Datenschutz im Zeitalter der Globalisierung
Ein Datenschutzkonzept ist gerade bei Outsourcing und Offshoring-Prozessen wichtig - Risiken liegen in der langfristigen Bindung an einen Offshore-Partner im Ausland
Firmeninterna zwischen Datenschutz und Staatsgewalt - Wahrung des Datenschutzes bei international agierenden Unternehmen
(18.10.07) - Vom 9. bis 11. Oktober 2007 fand zum siebenten Mal Idacon – der Weka Kongress für Datenschutzbeauftragte – in Augsburg statt. Zusätzlich zu gesetzlichen Neuerungen und Fragen des Datenschutzes im Unternehmen stand vor allem ein Thema im Fokus des Kongresses: die Problematik des Datenschutzes im Rahmen von internationalen wirtschaftlichen Aktivitäten.
Datenschutz beim Outsourcing und Offshoring waren Thema des Vortrages von Dr. Peter Bräutigam, Partner der Kanzlei Nörr Stiefenhofer Lutz in München. Sowohl beim Outsourcing als auch beim Offshoring lagert ein Unternehmen Leistungen nach draußen. Der Unterschied liegt vor allem darin, dass dies beim Letzteren über Landesgrenzen hinweg erfolgt. Und gerade da lauern die datenschutzrechtlichen Fallstellen. Bräutigam erläuterte, warum es für viele Unternehmen attraktiv ist, insbesondere IT-Funktionen in ferne Länder wie Indien, China oder Rumänien auszulagern. Denn dort muss trotz hohem Ausbildungsniveau der Fachkräfte nur ein Bruchteil der deutschen Gehälter gezahlt werden.
In seinem eindringlichen Referat machte Bräutigam deutlich, wie wichtig ein Datenschutzkonzept gerade bei Outsourcing und Offshoring-Prozessen ist. Zudem spielt die sorgfältige Auswahl der Dienstleister und die detaillierte vertragliche Vereinbarung eine große Rolle, um keine Haftungsprobleme zu provozieren. Beim Offshoring kommen aber zu den wirtschaftlichen Vorteilen der Kostenersparnis auch erhebliche Risiken hinzu. Das Unternehmen muss genau prüfen, welche Datenschutzbestimmungen im Zielland gelten, da es ja erhebliche Datenmengen dorthin transferiert.
Zusätzliche Risiken lägen, so betonte Dr. Peter Bräutigam, in der langfristigen Bindung an einen Offshore-Partner im Ausland, der Abhängigkeit von der dortigen wirtschaftlichen und politischen Situation sowie dem Verlust an Kontrollmöglichkeiten.
Datenschutzrechtliche Probleme häufen sich darüber hinaus in der Personalverwaltung von internationalen Konzernen. Der Brühler Unternehmens- und Datenschutzberater Harald Eul diskutierte insbesondere die Problematik der Übertragung von Personaldaten an die Muttergesellschaft und unter welchen Voraussetzungen Mitarbeiterdaten eines Konzerns überhaupt in zentralen Telefon- und E-Mail-Verzeichnissen geführt werden dürfen.
Er verdeutlichte, dass die Datenweitergabe nur bei einem klaren Vertragszweck, bei berechtigtem Interesse, einer geleisteten Einwilligung der Mitarbeiter, einer entsprechenden Betriebsvereinbarung oder im Falle einer Auftragsdatenverarbeitung zulässig sei. Entscheidend beim Vertragszweck sei, so Eul, der individuelle Arbeitsvertrag des Arbeitnehmers mit dem einzelnen Konzernunternehmen und dass im Arbeitsvertrag ein eindeutiger Konzernbezug bestehe. Aber auch die Funktionsübertragung sei unter bestimmten Voraussetzungen möglich.
Harald Eul gab den Kongressteilnehmern, die etwa zu zehn Prozent aus internationalen Konzernen kamen, praktische Lösungsvorschläge mit an die Hand: Die Übertragung von Personaldaten innerhalb der Unternehmen eines Konzerns sollte am besten in Form der Auftragsdatenverarbeitung vollzogen werden, weil sie die beste Konstruktion für den Mitarbeiter darstellt, denn der Auftraggeber muss für die Einhaltung der Rechte sorgen. Bei der Funktionsübertragung müssen besondere Schutzmechanismen eingehalten und bei der Regelung durch Betriebsvereinbarungen sollten die Anforderungen vertraglich geregelt werden.
Die Unternehmen können auf konzernweite E-Mail- und Telefonverzeichnisse zugreifen, wenn es für die Tätigkeit der einzelnen Mitarbeiter erforderlich ist und wenn gute andere Gründe für ein konzernweites Verzeichnis bestehen. Besondere Probleme resultieren bei der Datenübertragung der ausländischen Tochterunternehmen aufgrund der unterschiedlichen Datenschutzniveaus in den einzelnen Ländern. Regelungen hierfür gibt es in den EU-Standard-Vertragsklauseln, dem Safe-Harbour-Prinzip der Vereinigten Staaten sowie den Binding Corporate Rules (BCR) für die Unternehmen.
Außerdem erörterte der auf Datenschutzrecht spezialisierte Anwalt und externe Datenschutzbeauftragte Dr. Gregor Scheja die Organisation von Datenschutz in internationalen Konzernen. Er erläuterte, inwieweit ein funktionierendes Datenschutznetzwerk über die Unternehmen hinweg erforderlich ist und wie die unterschiedlichen Meldevorschriften in den einzelnen Ländern effektiv eingehalten werden. Darüber hinaus diskutierte er Vertragskonzepte für die internationale Auftragsdatenverarbeitung.
In den Vorträgen weiterer Kongress-Referenten in Augsburg standen die neuesten gesetzlichen Bestimmungen und brisante datenschutzrechtliche Fragen im Mittelpunkt. Der Vorsitzende Richter am Landgericht Augsburg, Dr. Claus Pätzel, widmete sich dem Thema Firmeninterna zwischen Datenschutz und Staatsgewalt und erläuterte die Möglichkeiten der Wahrung von Betriebsgeheimnissen im Zivilprozess.
Heidi Schuster, Referentin für Datenschutz und IT-Sicherheit in der Generalverwaltung der Max- Planck-Gesellschaft München, beschäftigte sich mit dem datenschutzkonformen Internetauftritt im Rahmen des Telemediengesetzes (TMG). Die Datenschutzexperten Dr. Eugen Ehmann und Dr. Ivo Geis diskutierten die aktuellen Trends hinsichtlich der Stellung des Datenschutzbeauftragten bzw. den Datenschutz vor dem Hintergrund von virtuellen Plattformen wie "Second Life".
Wie jedes Jahr konnten die Teilnehmer des Kongresses vertiefende Intensivseminare besuchen, die am dritten Kongresstag stattfanden. Hier standen der Medizinische Datenschutz, die Problematik der Videoüberwachung sowie die aktuellen Trends der IT-Sicherheit im Fokus. (Weka Media: ra)
Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>