Aktuell versenden deutsche Datenschutz-Aufsichtsbehörden gemeinsam abgestimmte Fragebögen an Unternehmen zur Kontrolle von Datenübermittlungen in Länder außerhalb der EU bzw. des EWR (insbesondere die USA). Auch die Landesbeauftragte für den Datenschutz Niedersachsen (LfD Niedersachsen) beteiligt sich daran. Unternehmen, die diesen Fragebogen erhalten, sollten sich zuvor rechtlich beraten lassen.
Was ist der Hintergrund?
Der EuGH das sogenannte „Privacy Shield“ für ungültig erklärt hat. Deshalb müssen Unternehmen Datentransfers in die USA durch weitere rechtliche, technische sowie organisatorische Maßnahmen (z.B. sogenannte Standardvertragsklauseln) absichern. Die Datenschutzbehörden wollen überprüfen, ob Unternehmen diese Maßnahmen in bestimmten Bereichen auch tatsächlich umsetzen.
Was sind die rechtlichen Risiken?
Die Datenschutzaufsichtsbehörden versenden derzeit Fragebögen an verschiedene Unternehmen. Dabei entscheiden sie jeweils eigenständig, welche Themenkomplexe sie abprüfen wollen. Die LfD Niedersachsen versendet insbesondere Fragebögen zu den Themen Mail- und Web-Hosting.
Bei der Beantwortung der Fragebögen ist zu berücksichtigen, dass eine Auskunft zu möglichen Bußgeldern führen kann. Das gilt jedenfalls dann, wenn sich aus den Antworten des Unternehmens ergäbe, dass ein Datenschutzverstoß vorliegt. Dabei ist zu berücksichtigen, dass grundsätzlich niemand gehalten ist, sich selbst zu belasten. Allerdings gilt dies im Hinblick auf Unternehmen nur eingeschränkt. Die angeforderten Auskünfte dürfen nach der Rechtsprechung des EuGH jedoch nicht die Verteidigungsrechte des Unternehmens beeinträchtigen.
Was sollten Unternehmen tun, die angeschrieben werden?
Die niedersächsische Datenschutzbehörde betont, dass sie „voraussichtlich in vielen Fällen im kooperativen Dialog mit den Unternehmen“ Datentransfers aussetzen wird. Mit anderen Worten: Zunächst dürfte in vielen Fällen ein freundlicher, aber verbindlicher Hinweis erfolgen, den Datentransfer einzustellen. Die Behörde macht jedoch auch deutlich, dass sie mit aufsichtsbehördlichen Maßnahmen reagieren wird, wo dies nicht möglich ist.
Vor diesem Hintergrund sollte das Ausfüllen der Fragebögen nicht ohne eine vorherige rechtliche Prüfung und Beratung erfolgen. Insbesondere sollten die Grenzen der Auskunft bekannt sein. Auch stellt sich die Frage, ob gegen die Fragebögen Rechtsmittel möglich sind, da sie als Verwaltungsakt qualifiziert werden könnten.
Unabhängig von dem Erhalt einer solchen Anfrage durch eine Datenschutzbehörde ist es unbedingt empfehlenswert, die eigenen Datentransfers zu prüfen. Dabei ist sicherzustellen, dass entsprechende Maßnahmen getroffen sind, die für ein angemessenes Datenschutzniveau sorgen.