Schlagwort: Datenübermittlung ins Ausland

Europäisches Parlament: Resolution zum US-EU Framework

15. Mai 2023

Ende der vergangenen Woche äußerte sich das europäische Parlament in einer Entschließung zu einem möglichen Angemessenheitsbeschluss für die USA. Bereits im Oktober 2022 hatte Präsident Biden die Exekutiv-Anordnung 14086 unterzeichnet. Diese Anordnung sollte neue Maßnahmen zu Schutz personenbezogener Daten in Kraft setzen (wir berichteten). Diese Anordnung ist außerdem ein wesentlicher Bestandteil der neuen transatlantischen Rahmenvereinbarung (sog. Trans-Atlantic Data Privacy Framework), die einen neuen Angemessenheitsbeschluss der europäischen Kommission für die USA ermöglichen soll.

Nun setzte sich das europäische Parlament in seinem Entschluss mit der Frage auseinander, ob die europäische Kommission auf der Grundlage der transatlantischen Rahmenvereinbarung einen neuen Angemessenheitsbeschluss annehmen könne. Dabei untersuchte das europäische Parlament insbesondere die Frage, ob die genannte Anordnung zur Sicherung des europäischen Datenschutzniveaus beitragen kann.

Erhebliche Bedenken

Insgesamt betonte das Parlament, dass die vorgelegten Änderungen der Exekutiv-Anordnung kein ausreichendes datenschutzrechtliches Niveaus erzielten. Aus Sicht des Parlamentes stelle insbesondere die in der Exekutiv-Anordnung vorgesehene Frist ein Problem dar. US-Behörden erhielten bis Oktober 2023 Zeit, um die datenschutzrechtlichen Vorgaben der Anordnung in der Praxis umzusetzen. Demnach könne die europäische Kommission keine abschließende Einschätzung zum kritischen Zugang der Behörden auf personenbezogene Daten europäischer Bürger abgeben.

Außerdem sei die gerichtliche Durchsetzung datenschutzrechtlicher Verstöße vor US-Gerichten durch EU-Bürger problematisch. Grundsätzlich sehe die Exekutiv-Anordnung neue Rechtsbehelfe, in Form eines sog. Datenschutz-Überprüfungsgerichtes vor. Demnach könnten betroffene Personen Datenschutzverstöße vor Gericht angreifen. Allerdings seien die entsprechenden Verfahren nicht öffentlich, sodass die betroffene Person lediglich darüber informiert werde, dass das Gericht keinen Datenschutzverstoß feststellte oder Abhilfemaßnahmen anordnete. Zusätzlich könne der Präsident die Entscheidungen des Datenschutz-Überprüfungsgerichtes aufheben. Damit sei die richterliche Unabhängigkeit fraglich.

Darüber hinaus kritisierte das europäische Parlament den Rechtscharakter der Anordnung. Bei der Anordnung handele es sich nicht um ein Bundesgesetz. Der Präsident könne die Anordnung jederzeit ändern und aufheben.

Zusätzlich betonte das europäische Parlament, dass die Exekutiv-Anordnung die Erhebung personenbezogener Daten und insbesondere die Erhebung des Inhaltes von Mitteilungen erlaube. Die Anordnung sehe grundsätzlich neue Schutzmaßnahmen gegen die Massenerhebung personenbezogener Daten vor. Allerdings solle nach ihren Regelungen keine vorherige Einwilligung in die Massenerhebung von Daten eingeholt werden. Infolgedessen zweifelt das europäische Parlament daran, dass hinreichende Garantien für den Fall einer Massenerhebung von Daten existierten.

Fazit

Abschließend betonte das europäische Parlament, dass die transatlantische Rahmenvereinbarung kein ausreichendes Schutzniveau biete. Es seien weitere Verhandlungen erforderlich. Entschließungen des europäischen Parlamentes sind rechtlich nicht bindend, sodass die Reaktion der europäischen Kommission abzuwarten bleibt.

Die chinesischen SCC – ein Überblick

20. März 2023

Im Jahr 2022 war China zum siebten Mal in Folge Deutschlands wichtigster Handelspartner. Im Zuge dessen gründen immer mehr europäische Unternehmen Konzerngesellschaften in China, um von den dortigen Marktchancen zu profitieren. Diese Expansion führt zwangsläufig zu Datentransfers von China an die europäische Hauptverwaltung.

Um den rechtlichen Anforderungen an den internationalen Datenverkehr gerecht zu werden, hat die chinesische Regierung im November 2021 ein neues Datenschutzgesetz verabschiedet. Dieses Gesetz legt ähnliche Vorgaben wie die DSGVO fest und enthält in Artikel 38 Regelungen zur Rechtmäßigkeit von Datenübermittlungen ins Ausland. Eine Möglichkeit, diese Vorgaben zu erfüllen, ist der Abschluss von Standardvertragsklauseln mit dem Datenempfänger.

Die Cyberspace Administration of China (CAC) hat im Februar 2023 die endgültige Fassung der Maßnahmen für die Standardvertragsklauseln für die grenzüberschreitende Übermittlung personenbezogener Daten (SCC-Maßnahmen) veröffentlicht. Die chinesischen Standardvertragsklauseln sind in diesen Maßnahmen enthalten. Diese neuen Vorgaben treten am 1. Juni 2023 in Kraft. Unternehmen haben bis zum 30. November 2023 Zeit, um Maßnahmen zur Einhaltung der SCC-Maßnahmen zu ergreifen.

Um die Vorgaben einzuhalten, müssen Unternehmen unter anderem sicherstellen, dass die vertraglich vereinbarten technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten eingehalten werden. Unternehmen sollten auch die nationalen Gesetze und Vorschriften beider Länder sorgfältig prüfen, um zu vermeiden, dass sie gegen Datenschutzgesetze verstoßen.

Datenübermittlung aufgrund SCC außerhalb Chinas

Die Übermittlung von Daten aus China ins Ausland kann nicht immer aufgrund der SCC (Standard Contractual Clauses) erfolgen. Laut Art. 4 der SCC-Maßnahmen können die SCC nur verwendet werden, wenn alle vier Bedingungen erfüllt sind, darunter die Verarbeitung von persönlichen Informationen von weniger als einer Million Menschen, die Durchführung von grenzüberschreitenden Übertragungen von weniger als 100.000 allgemeinen persönlichen Informationen und weniger als 10.000 sensiblen persönlichen Informationen seit dem 1. Januar des vorangegangenen Jahres sowie die Nicht-Zugehörigkeit zum Betreiber kritischer Informationsinfrastrukturen. Diese Schwellenwerte entsprechen den Schwellenwerten für grenzüberschreitende Datenübertragungen, die einer von der CAC durchgeführten Sicherheitsbewertung bedürfen. Unternehmen dürfen die Datenübertragungen nicht aufteilen, um den Sicherheitsbewertungsmechanismus der CAC zu umgehen, und müssen die jährliche Gesamtmenge der zu übertragenden Daten schätzen.

Model der chinesischen SCC

Die chinesischen SCC bestehen im Gegensatz zu den EU-Standardvertragsklauseln aus einem universellen Modul, welches für alle Datenexporteure (Verarbeiter) Chinas und Datenimporteure im Ausland gilt, unabhängig von ihrer Rolle und Funktion. Es ist zu beachten, dass es auch für solche Datenexporteure gilt, die zwar nicht in China ansässig sind, jedoch nach Art. 3 Abs. 2 PIPL für die betreffende Verarbeitung der PIPL unterliegen. Nach Art. 3 Abs. 2 PIPL findet das Gesetz Anwendung auf Verarbeitungen persönlicher Daten natürlicher Personen außerhalb des Gebiets der Volksrepublik China, wenn bestimmte Umstände vorliegen, wie zum Beispiel die Verarbeitung zum Zweck, natürlichen Personen innerhalb des chinesischen Gebiets Waren oder Dienstleistungen anzubieten oder das Verhalten natürlicher Personen innerhalb des chinesischen Gebiets zu analysieren oder zu bewerten.

Bußgelder

Die Provinz-Aufsichtsbehörde kann Korrekturen bei grenzüberschreitendem Datentransfer verlangen und hat einen Meldemechanismus für Verstöße eingerichtet. Verstöße gegen das chinesische Gesetz zum Datenschutz können zu administrativen, zivil- und strafrechtlichen Konsequenzen führen. Die Höchststrafen betragen 50 Millionen RMB oder 5 % des Vorjahresumsatzes, je nachdem, welcher Betrag höher ist. Das PIPL sieht auch persönliche Haftung vor und es können Geldstrafen von bis zu einer Million Yuan sowie Verbote für bestimmte Positionen verhängt werden.

Kernklauseln der chinesischen SCC

Deutsche Unternehmen sollten insbesondere folgende Pflichten beachten: Der Datenimporteur darf personenbezogene Daten nur gemäß den Bedingungen verarbeiten, die im Anhang I aufgeführt sind, und darf die Daten nicht über den vereinbarten Umfang hinaus verarbeiten. Der Importeur muss die Rechte und Interessen der betroffenen Person minimal beeinflussen und die Sicherheit der Datenverarbeitung durch technische und organisatorische Maßnahmen gewährleisten. Im Falle von Datenschutzverletzungen muss der Importeur Maßnahmen zur Abhilfe ergreifen, den Verarbeiter benachrichtigen und die Aufsichtsbehörden informieren. Eine weitere Übermittlung von personenbezogenen Daten durch den ausländischen Empfänger ist nur unter bestimmten Bedingungen gestattet.

Fazit

Die chinesischen SCC ähneln im Allgemeinen den EU-Standardvertragsklauseln. Im Gegensatz zu den EU-SCC gibt es jedoch keine Unterscheidung zwischen Übertragungen von Controller zu Prozessor und von Controller zu Controller in den chinesischen SCC. Stattdessen gibt es ein einziges Modul mit vielen Bestimmungen, die dem Controller-zu-Prozessor-Modul der EU-SCC ähneln

Bitkom: Umfrage zur DSGVO

13. Oktober 2022

Der Digitalverband Bitkom veröffentlichte vor Kurzem die Ergebnisse einer Umfrage, bei der deutsche Unternehmen zur Umsetzung der Datenschutz-Grundverordnung (DSGVO) befragt wurden. Für die Umfrage „Datenschutz in der deutschen Wirtschaft: DSGVO & internationale Datentransfers“ erhob Bitkom die Daten von 503 Unternehmen, mit mindestens 20 Mitarbeitern.

Größtenteils umgesetzt

Zunächst wurde im Rahmen der Umfrage die Frage gestellt, wie weit die Unternehmen mit der Umsetzung der DSGVO seien. Hierbei gaben 22 Prozent an, dass sie die DSGVO bereits vollständig umgesetzt hätten. Danach folgten 40 Prozent der Unternehmen, die die DSGVO nach eigenen Angaben bereits größtenteils umgesetzt hätten. Allerdings sei laut 33 Prozent der befragten Unternehmen in ihrem Betrieb die DSGVO nur teilweise umgesetzt worden.  Zwei Prozent aller Unternehmen hätten erst kürzlich mit der Umsetzung begonnen

Probleme bei der Umsetzung

Anschließend wollte Bitkom wissen, woran die Umsetzung der DSGVO im Unternehmen gescheitert sei. Dafür ermittelte der Verband zunächst alle externen Faktoren, die ein Hindernis bei der Umsetzung der DSGVO darstellten.

Laut 88 Prozent aller befragten Unternehmen sei die Umsetzung der DSGVO im Betrieb nie vollständig abgeschlossen. Demnach sei die Rechtsumsetzung, beispielsweise aufgrund immer neuer Guidelines, regelmäßig erneut anzugehen. Den zweiten und dritten Platz der Faktoren, die die Umsetzung der DSGVO hemmten, belegen die fehlende Rechtssicherheit (78 Prozent) und die Implementierung neuer Anwendungen im Betrieb (77 Prozent). Zusätzlich sei ein weiteres Problem die uneinheitliche Auslegung der DSGVO innerhalb der Europäischen Union (EU; 57 Prozent) und die uneinheitliche Auslegung innerhalb Deutschlands (40 Prozent).

Hinzu kommen weitere Faktoren, auf die die Unternehmen einen direkten Einfluss haben.  Der zeitliche Aufwand bei der IT- und Systemumstellung (45 Prozent) sowie fehlende finanzielle Ressource (32 Prozent) stellen für die Unternehmen die größten Hemmnisse dar. Im Vergleich zum Vorjahr sank allerdings die Anzahl der Unternehmen, die angaben, dass fehlende qualifizierte Beschäftigte ein Hemmnis darstellten, von 33 auf 24 Prozent.

Hemmnisse bei der Digitalisierung

Als weiteres Problem der DSGVO- Umsetzung im Unternehmen erwies sich, dass ein strenger Datenschutz die Digitalisierung erschwere (68 Prozent). Außerdem gaben 65 Prozent der befragten Unternehmen an, dass der uneinheitliche Datenschutz die Digitalisierung bremse. Der Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder betonte dabei, dass „(…) eine Balance zwischen Datennutzung und Datenschutz (…)“ erforderlich sei.

Datenübermittelung in Drittländer

Zusätzlich ermittelte Bitkom, dass lediglich 40 Prozent der befragten Unternehmen personenbezogene Daten nicht in Drittländer außerhalb der EU übermittelten. Demnach stimmten 39 Prozent der Unternehmen dafür, dass für den internationalen Datentransfer eine politische Lösung erforderlich sei.

LG München: Einsatz von Google Fonts ohne Einwilligung rechtswidrig

4. März 2022

Das Landgericht München hat in einem Urteil vom 20.01.2022 entschieden, dass der Einsatz von Google Fonts auf Webseiten nicht mehr auf die berechtigten Interessen des Webseitenbetreibers gemäß Art. 6 Abs. 1 lit. f DSGVO gestützt werden kann. Nunmehr ist stets eine Einwilligung des Nutzers erforderlich. Webseitenbetreiber können bei Verstoß auf Unterlassung und Schadensersatz verklagt werden.

Hintergrund

Google Fonts setzt zwar keine Cookies. Wenn aber eine von Googles Schriftarten (= englisch Font) vom Browser des Besuchers bei dem Besuch der Webseite angefordert wird, wird dessen IP-Adresse von Google erfasst und für Analysezwecke verwendet. Diesen Prozess beschreibt Google auch in den Google AGB zur Google Fonts API. Bei den so erhobenen dynamischen IP-Adressen handele es sich um personenbezogene Daten, da es dem Webseitenbetreiber über eine zuständige Behörde und den Internetzugangsanbieter abstrakt möglich sei, die betreffende Person zu identifizieren, so das Urteil.

Vor dem Urteil des Landgerichts München konnte man – unter Inkaufnahme eines gewissen unternehmerischen Risikos – den Einsatz von Google Fonts auf Art. 6 Abs. 1 S.1 lit. f DSGVO, die berechtigten Interessen, stützen. Nun kann der Einsatz von Schriftartendiensten wie Google Fonts nicht mehr auf Art. 6 Abs. 1 S.1 lit. f DSGVO gestützt werden, da kein berechtigtes Interesse des Webseitenbetreibers bestehe, die Schriftart über externe Google-Server einzubinden. Schließlich könne man anstattdessen die Google Fonts auch herunterladen und vom eigenen Server lokal ausliefern, ohne dass eine Verbindung von Besuchern zu Google Servern hergestellt werden muss.

Der Beklagte hatte außerdem zudem eingewandt, dass der Besucher der Webseite auch seine IP-Adresse etwa durch Nutzung eines VPN verschleiern könnte. Diesen Einwand lehnte das Landgericht München jedoch ab und bestätigte insoweit ein Urteil des Landgerichts Dresden aus dem Jahr 2019. Dem Webseitenbesucher dies abzuverlangen, würde den Zweck des Datenschutzrechtes, welches in erster Linie den Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten vor Beeinträchtigung bezweckt, gar umkehren, da durch eine solche Verpflichtung der Rechteinhaber bei der Ausübung seiner schützenswerten Rechte eingeschränkt werden würde.

Konsequenz für Webseitenbetreiber

Die einzig rechtssichere Möglichkeit der Einbindung von Google Fonts über die Google Server ist nach dem Urteil des Landgerichts München nun die Einwilligung des Webseitenbesuchers.

Für eine DSGVO-konforme Einwilligung ist es allerdings notwendig, dass der Nutzer informiert und nach seiner Einwilligung gefragt wird, bevor ein URL Call von Google Fonts zur Google Fonts API stattfindet, also bevor Google Fonts ausgespielt und die Verbindung zu den Google Servern hergestellt wird. Ein Eintrag in den Datenschutzbestimmungen kann das nicht leisten. Ähnlich wie bei den Cookies müsste also ein Banner ausgespielt werden, vergleichbar dem Cookie Banner. Solange keine Einwilligung seitens des Besuchers vorliegt, wird dann die über Google Fonts eingebundene Schriftart nicht geladen.

Vor diesem Hintergrund erscheint es einfacher und rechtssicherer, die Möglichkeit zu nutzen, Google Fonts lokal einzubinden. Dabei werden die Schriften heruntergeladen und für den Besucher vom eigenen Server und nicht von den Google-Servern geladen. Hierbei werden keine Daten an Google als Drittanbieter gesendet.

Kein Schadensersatzanspuch bei einer Datenübermittlung in ein Drittland vor dem Geltungsbeginn der DSGVO

31. März 2021

Ein Verstoß gegen die Bestimmungen des 5. Kapitels der DSGVO (Art. 44 ff. DSGVO) liegt dann nicht vor, wenn personenbezogene Daten von Beschäftigten vor der Einführung der DSGVO am 25. Mai 2018 an eine Konzernmutter in ein Drittland (USA) übermittelt wurden. Auch ein Anspruch auf Schadensersatz gem. Art. 82 DSGVO im Zusammenhang mit der Datenübermittlung und weitergehenden Verarbeitung von personenbezogenen Daten an bzw. bei der Konzernmutter in den USA steht einem Beschäftigten nicht zu. Das hat das Landesarbeitsgericht (LArbG) Baden-Württemberg mit Urteil v. 25.02.2021, Az. 17 Sa 37/20 entschieden.

Wie wir bereits berichteten, stellt die Datenübermittlung in die USA seit dem Schrems-II-Urteil viele Unternehmen vor Herausforderungen. Eine Datenübermittlung in ein Drittland ist seitdem nur unter Einhaltung der in Kapitel 5 genannten Anforderungen der DSGVO zulässig, die in der Praxis aber nur selten vorliegen. Werden diese Anforderungen nicht eingehalten und erfolgt eine Datenübermittlung dennoch, liegt ein Verstoß gegen die Bestimmungen der DSGVO vor.

Dieser Verstoß kann zu einem Recht auf Schadensersatz nach Art. 82 DSGVO führen. Danach hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen. Nur wenn der Verantwortliche nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist, wird er von der Haftung befreit.

Sachverhalt

Einen solchen Schadensersatzanspruch hat der Kläger im vorliegenden Fall geltend gemacht. Diesen begründete er damit, dass er durch die im Jahr 2017 erfolgte Datenübermittlung seines Arbeitgebers an die Konzernmutter in den USA und wegen der dortigen Verarbeitung seiner Daten, einen immateriellen Schaden erlitten habe. Als Schaden machte er die Gefahr eines Missbrauchs der Daten durch die Ermittlungsbehörden in den USA oder andere Konzerngesellschaften bzw. einen Kontrollverlust geltend.

Die Entscheidung

Das Gericht erkannte in dem konreten Fall zwar an, dass solche Umstände grundsätzlich zur Begründung eines immateriellen Schadens im Sinne von Art. 82 DSGVO in Betracht kommen. Es verneinte eine Haftung des Arbeitgebers vorliegend jedoch, da es an einem konkreten Verstoß gegen die Bestimmungen der DSGVO fehlte. Insbesondere erfordere Art. 82 DSGVO, dass der Schaden “wegen eines Verstoßes” gegen die DSGVO entstanden ist, d.h. einem Verordnungsverstoß zugeordnet werden könne (Kausalität). Einen solchen Anknüpfungspunkt für den Schaden konnte das Gericht vorliegend aber nicht feststellen, da die Datenübermittlung in die USA stattgefunden hat, als die DSGVO noch nicht in Geltung war.

Droht zum Jahreswechsel der Datenschutz-Brexit?

22. Oktober 2020

Die Regierung des Vereinigten Königreichs gerät zunehmend unter Druck, eine Regelung über den Datentransfer mit der EU zu erreichen. Gelingt dies nicht, droht das UK zum 31. Dezember dieses Jahres zum unsicheren Drittland zu werden. Verantwortliche und Auftragsverarbeiter, die Daten in das UK übermitteln, müssten dann selbst sicherstellen, dass das Schutzniveau der DSGVO für natürliche Personen nicht untergraben wird.

Am 31. Januar 2020 trat das Vereinigte Königreich aus der EU aus. Das Austrittsabkommen sieht eine Übergangsphase bis zum 31. Dezember 2020 vor, nach der das UK alle EU-Regeln einhält und damit auch die Vorgaben der DSGVO. Nach Ablauf der Übergangsphase wird das UK nach der DSGVO zum EU-Drittland. Datenübermittlungen in Drittländer sind nach den Art. 44 ff. DSGVO nur unter bestimmten weiteren Voraussetzungen zulässig. Für die Zulässigkeit kommt es darauf an, ob in dem Drittland ein angemessenes Schutzniveau sichergestellt werden kann.

Die EU-Kommission kann in sogenannten Angemessenheitsbeschlüssen feststellen, dass in einem Drittland ein angemessenes Schutzniveau besteht. Datenexporteure und Datenimporteure können sich bei Datenübermittlungen in das betreffende Land dann auf diesen Angemessenheitsbeschluss berufen. Aktuell führt die EU-Kommission eine Bewertung der Datenschutzrechtslandschaft des Vereinigten Königreichs durch und evaluiert, ob sie einen solchen Angemessenheitsbeschluss erlassen kann. Seit März werden dafür Gespräche geführt und Dokumente vorgelegt.

Am 13.10.2020 veröffentlichte das britische Oberhaus einen Bericht über die zukünftigen Beziehungen des Vereinigten Königreichs zur EU. Dem Bericht zu Folge sieht das Oberhaus die Gefahr, dass die EU-Kommission keinen Angemessenheitsbeschluss für das UK erlassen wird. Deswegen fordert es, dass die britische Regierung auf einen baldigen Abschuss der Bewertung der EU-Kommission drängt.

Grund zur Sorge besteht durchaus. Denn so äußerte Věra Jourová, Vizepräsidentin der EU-Kommission und Kommissarin für Werte und Transparenz, Zweifel, ob das Vereinigte Königreich Änderungen in seiner nationalen Gesetzgebung durchführen wird, die von der Linie der DSGVO abweichen.

Auch bereits existierenden Gesetze des UK könnten dem Angemessenheitsbeschluss entgegenstehen. Der EuGH entschied erst am 6. Oktober 2020 (auch) über Überwachungsgesetze des UK. Laut dem EuGH sind die in den Gesetzen vorgeschriebenen flächendeckenden und pauschalen Speicherungen von Internet- und Verbindungsdaten nicht zulässig. Ausnahmen seien nur möglich, wenn es um die Bekämpfung schwerer Kriminalität oder den konkreten Fall einer Bedrohung der nationalen Sicherheit gehe.

Kommt es nicht zum Erlass eines Angemessenheitsbeschlusses, müssen Verantwortliche und Auftragsverarbeiter, die Daten in dieses Drittland übermitteln wollen, selbst geeignete Garantien zur Gewährleistung eines angemessenen Schutzniveaus vorsehen, damit Datenübermittlungen in das Drittland zulässig sind. Als geeignete Garantien kommen Binding Corporate Rules, die Verwendung von Standardvertragsklauseln der EU-Kommission (SCC), genehmigte Verhaltensregeln und genehmigte Zertifizierungsmechanismen und einzeln ausgehandelte Vertragsklauseln in Betracht.

In Bezug auf Standardvertragsklauseln bei Datentransfers in die USA hat der EuGH festgestellt, dass diese wegen der Überwachungsgesetze in den USA ohne weitere Maßnahmen nicht ausreichen, ein angemessenes Datenschutzniveau sicherzustellen. Eine ähnliche Situation könnte sich schlimmmstenfalls zum Jahreswechsel auch bei dem Vereinigten Königreich einstellen.

Überprüfung durch die Datenschutz-Aufsichtsbehörden

7. November 2016

Seit November 2016 kontrollieren die Datenschutz-Aufsichtsbehörden von 10 Bundesländern einige deutschlandweit ausgewählte Unternehmen, dahingehend, ob der internationale Datentransfer datenschutzkonform ausgestaltet ist.

Einer Pressemitteilung des Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen zufolge werden die Unternehmen nach dem Zufallsprinzip ausgewählt. Die Behörden achten darauf, dass die Unternehmen verschiedener Größe und aus unterschiedlichen Branchen sind. Die ausgewählten Unternehmen müssen einen detaillierten Fragebogen ausfüllen. Sofern die datenschutzrechtlichen Anforderungen nicht erfüllt sind ist mit Folgemaßnahmen zu rechnen.

Zweck dieser Kontrolle ist zum einen die Überprüfung der Unternehmen hinsichtlich der Übermittlung personenbezogener Daten in das Nicht-EU-Ausland. Zum anderen soll auch eine Sensibilisierung der Unternehmen bezüglich des Problembewusstseins beim Umgang mit der Übermittlung personenbezogenen Daten erreicht werden.