Deutsche "Datenschutz-Razzia" unterstreicht die Wichtigkeit der IT-Compliance

21/11/2016

Anfang November 2016 wurde davon berichtet, dass 10 der 16 deutschen Datenschutzbehörden eine koordinierte Untersuchung begonnen haben. Inhalt dieser Untersuchung ist der Transfer persönlicher Daten in Cloudservices außerhalb der EU. 

Dieses weit angelegte Audit betrifft 500 Unternehmen verschiedener Größe, welche nach dem Zufallsprinzip ausgewählt wurden. Die Datenschutzbehörden haben den betroffenen Unternehmen einen detaillierten Fragebogen übermittelt. In diesem Fragenbogen wurden Details der rechtlichen Grundlagen des Transfers persönlicher Daten von Mitarbeitern und Kunden in Drittländer, insbesondere in die USA, untersucht.

Die untersuchten Unternehmen mussten die Rechtsgrundlagen darlegen, auf welchen diese Datentransfers beruhen. Die Möglichkeiten reichen von der Anwendung der EU-Standardvertragsklauseln über die Zustimmung der Betroffen bis hin zum Privacy Shield Agreement („Privacy Shield“), welches zwischen der EU und der USA abgeschlossen wurde. All jene Unternehmen, die die Datentransfers auf Safe Harbour alleine gestützt haben, werden aller Voraussicht nach Probleme mit den Behörden bekommen, da das Safe Harbour Abkommen ja bekanntlich durch den EuGH außer Kraft gesetzt wurde.

Die deutschen Datenschutzbehörden erklärten, dass der Transfer von personenbezogenen Daten in Drittländer massiv anwächst. In der Vergangenheit wurden derartige Datentransfers von vielen Unternehmen „zu locker“ gehandhabt. Die Untersuchung der deutschen Datenschutzbehörden zeigt, dass Datenschutzverstöße nicht mehr als „Kavaliersdelikte“ behandelt werden. Sollte eine derartige Untersuchung in Österreich stattfinden, kommt in vielen Fällen die Notwendigkeit einer Genehmigung durch die Datenschutzbehörde hinzu. Wenn nämlich beispielsweise die EU-Mustervertragsklausen verwendet werden, ist dennoch eine Genehmigung der Datenschutzbehörde notwendig. Ebenso ist dies der Fall, wenn der Datentransfer auf Basis einzelvertraglicher Dienstleistervereinbarungen stattfindet.

Ebenso ist in vielen Fällen die Zustimmung der Datenschutzbehörde notwendig, wenn Daten innerhalb des Konzerns übermittelt werden. Viele Mutterunternehmen aus Drittländern weisen ihre Tochterunternehmen in Österreich an, Daten zur einheitlichen Verarbeitung zu übermitteln. In diesem Fall kommt neben dem Erfordernis des rechtskonformen Transfers von Daten in das Ausland auch noch die Frage der grundsätzlichen Zulässigkeit von Datenübermittlungen im Konzern hinzu. Diese Zulässigkeit kann nur im Einzelfall geprüft werden.

Zusammenfassend gilt, dass eine vergleichbare Prüfung in Österreich wohl nicht nur auf die Rechtsgrundlagen, sondern auch auf die ordnungsgemäße Meldung einer Datenanwendung und die gegebenenfalls notwendige Genehmigung der Datenschutzbehörde ausgedehnt werden würde. 

Autoren

Das Photo von Johannes Juranek
Johannes Juranek
Partner