die Datenschutzbehörden auch gezielt nach dem Einsatz von Produkten und Leistungen externer Anbieter gefragt, die – nach bisherigen Erfahrungen der Aufsichtsbehörden – mit einer Übermittlung personenbezogener Daten in Nicht-EU-Staaten verbunden sind.

    Das schließt unter Anderem die folgenden externen Leistungen und Produkte ein:

    • Fernwartung
    • Support
    • Ticketing-Systeme
    • Customer Relationship Management
    • Bewerbermanagement.
    • Cloud-Services und Officelösungen
    • Kommunikationsdienste
    • Kollaborationsplattformen.

    Wo können Sie den Fragebogen einsehen?

    Für Interessierte ist der Fragebogen der Datenschutzbehörden veröffentlicht auf der Homepage der Bayerischen LDA (Download, *.docx).

    Dr. Till Heimann
    Rechtsanwalt
    Fachanwalt für Arbeitsrecht
    Partner
    Till Heimann berät Arbeitgeber mit Fokus auf Unter­neh­mens­trans­ak­tio­nen (mit anschlie­ßen­der Integration), Umstruk­tu­rie­run­gen auf Unter­neh­mens- und Betriebsebene und Har­mo­ni­sie­rung von Arbeits­be­din­gun­gen. Er ist erfahren im Umgang mit den speziellen Herausforderungen von Startups, Scale-Ups und Investoren sowie Unternehmen der Technologiebranche. Besondere Expertise besitzt er zudem zu Nachhaltigkeitsaspekten ("ESG"), insbesondere im Zusammenhang mit HR-Compliance sowie regulierter Vergütung in Finanzinstituten (Banken, Wertpapierinstitute, Versicherungen und KVGs). Till Heimann ist Co-Head der Fokusgruppen ESG und Regulatory bei KLIEMT.Arbeitsrecht.
    vCard downloaden Dr. Till Heimann auf Xing Dr. Till Heimann auf LinkedIn
    Verwandte Beiträge
    Datenschutz Fair Pay & ESG Neueste Beiträge

    Pay Transparency vs. Privatsphäre: Entgelttransparenz datenschutzkonform umsetzen

    Die ab Juni 2026 in nationales Recht umzusetzende EU-Entgelttransparenzrichtlinie (ETRL) bringt umfangreiche Offenlegungspflichten in Bezug auf Gehaltsinformationen mit sich. Gleichzeitig müssen Arbeitgeber jedoch sicherstellen, dass sie die geltenden datenschutzrechtlichen Vorgaben einhalten und die Privatsphäre ihrer Beschäftigten wahren. Dieser Beitrag skizziert die wesentlichen Konfliktpunkte zwischen Transparenzanforderungen und Datenschutz sowie mögliche Lösungsansätze, um beide Interessen unter einen Hut zu bringen. Ausgangslage: Warum Datenschutz im Kontext der Entgelttransparenz?…
    Datenschutz Individualarbeitsrecht Neueste Beiträge Prozessrecht

    Detektiveinsatz bei zweifelhafter AU: Was müssen Arbeitgeber beachten?

    Der Krankenstand in Deutschland erreicht laut Medienberichten immer neue Höchststände. Die Entgeltfortzahlung im Krankheitsfall stellt für viele Arbeitgeber daher einen ernst zu nehmenden Kostenfaktor dar. Im Falle von verdächtigen Arbeitsunfähigkeitsbescheinigungen stellen sich Arbeitgeber die Frage, ob es Reaktionsmöglichkeiten gibt oder ihnen vor allem der Datenschutz einen Strich durch die Rechnung macht. Auch der Einsatz von Privatdetektiven wird in diesem Zusammenhang in Erwägung gezogen, wobei die…
    Compliance Datenschutz Individualarbeitsrecht Kollektivarbeitsrecht Neueste Beiträge Top-Management

    Arbeitsrecht im Jahr 2024: Die Top 5

    Rechtzeitig zu den Silvester-Vorbereitungen lesen Sie hier unseren Jahresrückblick auf eine kleine Auswahl an beachtenswerten und für das Arbeitsrecht relevanten Urteilen. Besonders bewegt haben uns im Jahr 2024: Schadensersatzforderungen nach DSGVO-Auskunftsverlangen, Zielvereinbarungs-Boni, Überstundenvergütungen von Teilzeitkräften, die Konzernleihe sowie entschädigungsfreie Wettbewerbsverbote. Top 1 – Auskunftsverlangen nach Art. 15 DSGVO – Schadensersatzrisiko entschärft Schadensersatzforderungen des Arbeitnehmers wegen eines angeblichen Datenschutzverstoßes des Arbeitgebers waren ein beliebtes Instrument, um…
    Abonnieren Sie den kostenfreien KLIEMT-Newsletter.
    Jetzt anmelden und informiert bleiben.

     

    Die Abmeldung ist jederzeit möglich.