Seit Mai 2018 regelt die DSGVO den Datenschutz in der EU. Datenaustausch mit Drittländern ist kein Problem, wenn diese in Sachen Datenschutz als gleichwertig mit der EU eingestuft werden, ansonsten heißt es aufpassen und Genehmigungen einholen. [...]
Im Mai 2018 trat in der EU die Datenschutzgrundverordnung (DSGVO) in Kraft. In diesem Gesetz wird der Datenschutz und vor allem die Vorgangsweise bei einem Datenleck sowie die möglichen Strafen geregelt. Auch Kritiker, die der DSGVO eine gewisse Schwammigkeit bei manchen Formulierungen vorwerfen, erkennen an, dass die DSGVO in Sachen Datenschutz sehr ambitioniert ist. Dabei war von den Gesetzgebern von Anfang an gewollt, dass die DSGVO nicht nur auf die EU beschränkt sein soll, sondern auch Auswirkungen auf die Bestimmungen in Drittstaaten haben soll. Denn wenn EU-Länder mit Ländern außerhalb der EU, sog. Drittstaaten, Daten austauschen wollen, muss vertraglich dafür gesorgt werden, dass die Unternehmen in diesen Ländern die geforderten Datenschutzbestimmungen erfüllen. Anders sieht es aus, wenn Staaten einen der EU vergleichbaren Datenschutz bieten, dann ist der Transfer von Daten mit diesen Ländern ungleich einfacher. Jedoch gibt es hier Unterschiede, wie Hans G. Zeger, Dateneschutzexperte und Geschäftsführer der e-commerce monitoring gmbh weiß. So sei beispielsweise erst vor wenigen Tagen Japan als gleichwertig mit der DSGVO eingestuft worden. Zeger: „Damit sind Daten der EU-Bürger in Japan gleich sicher wie innerhalb der EU.“ Doch es gibt unterschiedliche Abkommen: So gelte das „Privacy-Shield“-Abkommen mit den USA nur unternehmensbezogen und enthalte viele Sonderregeln und Ausnahmen. Die Vereinbarung mit Japan gelte jedoch für alle Einrichtungen und alle persönlichen Daten. Immerhin dauerte der Anpassungsprozess knapp zwei Jahre. Ein parallel verhandeltes Abkommen mit Südkorea stehe noch aus, ergänzt Zeger. Das Abkommen mit Japan garantiert laut der Website der EU folgende Punkte: strenge Zweckbindung, nur notwendige Daten dürfen verarbeitet werden, minimale Speicherdauer, Sicherung der Datenaktualität, keine Übermittlung an unsichere Drittstaaten, Einhaltung von ausreichenden Sicherheitsmaßnahmen und zusätzliche Sicherheiten für sensible Daten.
Neben Japan gibt es bereits fünzehn weitere Länder, in die genehmigungsfrei persönliche Daten übermittelt werden dürfen. Diese sind: Norwegen, Liechtenstein, Island, Andorra, Argentinien, Kanada (nur Firmen), Faroe Inseln, Guernsey, Israel, Isle of Man, Jersey, Neuseeland, Schweiz, Uruguay und die USA (beschränkt auf Firmen, die wie erwähnt dem „Privacy Shield“ beigetreten sind). Doch nach wie vor sind viele wichtige österreichische Handelspartner noch immer nicht DSGVO-konform. Zeger verweist auf Drittländer wie China, Brasilien, Indien, Australien, Südafrika, Mexiko, Russland, Ukraine, Hongkong, oder Taiwan.
Datenübermittlung in Drittstaaten genehmigungspflichtig
Ohne Vereinbarung mit der EU ist ist die Datenübermittlung grundsätzlich genehmigungspflichtig und nach Zegers Erfahrungen oft ein Stolperstein für heimische Unternehmen: „Nach unseren Beobachtungen ist nicht genehmigter internationaler Datenverkehr die häufigste Datenschutzfalle in die Österreichs Betriebe tappen.“ Es gebe zahllose Szenarien, so der Datenschutzexperte, bei denen internationaler Datenverkehr stattfindet, ohne dass sich die Beteiligten darüber bewusst sind. Schon das Anzeigen von Personendaten in diesen Drittländern sei eine genehmigungspflichtige Datenübermittlung wie auch das Weiterleiten von Personallisten, Mitarbeiterverzeichnissen oder Kontaktlisten per E-Mail in diese Drittstaaten als internationaler Datenverkehr gelte.
Die Nutzung von Cloudservices mit Servern in einem dieser Drittstaaten sei ebenfalls als internationaler Datenvekehr zu werten. „Bei vielen Billiganbietern von Cloudservices weiß der Kunde überhaupt nicht, wo seine Daten tatsächlich gespeichert werden. Vertraut eine Firma diesem Cloudservice Mitarbeiter- oder Kundendaten an, muss vorab eine Genehmigung bei der Datenschutzbehörde eingeholt werden. Das passiert aber praktisch nie.“
Strittig ist derzeit noch, ob schon eine kurze Dienstreise und die Einsicht in die interne Kunden- oder Mitarbeiterverwaltung am eigenen Notebook im ausländischen Hotelzimmer als internationaler Datenverkehr zu qualifizieren ist. Hier fehlen noch Datenschutzentscheidungen. Unternehmen mit Mitarbeitern, die häufig auf Dienstreisen sind, sollten jedenfalls eine Datenschutzgenehmigung einholen, empfiehlt Zeger.
Genehmigung kann durch Einzelzustimmung ersetzt werden
Die Datenschutzgenehmigung kann auch durch die Einwilligung jedes einzelnen Betroffenen ersetzt werden, weiß Zeger, fügt aber hinzu, dass das bei Mitarbeiter- oder Kundendaten eher unrealistisch sei, man kaum von allen eine derartige Einwilligung bekommen werde.
Höchst realistisch ist diese Einwilligung bei ausländischen Dienstanbietern, deren Services ein EU-Bürger unbedingt benutzen will. In diesen Fällen wird meist zu allem zugestimmt, egal wie problematisch die Formulierungen sind. Daher bedienen sich viele Internetanbieter dieser „billigen“ Möglichkeit zum „legalen“ Datenverkehr in unsichere Drittländer.
Fehlende Genehmigungen und Verletzungen des Gesetzes können laut Art 83 DSGVO jedenfalls zu Strafen bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Umsatzes führen. Das seien Größenordnungen, die bei international agierenden Unternehmen der Bau-, KFZ-, Elektronik- oder Energie-Industrie rasch zu 50 und mehr Millionen Euro Strafe führen können, warnt Datenschutzexperte Zeger.
Zusätzlich droht diesen Unternehmen auch noch Ungemach durch Mitbewerber, die etwa bei einem internationlen Projekt zu kurz gekommen sind. Diese könnten mit hoher Erfolgswahrscheinlichkeit nach UWG (unlauterer Wettbewerb) klagen.
DSGVO-Wissen up-to-date halten
Wichtig ist, dass sich Unternehmen bezüglich der DSGVO ausgiebig informieren und ihre Mitarbeiter weiterbilden, ist Zeger überzeugt, der sein Wissen auch in Datenschutzlehrgängen weiter gibt. Ein solcher findet in Kooperation mit der ARGE DATEN am 9. April statt.
Infos dazu finden Interessierte unter: www.datenschutz-seminar.at/dsb.pdf.
Be the first to comment