Sehr geehrte Mandanten der GDPC,
vielleicht haben Sie schon von dem bisher höchsten, erst kürzlich verhangenem, Datenschutz-Bußgeld gegen den Fahrdienstleister „Uber“ gehört. Die für Uber zuständige niederländische Datenschutz-Aufsichtsbehörde hat ein Bußgeld in Höhe 290 Millionen Euro gegen Uber verhängt.
Ausgangspunkt waren Beschwerden von eigenen Beschäftigten/Fahrern gegenüber der Aufsichtsbehörde. Rechtlich maßgeblich für das Bußgeld war die fehlende Rechtsgrundlage für die Übermittlung personenbezogener Daten in die USA, als unsicherer Drittstaat außerhalb der Europäischen Union gemäß Art. 44 ff. DSGVO. Unternehmen, die personenbezogene Daten in Nicht-EU-Länder übermitteln, müssen besondere vertragliche, technische und organisatorische Maßnahmen ergreifen und prüfen, ob die Übermittlung im Einzelfall rechtlich zulässig ist; das ist nicht automatisch der Fall. Im vorliegenden Fall hatte Uber genau das versäumt und zudem auch sensible personenbezogene Daten wie Krankmeldungen von Fahrern, Kopien von Identitätsdokumenten o.Ä. zur Muttergesellschaft in die USA übermittelt.
Dass es in jedem Unternehmen relativ einfach zu solch einem Sachverhalt und damit auch zu einer entsprechenden Haftung der Unternehmen kommen kann, verdeutlicht folgendes Beispiel: Das Unternehmen x mit Sitz in Köln schafft sich ein Personalinformationssystems (inkl. digitaler Personalakte) eines deutschen Anbieters an. Dass der deutsche Anbieter zur Leistungserbringung aber zahlreiche US-amerikanische Unternehmen als Subdienstleister einsetzt und die Personaldaten im System daher dauerhaft auf Servern eines Subdienstleisters in den USA gespeichert werden, wird schnell übersehen oder für nicht so wichtig befunden. Vereinfacht ausgedrückt: Schon steckt das Unternehmen aus Köln in einer ähnlichen Situation wie Uber.
Um eine Datenübermittlung in die USA datenschutzkonform zu gestalten, gibt es – je nach Sachverhalt – jedoch mehrere Möglichkeiten und Wege. Seitdem das neue Abkommen zwischen den USA und der Europäischen Union (sog. EU-US-Privacy-Framework) verabschiedet wurde, ist eine Datenübermittlung oft einfacher zu rechtfertigen, zumindest sofern sich das jeweils in den USA ansässige Unternehmen nach diesem Abkommen auch bei der Federal Trade Commission (FTC) zertifiziert hat. Dies lässt sich online auf der Webseite der FTC prüfen (Data Privacy Framework-List (FTC)). Es reicht aber nicht aus, nur zu prüfen, ob eine Zertifizierung vorliegt. Das Unternehmen muss auch (regelmäßig) die Gültigkeit der Zertifizierung sowie die Reichweite der Zertifizierung prüfen. So gelten die meisten Zertifikate bspw. nicht für Personaldaten (HR-Data) und sind daher von der rechtlichen „Privilegierung“ nicht umfasst.
Als Unternehmen sollte man sich über derartige Risiken, die mit der Beauftragung von Unternehmen in Drittländern einhergehen, bewusst sein und vor jeder entsprechenden Beauftragung den betrieblichen Datenschutzbeauftragten ins Boot holen.
Ihre Datenschutzbeauftragten von der GDPC
Dr. Kevin Marschall und Stephan Blazy
