DSGVO außerhalb der EU

Seit Mai 2018 regelt die DSGVO den Datenschutz in der EU. Datenaustausch mit Drittländern ist kein Problem, wenn diese in Sachen Datenschutz als gleichwertig mit der EU eingestuft werden, ansonsten heißt es aufpassen und Genehmigungen einholen. [...]

Die Datenschutzregeln in Japan wurden kürzlich von der EU-Kommission als DSGVO-konform eingestuft.
Die Datenschutzregeln in Japan wurden kürzlich von der EU-Kommission als DSGVO-konform eingestuft. (c) Klaus Lorbeer

Im Mai 2018 trat in der EU die Datenschutzgrundverordnung (DSGVO) in Kraft. In diesem Gesetz wird der Datenschutz und vor allem die Vorgangsweise bei einem Datenleck sowie die möglichen Strafen geregelt. Auch Kritiker, die der DSGVO eine gewisse Schwammigkeit bei manchen Formulierungen vorwerfen, erkennen an, dass die DSGVO in Sachen Datenschutz sehr ambitioniert ist. Dabei war von den Gesetzgebern von Anfang an gewollt, dass die DSGVO nicht nur auf die EU beschränkt sein soll, sondern auch Auswirkungen auf die Bestimmungen in Drittstaaten haben soll. Denn wenn EU-Länder mit Ländern außerhalb der EU, sog. Drittstaaten, Daten austauschen wollen, muss vertraglich dafür gesorgt werden, dass die Unternehmen in diesen Ländern die geforderten Datenschutzbestimmungen erfüllen. Anders sieht es aus, wenn Staaten einen der EU vergleichbaren Datenschutz bieten, dann ist der Transfer von Daten mit diesen Ländern ungleich einfacher.  Jedoch gibt es hier Unterschiede, wie Hans G. Zeger, Dateneschutzexperte und Geschäftsführer der e-commerce monitoring gmbh weiß. So sei beispielsweise erst vor wenigen Tagen Japan als gleichwertig mit der DSGVO eingestuft worden. Zeger: „Damit sind Daten der EU-Bürger in Japan gleich sicher wie innerhalb der EU.“ Doch es gibt unterschiedliche Abkommen: So gelte das „Privacy-Shield“-Abkommen mit den USA nur unternehmensbezogen und enthalte viele Sonderregeln und Ausnahmen. Die Vereinbarung mit Japan gelte jedoch für alle Einrichtungen und alle persönlichen Daten. Immerhin dauerte der Anpassungsprozess knapp zwei Jahre. Ein parallel verhandeltes Abkommen mit Südkorea stehe noch aus, ergänzt Zeger. Das Abkommen mit Japan garantiert laut der Website der EU folgende Punkte: strenge Zweckbindung, nur notwendige Daten dürfen verarbeitet werden, minimale Speicherdauer, Sicherung der Datenaktualität, keine Übermittlung an unsichere Drittstaaten, Einhaltung von ausreichenden Sicherheitsmaßnahmen und zusätzliche Sicherheiten für sensible Daten.

Neben Japan gibt es bereits fünzehn weitere Länder, in die genehmigungsfrei persönliche Daten übermittelt werden dürfen. Diese sind: Norwegen, Liechtenstein, Island, Andorra, Argentinien, Kanada (nur Firmen), Faroe Inseln, Guernsey, Israel, Isle of Man, Jersey, Neuseeland, Schweiz, Uruguay und die USA (beschränkt auf Firmen, die wie erwähnt dem „Privacy Shield“ beigetreten sind). Doch nach wie vor sind viele wichtige österreichische Handelspartner noch immer nicht DSGVO-konform. Zeger verweist auf Drittländer wie China, Brasilien, Indien, Australien, Südafrika, Mexiko, Russland, Ukraine, Hongkong, oder Taiwan.

Datenübermittlung in Drittstaaten genehmigungspflichtig

Ohne Vereinbarung mit der EU ist ist die Datenübermittlung grundsätzlich genehmigungspflichtig und nach Zegers Erfahrungen oft ein Stolperstein für heimische Unternehmen: „Nach unseren Beobachtungen ist nicht genehmigter internationaler Datenverkehr die häufigste Datenschutzfalle in die Österreichs Betriebe tappen.“ Es gebe zahllose Szenarien, so der Datenschutzexperte, bei denen internationaler Datenverkehr stattfindet, ohne dass sich die Beteiligten darüber bewusst sind. Schon das Anzeigen von Personendaten in diesen Drittländern sei eine genehmigungspflichtige Datenübermittlung wie auch das Weiterleiten von Personallisten, Mitarbeiterverzeichnissen oder Kontaktlisten per E-Mail in diese Drittstaaten als internationaler Datenverkehr gelte.

Die Nutzung von Cloudservices mit Servern in einem dieser Drittstaaten sei ebenfalls als internationaler Datenvekehr zu werten. „Bei vielen Billiganbietern von Cloudservices weiß der Kunde überhaupt nicht, wo seine Daten tatsächlich gespeichert werden. Vertraut eine Firma diesem Cloudservice Mitarbeiter- oder Kundendaten an, muss vorab eine Genehmigung bei der Datenschutzbehörde eingeholt werden. Das passiert aber praktisch nie.“

Strittig ist derzeit noch, ob schon eine kurze Dienstreise und die Einsicht in die interne Kunden- oder Mitarbeiterverwaltung am eigenen Notebook im ausländischen Hotelzimmer als internationaler Datenverkehr zu qualifizieren ist. Hier fehlen noch Datenschutzentscheidungen. Unternehmen mit Mitarbeitern, die häufig auf Dienstreisen sind, sollten jedenfalls eine Datenschutzgenehmigung einholen, empfiehlt Zeger.

Genehmigung kann durch Einzelzustimmung ersetzt werden

Die Datenschutzgenehmigung kann auch durch die Einwilligung jedes einzelnen Betroffenen ersetzt werden, weiß Zeger, fügt aber hinzu, dass das bei Mitarbeiter- oder Kundendaten eher unrealistisch sei, man kaum von allen eine derartige Einwilligung bekommen werde.

Höchst realistisch ist diese Einwilligung bei ausländischen Dienstanbietern, deren Services ein EU-Bürger unbedingt benutzen will. In diesen Fällen wird meist zu allem zugestimmt, egal wie problematisch die Formulierungen sind. Daher bedienen sich viele Internetanbieter dieser „billigen“ Möglichkeit zum „legalen“ Datenverkehr in unsichere Drittländer.

Fehlende Genehmigungen und Verletzungen des Gesetzes können laut Art 83 DSGVO jedenfalls zu Strafen bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Umsatzes führen. Das seien Größenordnungen, die bei international agierenden Unternehmen der Bau-, KFZ-, Elektronik- oder Energie-Industrie rasch zu 50 und mehr Millionen Euro Strafe führen können, warnt Datenschutzexperte Zeger.

Zusätzlich droht diesen Unternehmen auch noch Ungemach durch Mitbewerber, die etwa bei einem internationlen Projekt zu kurz gekommen sind. Diese könnten mit hoher Erfolgswahrscheinlichkeit nach UWG (unlauterer Wettbewerb) klagen.

DSGVO-Wissen up-to-date halten

Wichtig ist, dass sich Unternehmen bezüglich der DSGVO ausgiebig informieren und ihre Mitarbeiter weiterbilden, ist Zeger überzeugt, der sein Wissen auch in Datenschutzlehrgängen weiter gibt. Ein solcher findet in Kooperation mit der ARGE DATEN am 9. April statt.

Infos dazu finden Interessierte unter: www.datenschutz-seminar.at/dsb.pdf.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*