- Anzeigen -
Besuchen Sie auch unser Zeitschriftenportfolio im Bereich Governance, Risk, Compliance & Interne Revision

Sie sind hier: Home » Markt » Hinweise & Tipps

Übermittlung von personenbezogenen Daten


Bedeutung von Safe Harbor und Datenschutz bei Data Management von Kunden und Interessenten
Die Datenübermittlung in die USA ist zulässig, wenn die betroffene Person hierzu explizit ihre Einwilligung erklärt hat

(05.11.15) - Das Urteil des Europäischen Gerichtshof (EuGH) hat die "Safe Harbor"-Entscheidung der Europäischen Kommission für ungültig erklärt. Damit ist dem Austausch personenbezogener Daten zwischen europäischen und US-amerikanischen Unternehmen die gängigste Rechtsgrundlage entzogen worden. Welche Chancen und Risiken das Urteil insbesondere für deutsche Unternehmen hat, kommentiert im Folgenden Holger Stelz, Direktor Marketing & Business Development bei Uniserv, einem Anbieter für Kundendatenmanagement.
Safe Harbor: "Urteil betrifft alle Unternehmen, die Kundendaten selbst oder über Dritte in die USA übermitteln"

Der Fall
Das gesprochene "Safe-Harbor-Urteil" des EuGH setzt das Safe-Harbor-Abkommen aus. Das Gericht verweist in dem Fall des Österreichers Max Schrems, der den Datenschutz von Facebook kritisiert, auf die fehlende Möglichkeit, per Rechtsbehelf die Löschung personenbezogener Daten zu verlangen. Dies verletze "den Wesensgehalt des Grundrechts auf wirksamen Rechtsschutz". Die Folge: Irlands Datenschutzbehörde muss nun prüfen, ob die Übermittlung von Daten europäischer Nutzer durch Facebook in die USA rechtmäßig ist.

Safe-Harbor-Urteil kann alle deutschen Unternehmen mit Kundendaten treffen
"Nach dem EuGH-Urteil muss allen klar sein, dass der Wegfall des ‚sicheren Hafens’ keineswegs nur US-Firmen oder die viel benannten Unternehmen wie Facebook, Google & Co. betrifft. Jedes Unternehmen, das personenbezogene Daten wie etwa Kundendaten selbst oder mit Hilfe amerikanischer Dienstleister in die USA übermittelt, muss sich jetzt über die Folgen des Urteils informieren", sagt Roland Pfeiffer.

Erste Schritte für Unternehmen
"Das Grundsatzurteil könnte zur Folge haben, dass die Datenschutzbehörden der EU-Länder künftig strenger überprüfen, wie Unternehmen mit personenbezogenen Daten umgehen. Auch vermehrte Anfragen und Klagen von EU-Bürgern gegen Unternehmen sind wahrscheinlich. Im ersten Schritt sollten Unternehmen deshalb gewissenhaft prüfen, ob sie Daten in die USA übermitteln oder entsprechende Cloud-Dienste nutzen, bei denen dies der Fall ist, oder US-Unternehmen Zugriff haben", rät Datenmanagementexperte Roland Pfeiffer von Uniserv.

"Konkret sollten sie dabei prüfen, ob direkt oder über Dritte Kunden- beziehungsweise Interessentendaten in der Cloud außerhalb der EU verarbeitet oder gespeichert werden – und ob dies bisher auf Basis des Safe-Harbor-Abkommens erfolgte. Dabei sollten Unternehmen nicht nur Anwendungen wie Enterprise Resource Planning (ERP), Customer Relationship Management (CRM), Lead-Management oder Marketing Automation im Blick haben, sondern auch an File-Sharing-Dienste denken, über die möglicherweise solche personenbezogenen Daten ausgetauscht werden. Auch wenn das eigene Unternehmen Teil eines internationalen Konzerns ist und bisher Kunden- oder Interessentendaten in die USA übermittelt und dort gespeichert werden, sollte geprüft werden, ob dies bisher auf Basis des Safe-Harbor-Abkommens erfolgte", so Roland Pfeiffer. "Zu beachten ist hierbei, dass ein Datenexport auch dann vorliegt, wenn keine physische Übermittlung stattfindet, sondern ein Unternehmen in den USA lediglich einen Zugriff auf Kunden- oder Interessenten-Datenbank eines deutschen Unternehmens hat."

Es gibt Alternativen zum Safe-Harbor-Abkommen

1. Gesetzliche Ausnahmen
Das BDSG erlaubt in sehr engen Grenzen Ausnahmen <www.gesetze-im-internet.de/bdsg_1990/__4c.html> für die Übermittlung. Und zwar dann, wenn diese Übermittlung "zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen" erforderlich ist. Dies kann beispielsweise für die Buchung eines Hotelzimmers im Ausland der Fall sein.

2. Die Einwilligung
Die Datenübermittlung in die USA ist zulässig, wenn die betroffene Person hierzu explizit ihre Einwilligung erklärt hat. Die Hürden dazu liegen allerdings nach Paragraf 4a BDSG: www.gesetze-im-internet.de/bdsg_1990/__4a.html recht hoch. Ein Hinweis in den AGBs ist hier auf keinen Fall ausreichend.

In der Praxis dürfte diese Lösung nur in Ausnahmefällen anwendbar sein. Insbesondere die nachträgliche Einholung der Einwilligung für sich bereits in der Kundendatenbank befindliche Einträge ist realistisch kaum umsetzbar.

3. EU-Standardvertragsklausel
Für die Übermittlung von personenbezogenen Daten in Drittländer hat die EU-Kommission Standardvertragsklauseln http://ec.europa.eu/justice/data-protection/international-transfers/transfer/index_en.htm als Alternative zu Safe Harbor festgelegt. Wenn diese Klauseln im Rahmen eines Vertrags zwischen dem exportierenden EU-Unternehmen und dem Unternehmen, das Daten importiert, unverändert verwendet werden, so ist eine darauf basierende Datenübermittlung auch in die USA erlaubt. In Deutschland ist – anders als in anderen EU-Staaten – bei Verwendung der Original-Vorgaben keine Genehmigung durch die Aufsichtsbehörde erforderlich.

In der aktuellen Situation dürfte die Verwendung der bestehenden EU-Standardvertragsklausel ein gangbarer Weg sein. Der Partner in den USA muss allerdings dazu bereit sein, sich dem Recht und der Datenschutzaufsicht des jeweiligen EU-Landes zu unterwerfen.

4. Binding Corporate Rules
Internationale Konzerne können sich verbindliche Konzernregeln zum Datenschutz auf Basis der EU-Vorgaben definieren. Dies hat Vor- und Nachteile (https://www.thomashelbing.com/de/binding-corporate-rules-bcr-datenschutz-eu-drittstaaten-datenschutzgrundverordnung-bdsg). In der Praxis oft als hinderlich erweist sich, dass sich der gesamte Konzern weltweit weitgehend dem EU-Datenschutz unterwerfen muss und die Zustimmung der Datenschutzbehörden in allen EU-Ländern notwendig ist. Festzustellen bleibt, dass damit zumindest keine schnelle Lösung darstellbar ist.
Statt Binding Corporate Rules können die Unternehmen in der EU jedoch auch mit den Daten empfangenden Unternehmen im Konzern außerhalb der EU Verträge gemäß den Standardverträgen der EU-Kommission für Datenexporte schließen. Zumindest wenn die Anzahl der Partner überschaubar ist, stellt dies oft eine einfachere Lösung dar.

Das Urteil wird für einige Firmen weitreichende Veränderungen zur Folge haben
"Das Gerichtsurteil des EuGH wird den Druck auf die Unternehmen bezüglich des Datenschutzes erhöhen. Sie müssen genauer hinschauen, auch bei der Wahl von Software- und Cloud-Lösungen für Kundendaten", erklärt der Datenmanagement-Experte Roland Pfeiffer und empfiehlt: "Wichtig für die Unternehmen ist nun individuell zu prüfen, was zu tun ist. Wenn sie direkt oder über Dritte Daten von Kunden oder Interessenten in die USA übermitteln und dies bisher auf der Rechtsgrundlage des Safe-Harbor-Abkommens erfolgte, dann sollten sie dies kurzfristig auf die unveränderten EU-Standardvertragsklauseln umstellen oder überprüfen, welche Möglichkeit es gibt, auf die Übermittlung in die USA zu verzichten." (Uniserv: ra)

Uniserv: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Welche Produkte benötigen eine UKCA-Kennzeichnung?

    Es bleiben nur noch ein paar Monate, bis die Übergangsfrist für die UKCA-Kennzeichnung endet. BSI, das Unternehmen für Geschäftsverbesserung und Standards, möchte alle betroffenen Hersteller daran erinnern, die relevante regulierte Produkte in Großbritannien (England, Wales und Schottland) auf den Markt bringen wollen. Die UKCA-Kennzeichnung wird ab dem 1. Januar 2022 die herkömmliche CE-Kennzeichnung ersetzen. Betroffene Produkte, für die bisher die CE-Kennzeichnung durch eine Benannte Stelle benötigt wurde, müssen dann von einer in Großbritannien zugelassenen Stelle (UK Approved Body) mit der UKCA-Kennzeichnung versehen werden. Die CE-Kennzeichnung wird für die meisten Produkte ab dem 1. Januar 2022 nicht mehr anerkannt werden. Für Schiffsausrüstungen, medizinische Geräte und IVDs wurde eine verlängerte Übergangsfrist gewährt. Shahm Barhom, Group Product Certification Director bei BSI Group (British Standard Institution, sagte: "Seit unserem Austritt aus der Europäischen Union am 31. Januar 2020 befinden wir uns in einer Übergangszeit, in der sowohl die UKCA- als auch die CE-Kennzeichnung akzeptiert werden, aber ab dem 1. Januar 2022 wird dies nicht mehr der Fall sein. Die meisten Produkte, die in Großbritannien auf den Markt gebracht werden, benötigen ab dem kommenden Jahr die UKCA-Kennzeichnung und die damit verbundenen Prüfungen und Zertifizierungen müssen von einer in Großbritannien zugelassenen Stelle durchgeführt werden.

  • EU-GwG Geldwäsche und Terrorismusfinanzierug

    Seit dem Jahr 1991, als das EU-GwG Geldwäsche und Terrorismusfinanzierung erstmals definierte und zum Straftatbestand erklärte, befindet es sich in einem stetigen Wandel. In der aktuellsten Ausführung - mittlerweile der fünften - reagieren die Änderungsrichtlinien besonders auf das Bekanntwerden der sogenannten Panama-Papers sowie auf die terroristischen Anschläge in Paris und Brüssel. Außerdem ergab eine Studie der Universität Halle von 2016, dass in Deutschland jährlich immer noch 100 Milliarden Euro gewaschen werden. (Dunkelstudie über den Umfang der Geldwäsche in Deutschland und über die Geldwäscherisiken in einzelnen Wirtschaftssektoren, Prof. Dr. jur. Kai-D. Bussmann, 2016). Letzte Überarbeitungen erweiterten daher vor allem den Kreis der Verpflichteten, sehen aber auch eine weitere Steigerung der Transparenz vor. Auch die Sorgfaltspflicht, primär beim Einsatz virtueller Währungen oder bei Geschäftsbeziehungen mit Hochrisikodrittländern, verschärft sich deutlich. Die Umsetzung dieser Erweiterungen bedeutet für verpflichtete Unternehmen einen hohen bürokratischen Aufwand, der einige Kapazitäten binden kann. Als umso wichtiger erweisen sich daher eine klare Präventionsstratiegie und innovative Softwareunterstützung.

  • Gesetz zum Whistleblower-Schutz

    Zum Ende des Jahres 2021 wird das deutsche Gesetz zum Whistleblower-Schutz in Kraft treten: Unternehmen mit mehr als 50 Angestellten bzw. einem Jahresumsatz von 10 Mio. Euro müssen verpflichtend Hinweisgebersysteme einführen. Was Arbeitnehmer sowie Unternehmen bei einer Whistleblowing-Plattform beachten sollten, weiß Whistleblowing-Experte Kai Leisering von Business Keeper. EU-Whistleblowing-Richtlinie: Noch sind Whistleblower in Europa und Deutschland nicht ausreichend geschützt: Häufig haben sie für die Meldung eines Missstandes mitunter schwerwiegende Konsequenzen zu befürchten. Das Bundesjustizministerium hat deswegen bis Ende des Jahres Zeit, das deutsche Gesetz zum Whistleblower-Schutz umzusetzen. Die Richtlinie verpflichtet Unternehmen mit mehr als 250 Angestellten bzw. einem Jahresumsatz von 10 Millionen Euro, ab 2023 dann auch Unternehmen mit über 50 Angestellten, staatliche Institutionen und Gemeinden ab einer bestimmten Größe zur Einführung einer Whistleblowing-Plattform.

  • Vermächtnis und Familienbande

    Leere Chefsessel in mittelständischen Betrieben? Vor allem in Familienunternehmen mit bis zu 500 Mitarbeitern sehen sich viele Senior-Entrepreneure bei ihrer Suche nach einem Nachfolger mit enormen Schwierigkeiten konfrontiert. Ein Mangel an geeigneten Kandidaten ist dabei nur einer der Stolpersteine auf dem Weg zum Generationswechsel im Betrieb. "Oft warten Inhaber zu lange damit, ihre Rückzugspläne zu konkretisieren. Bei anderen mangelt es an individuell zugeschnittenen Regelungen", weiß Felix Korten, Rechtsanwalt und Vorstand der Korten Rechtsanwälte AG. Damit sich die Stabsübergabe von der ersten auf die zweite oder sogar dritte Generation nicht zum Spießrutenlauf entwickelt, muss der Machtwechsel gründlich vorbereitet und professionell begleitet werden.

  • Neun Praxistipps zur digitalen Betriebsprüfung

    Eine Steuerprüfung ist immer mit Aufregung verbunden. Geht dann noch das große Suchen los, wird sie zum puren Stress. Damit sich Unternehmen für den Tag X optimal aufstellen, hat der ERP-Hersteller proAlpha neun Praxistipps zusammengestellt. Es gibt schönere Dinge im Leben eines kaufmännischen Leiters als eine digitale Betriebsprüfung. Denn die Menge möglicher Stolpersteine ist enorm. Damit Unternehmen der nächsten Prüfung entspannter entgegensehen können, helfen neun einfache Praxistipps.