Plötzlich klopft der Datenschutz – Ablauf und Inhalt einer Datenschutzprüfung

Beitrag von Dominik Egert - 28. Januar 2021

Meist kommt es völlig überraschend, das Anschreiben des Landesbeauftragten für den Datenschutz und die Informationsfreiheit des jeweiligen Bundeslandes. Man will wissen, wie es in Ihrem Betrieb um den Austausch von personenbezogenen Daten mit Ländern außerhalb der EU steht.

Der Europäische Gerichtshof hat am 6. Oktober 2015 die sogenannte Safe Harbor-Vereinbarung für ungültig erklärt. Safe Harbor war von vielen Unternehmen als rechtliche Grundlage für die Übermittlung personenbezogener Daten in die USA genutzt worden. Mit der Annullierung von Safe Harbor sind nunmehr Übermittlungen auf dieser Grundlage unzulässig und damit rechtswidrig.

Unterhemen, die personenbezogene Daten in die USA übermitteln, müssen nunmehr prüfen, ob für die Übermittlung eine andere Grundlage besteht, anderenfalls müssen sie die Übermittlung beenden.
Seit 1. August 2016 besteht zwar mit dem „Privacy Shield“ ein Nachfolgeinstrument für Safe Harbor. Jedoch können personenbezogene Daten auf Grundlage des Privacy Shield nur an solche US-Unternehmen übermittelt werden, die bereits eine Privacy Shield-Zertifizierung besitzen. Bislang ist dies nur bei wenigen US-Unternehmen der Fall.

Für viele deutsche Unternehmen sind diese Datenschutzprüfungen neben einem kleineren oder größeren Verwaltungsaufwand keinerlei Problem und auch die sich stetig verändernden Gesetzeslagen verursachen nur in seltenen Fällen aufwändigere Anpassungen. In der Regel ist mit dem Ausfüllen eines Fragebogens die Datenschutzprüfung bestanden. Es kann jedoch nicht schaden, genau informiert zu sein, ob das eigene Unternehmen nach geltendem Recht ein konformes Datenschutzsystem besitzt.

In diesem Artikel stellen wir den Ablauf und den Inhalt eines typischen Datenschutzaudits durch die Länderbehörden vor und geben Hinweise wie Unternehmen diese noch leichter bestehen können.

Ablauf und Inhalt zusammengefasst

Anlass für eine Datenschutzprüfung gibt bereits das jeweilige Geschäftsmodell Ihres Betriebes. Es gibt heutzutage ab einer gewissen Komplexitätsstufe nur noch wenige Geschäftsmodelle, welche völlig ohne die Verarbeitung von personenbezogenen Daten auskommen. Eine Vielzahl dieser Geschäftsmodelle übermittelt diese Informationen auch an Unternehmen deren Hauptsitz außerhalb der EU ist. Schon die Nutzung von Google Mail oder internationalen CRM-/Emailmarketingsystemen verursacht eine kaum zu kontrollierender Verbreitung von personenbezogenen Daten ins Ausland.

Die Prüfung soll zum Ergebnis haben, dass die Länderbehörden Einblick darin erhalten, wie die Unternehmen mit personenbezogenen Daten umgehen und auf welche Weise der Datenfluss ins Ausland gehandhabt wird. Die Konformität mit geltendem Recht wird in der Regel dadurch sichergestellt, dass die datenschutzrechtlichen Grundlagen innerhalb der betriebsinternen Prozesse gewahrt werden. Zentrales Element der Datenschutzprüfung stellt ein umfangreicher Fragebogen dar, der von den Unternehmen verbindlich auszufüllen ist. Auf den Inhalt des Fragebogens soll folgend eingegangen werden.

Der Fragebogen der Datenschutzbehörden

Der am häufigsten eingesetzte Fragebogen beginnt mit der Abfrage, ob personenbezogene Daten in die USA übermittelt werden. Diese Frage ist in den allermeisten Fällen mit ja zu beantworten, da bereits die Nutzung von Google-Produkten oder auch Produkten von Microsoft dazu führt, dass personenbezogene Daten übermittelt werden. Die folgenden Fragen beziehen sich auf die Art der Daten die in die USA fließen und ob sich der Unternehmer versichert hat, dass die Empfänger zertifiziert sind.

Der nächste Abschnitt der Fragen beschäftigt sich mit der Übermittlung personenbezogener Daten in andere Drittstaaten und ist ziemlich genau in der Erläuterung von Art und Umfang der Daten wie bei den Datenaustausch in die USA. Der einzige Unterschied ist das noch etwas genauer nachgefragt wird, auf welcher Rechtsgrundlage der Datenaustausch erfolgt (Vertragsgrundlage).

Der nächste Abschnitt widmet sich der genauen Bestimmung der Daten und der Komponente im betrieblichen Prozess, welche den Datenaustausch nötig machen. Beispielsweise:

• Konzerninterne Übermittlung
• Fernwartung
• Support
• Reise Management
• CRM/Marketing
• Personalmanagement
• Cloud-Lösungen
• Kollaborationssysteme/Projektmanagement
• Ticketing
• Qualitätsmanagement

Der Fragebogen leitet dann über in einige abschließende Fragen nach dem Datenschutzbeauftragten in dem jeweiligen zu prüfenden Unternehmen.

Abhängig davon wie die Fragen beantwortet wurden kann es sein das die Behörde eine Reihe zusätzlicher Dokumente abfragt oder sogar einen Besuch abstattet. Grundsätzlich gilt, je besser und gewissenhafter der Datenschutz umgesetzt und der Fragebogen beantwortet wurde, desto unwahrscheinlicher ist eine Vor-Ort-Prüfung.

Datenschutzprüfungen sind ein sensibles Thema

Schon im Anschreiben beziehen sich die jeweilig agierenden Beamte auf die Gesetzeslage und machen auf empfindliche Bußgelder sowie die Möglichkeit einer strafgesetzlichen Verfolgung aufmerksam. Damit wollen sie unter anderem deutlich machen, dass die Datenschutzprüfungen, wenngleich bei adäquater Vorbereitung leicht zu bestehen, doch ein Thema sind, welches ernst zu nehmen ist. In der Regel gibt es auch Fristen, die eingehalten werden müssen.

Es obliegt dem Unternehmer, sich eine genaue Idee darüber zu verschaffen, mit welchen Unternehmen der Datenaustausch erfolgt und ob diese zertifiziert sind. Ein Feld „ich weiß nicht ob mein Kooperationspartner Privacy-Shield zertifiziert ist oder nicht“ zum ankreuzen gibt es im Fragebogen nicht. Wenn sie etwas ankreuzen, was sich im Nachhinein als unwahr herausstellt, können Sie sich in der Regel nicht auf mildernde Umstände wegen Unwissenheit berufen und es ist gut möglich, dass der Verstoß gegen die wahrheitsgemäße Auskunftspflicht mit einem Bußgeld geahndet wird.

Schlussfolgerung: Datenschutzprüfung – lieber auf Nummer sicher gehen

Sofern Sie personenbezogene Daten verarbeiten, sollten Sie sich auf das Anschreiben der Landesbeauftragten ruhig schon einmal vorbereiten und eine Inventur machen, inwiefern sie nach den oben beschriebenen Bereichen bereits konform sind. Auf diese Weise können Sie einer Datenschutzprüfung entspannt entgegensehen und, wenn der Tag kommt, völlig unkompliziert auf die Abfrage reagieren.

Freie Netze ist Ihr Partner in allen Bereichen rund um den Datenschutz, speziell wenn Sie besonders sensible Daten handhaben oder wenn Sie eine besonders komplexe Aufstellung an Datenverarbeitungsprogrammen haben, welche Sie im operativen Betrieb einsetzen. Viele der besonders leistungsstarken Datenverarbeitungsprogramme verursachen automatisch den Abfluss von personenbezogenen Daten ins Ausland. Speziell auch wenn Sie in bestimmten Drittländern außerhalb der USA Geschäftsbeziehungen pflegen, ist es äußerst ratsam, sich über die Implikationen des Datenschutzes sorgfältig Gedanken zu machen.

Tags zum Artikel

Abkommen
Audit
Datenschutz
Datenschutzbeauftragter
Datenschutzpruefung
Harbour
Privacy
Safe
Shield

Social Media