Internationaler Datenschutz

Kaum ein Unternehmen – sei es auch primär lokal agierend – kommt ohne Übermittlung von personenbezogenen Daten in eine im Ausland belegene Stelle aus. Solche grenzüberschreitenden Datentransfers betreffen Einzelunternehmen, vermehrt aber insbesondere Gruppenunternehmen, also im Konzern verbundene Gesellschaften. Auch bei der Inanspruchnahme von Cloud Computing werden Daten regelmäßig international transferiert.

Einzelunternehmen

Unternehmen, die nicht Teil einer Unternehmensgruppe sind, nutzen häufig Auftragnehmer im Zuge von Outsourcingaktivitäten. Sie sind dabei regelmäßig Auftraggeber im Rahmen einer Auftragsdatenverarbeitung. Aus der Perspektive des internationalen Datenschutzrechts unproblematisch sind die Fälle, in denen der Auftragnehmer seinen Sitz innerhalb der EU hat, da insoweit ein homogenes Datenschutzniveau durch die Richtlinie 95/46/EG des Europäischen Parlaments erreicht wurde.

Wenn der Dienstleister im sogenannten Drittland, also einem Land außerhalb der EU sitzt, ist zu unterscheiden: Eine Übermittlung personenbezogener Daten, etwa Kunden- oder Mitarbeiterdaten, ist dann zulässig, wenn im Drittland ein dem in der EU herrschenden Standard vergleichbarer Datenschutz gewährleistet ist. Hinsichtlich einiger Länder hat die EU-Kommission dies verbindlich festgestellt (Argentinien, Guernsey, Isle of Man, Jersey, Kanada, Schweiz und Neuseeland), so dass ein Transfer grundsätzlich unproblematisch ist.

Ansonsten ist für den Einzelfall zu untersuchen, welche der rechtlich zur Verfügung stehenden Lösungen die adäquate ist – auch aus Erwägungen der Verhältnismäßigkeit für den Auftraggeber. So ist zu entscheiden, ob für den fraglichen Fall auf sogenannte EU-Standardvertragsklauseln, individuelle Verträge, Einwilligungslösungen durch die Betroffenen, die Zertifizierung durch den EU-U.S. Privacy Shield (zukünftig gültiger Nachfolger des vom EuGH für ungültig erklärten Safe Harbor Abkommens) oder eine der weiteren Alternativen zurückzugreifen ist. Es kommt hierbei darauf an,

  • welche Datenkategorien übermittelt werden, ob dies dauerhaft geschieht,
  • wie die nationalen Gesetze im Empfängerland beschaffen sind,
  • zu welchem Zweck die Verarbeitung vorgenommen wird
  • etc.

Aber auch die aufsichtsbehördliche Praxis muss bekannt sein, um die „richtige“ Entscheidung zu treffen.

Konzerne / sonstige verbundene Unternehmen

Grundsätzlich ist die Situation im Konzern zum soeben geschilderten nicht sonderlich abweichend, was den internationalen Datentransfer betrifft – jedenfalls, was die Grundregeln betrifft. Schließlich profitieren die Unternehmen eines Konzerns datenschutzrechtlich gegenüber nicht verbundenen Unternehmen nur bedingt – es gibt kein sog. Konzernprivileg. Die Herausforderungen für die beteiligten Unternehmen ergeben sich zudem aus der Komplexität der Unternehmensstruktur selbst sowie der häufig zunächst gar nicht im Detail bekannten Unternehmens-Datenflüsse. Am Anfang eines gelungenen Datentransfer-Konzepts für einen Konzern oder für sonstige verbundene Unternehmen steht daher die möglichst genaue Kenntnis des Datentransfers:

  • Woher kommen die betroffenen Daten? Welche Qualität haben sie?
  • Welche Unternehmen können „in das System schauen“, sind also Empfänger?
  • Welche Unternehmensbereiche müssen zwingend Zugriff haben?
  • Werden in allen angeschlossenen Unternehmen tatsächlich dieselben Systeme verwendet oder
  • kommt es zu lokalen Spezialitäten? usw.

In einem weiteren Schritt ist dann das optimale Schutzkonzept zu finden. Neben den bereits genannten (EU-Standardvertragsklauseln, individuelle Verträge etc.) gibt es einige Instrumente, die sich gerade für Konzerne anbieten. Insoweit ist die Rede von

  • Binding Corporate Rules oder
  • Codes of Conduct.

Je nach Unternehmensgröße, Kernbereich des unternehmerischen Handelns und auch je nach Komplexität des tatsächlichen Datentransfers sollte entschieden werden, welches Instrument oder gegebenenfalls auch welche Kombination von Lösungsansätzen gewählt werden soll. Gegebenenfalls sind Dritte in den Prozess einzubeziehen, etwa Betriebsräte oder auch Aufsichtsbehörden.

Nach dem Abwägungs- und Entscheidungsprozess kommt es zur eigentlichen Implementierungsphase. Während viele Datenschutzbeauftragte mangels genauer Kenntnis von Unternehmenskulturen hier eine Übergabe an den Konzern erwägen, sehen unsere Datenschutzexperten als Kenner der verschiedenen Unternehmenskulturen gerade diesen Teil des Datenschutzmanagements im internationalen Kontext als die entscheidende Phase ihrer Beratungstätigkeit an. Wir ziehen uns also nicht zurück, sondern bereiten alle Unterlagen unterschriftsreif vor und unterstützen oder führen den gesamten Kommunikationsprozess, sowohl in dem Konzern als auch mit evtl. einzubeziehenden Dritten. Internationale Rechts- und Sprachkenntnisse helfen hier, die vorhandenen Erfahrungen auf den Punkt zu kommunizieren und umzusetzen.

Und das Beste daran: Sie erfahren von uns vorher, wie lange dieser Prozess dauert. Auch ökonomisch betrachtet sind unsere maßgeschneiderten Projekte im internationalen Datenschutz kein „Fass ohne Boden“. Gerade als Premiumanbieter ist uns Kostentransparenz und –kontrolle wichtig. In der Regel sind wir in der Lage, Projektpauschalen anzubieten.

Bleiben oder werden Sie rechtskonform im internationalen Datentransfer. Schauen Sie aufsichtsbehördlichen Prüfungen gelassen ins Auge bzw. schaffen Sie Möglichkeiten, aufsichtsbehördliche Genehmigungsverfahren auf ein notwendiges Maß zu reduzieren. Finden Sie konstruktive Lösungen für unternehmenspolitische Zielkonflikte im internationalen Umfeld!