Nach aktuellen Pressemeldungen der Datenschutzaufsichtsbehörden werden Datenübermittlungen, insbesondere ins Ausland zukünftig verstärkt kontrolliert. In der Praxis sollen zunächst 500 Unternehmen aus mehreren Bundesländern, verschiedener Branchen und unterschiedlicher Größe angeschrieben und zu den Datenübermittlungen schriftlich durch Ausfüllen eines Fragebogens bzw. einer entsprechenden Stellungnahme befragt werden. Die Datenschutzaufsichtsbehörden wollen mit dieser Prüfung zum einen eine Übersicht erhalten, welche Datenübermittlungen tatsächlich in die EU/EWR bzw. vor allem in sog. Drittländer stattfinden und zum anderen soll damit eine Sensibilisierung zum Datenschutz erreicht werden.

Problematisch ist, dass auch solche Datenübermittlungen einbezogen werden müssen, welche sich aus reinen Dienstleistungen ergeben. Konkret bedeutet dies, dass eingesetzte Software z. B. zur Kundenpflege, Textverarbeitung oder zur originären Büroverwaltung kritisch beurteilt werden muss. Im Speziellen, die Anbieter die Daten ins Ausland senden (z. B. im Rahmen des Kundenservices) oder Serverstandorte dort haben (z. B. im Rahmen einer Datenauslagerung) sind zu überprüfen.

Es ist daher sinnvoll die Datenübermittlungen mit Kunden, Geschäftspartnern und auch etwaige Dienstleistungen bereits im Vorfeld gesondert zu betrachten.

Es muss sichergestellt werden, dass die Datenverarbeitung in einem Land durchgeführt wird, indem ein angemessenes Datenschutzniveau gemäß §§ 4b, 4c BDSG vorliegt. Ermittelt werden sollen Angaben über die Länder an die Daten übertragen werden,  verarbeiteten Datenkategorien, eingesetzte Dienstleister in bestimmten Bereichen, technischen und organisatorischen Maßnahmen sowie die Bestellung eines Datenschutzbeauftragten.

Ein sicheres Datenschutzniveau wird derzeit im EU- und EWR-Raum und in den von den Aufsichtsbehörden nominierten sicheren Drittstatten (z. B. Schweiz, Kanada, Argentinien, Israel, Neuseeland, Australien, Andorra u.a.) angenommen. Daneben gibt es grundsätzlich die EU-Standartvertragsklauseln, das EU/USA-Privacy Shield-Abkommen  zwischen der EU und der USA, Binding Corporate Rules oder die Möglichkeit einer expliziten Einwilligung des Betroffenen als Maßnahmen für ein gesichertes Datenschutzniveau.

Damit Unternehmen für die nunmehr zunehmenden Anfragen der Datenschutzaufsichtsbehörden gerüstet sind, sollten im Vorfeld die Datenübermittlungen dediziert überprüft werden.