Anzeige

Anzeige

VERANSTALTUNGEN

LIVE2019
28.05.19 - 28.05.19
In Nürnberg

Online B2B Conference
04.06.19 - 05.06.19
In Holiday Inn Westpark, München

ACMP Competence Days Dortmund
04.06.19 - 04.06.19
In SIGNAL IDUNA PARK, 44139 Dortmund

Aachener ERP-Tage 2019
04.06.19 - 06.06.19
In Aachen

WeAreDevelopers
06.06.19 - 07.06.19
In Berlin, Messe CityCube

Anzeige

Anzeige

DSGVO - Europakarte

International agierende Unternehmen übertragen häufig personenbezogene Daten in andere Länder. Die neue Datenschutz-Grundverordnung (DSGVO) stellt eine Reihe von Instrumenten bereit, um den Datentransfer auch weiterhin rechtlich sicher zu gestalten.

Das Versenden und Austauschen von Informationen innerhalb der EU bleibt relativ einfach. Die DSGVO bringt ein weitgehend einheitliches Datenschutzniveau mit sich. Der Datenaustausch ist ohne weiteres möglich, wenn die Betroffenen grundsätzlich der Datenverarbeitung zugestimmt haben oder eine gesetzliche Erlaubnis greift.

Ähnlich ist es auch mit Ländern, die zwar nicht zur EU gehören, in denen aber die Datensicherheit entsprechend hoch ist und die EU-Kommission dies förmlich festgestellt hat. Die EU-Kommission hat diese Länder als „datentechnisch sicher“ eingestuft. Unter die EU-Angemessensheitsbeschlüsse fallen beispielsweise die Schweiz, Kanada, Israel, Argentinien oder Neuseeland.

„Allerdings hat die EU in der neuen Verordnung die Prüfkriterien für das Datenschutzniveau weiter verschärft“, sagt Kristina Schreiber, Rechtsanwältin der Kanzlei Loschelder und Referentin bei der TÜV NORD Akademie. „Von daher könnte es künftig Änderungen bei den Angemessenheitsbeschlüssen geben.“ Die derzeitigen Beschlüsse bleiben aber solange bestehen, bis die EU etwas anderes entscheidet. Sie sind also auch nach dem Start der neuen DSGVO im Mai 2018 gültig.

Sonderregelungen zum Datenaustausch mit Drittländern

Wer mit Geschäftspartnern in einem Drittland zusammenarbeitet, das nicht das EU-Datenschutzniveau hat, muss Sonderregelungen beachten. „Dazu sieht die DSGVO insbesondere in Artikel 46 verschiedene Möglichkeiten vor, aus denen man sich das passende Instrument aussucht “, so Schreiber. 

Wenn eine Firma beispielsweise für Kundenanfragen ein Call-Center in Mumbai nutzen will, dann muss sie den indischen Mitarbeitenden dafür die Daten deutscher Kundinnen und Kunden zur Verfügung stellen. Dafür kann das Unternehmen mit dem indischen Call-Center zum Beispiel sogenannte Standarddatenschutzklauseln vereinbaren. Das sind von der EU zur Verfügung gestellte Verträge, die nicht verändert werden dürfen.

Damit verpflichtet sich der Geschäftspartner in dem anderen Land, ein Datenschutzniveau einzuhalten, das den Ansprüchen der EU genügt. Nach neuem Recht dürfen auch die nationalen Behörden solche Standarddatenschutzklauseln zur Verfügung stellen. Sie müssen aber von der EU-Kommission genehmigt werden – für ein einheitliches Datenschutzniveau.

Tochtergesellschaften in unsicheren Drittstaaten

Für den Datenaustausch eines deutschen Konzerns mit seinen Tochtergesellschaften in „unsicheren Drittstaaten“ wie beispielsweise Ägypten, China oder Russland, gibt es andere Instrumente. Mit Binding Corporate Rules (BCR) zum Beispiel verpflichten sich ausländische Tochtergesellschaften intern, das europäische Datenschutzrecht einzuhalten. Auch sie müssen behördlich genehmigt werden.

„Durch die DSGVO werden solche Selbstverpflichtungen auf eine rechtssicherere Basis gestellt“, sagt Rechtsanwältin Kristina Schreiber. Die BCR können nicht nur innerhalb eines Konzerns, sondern auch bei festen Kooperationen mit anderen Unternehmen eingesetzt werden, zum Beispiel in der Forschung und Entwicklung.

Der Privacy Shield gilt weiter – vorerst

Was die USA betrifft, gilt das Privacy-Shield-Abkommen auch nach Einführung der DSGVO. Der Nachfolgevertrag der umstrittenen Safe-Harbor-Regelung ist der aktuelle Rechtsrahmen für den Datentransfer zwischen den USA und der EU. Er sieht unter anderem vor, dass US-Unternehmen im Rahmen einer Selbstzertifizierung bestätigen, dass sie über ein EU-konformes Datenschutzniveau verfügen.

Allerdings gibt es einige Punkte in der DSGVO, die den Datenschutz unter Umständen strenger sehen als das Privacy-Shield-Abkommen. Deshalb könnte es sein, dass die EU das Abkommen zu einem späteren Zeitpunkt nachjustiert. Zudem wird das Abkommen vor den Europäischen Gerichten angegriffen, wie seinerzeit die Safe-Harbor-Regelung.

Das Thema Datenübertragung ins Ausland betrifft übrigens nicht nur Unternehmen mit Sitz in einem EU-Land. Wenn Firmen, die ihren Sitz in einem Drittstaat haben, mit Kunden aus EU-Ländern zu tun haben, müssen sie ebenfalls europäisches Datenrecht einhalten. Ein Beispiel: Ein US-Unternehmen will deutschen Nutzern eine App anbieten. Da sich dieses Angebot an EU-Bürger richtet, muss die amerikanische Firma ihre Datenverarbeitung ebenfalls DSGVO-konform gestalten.

Weitere Informationen:

  • Detaillierte Infos bietet die Datenschutz-Fachtagung der TÜV NORD Akademie am 21. und 22. März 2018 in Hamburg: https://www.tuev-nord.de/de/unternehmen/veranstaltung/details/datenschutz-fachtagung/. 
  • Mehr zu den anstehenden Änderungen im Datenschutz für Unternehmen durch die DSGVO: www.tuev-nord.de/dsgvo
     
GRID LIST
Tb W190 H80 Crop Int D14174f9f546d61501920965da89725c

Ein Jahr DSGVO: Viel Arbeit - und viele offene Fragen

Die größte Aufregung rund um die Datenschutzgrundverordnung hat sich nach einem Jahr…
Tb W190 H80 Crop Int F1f72fabd46e97adb1d88019d7eccd85

Fünf Passwort-Alternativen der Zukunft

Der Welt-Passwort-Tag findet jedes Jahr am ersten Donnerstag im Mai statt. Er ruft dazu…
Tb W190 H80 Crop Int 3beed8ea8d39bc9de7fa829bffb574e8

Facebook bereitet sich auf Milliardenstrafe vor

Facebook rechnet damit, dass die jüngsten Datenschutz-Skandale das Online-Netzwerk bis zu…
Tb W190 H80 Crop Int D73172c157619fcd091d7b77a237b45c

Warum fast jede Datenschutzverletzung ein „Insider Job“ ist

Neben vielen anderen Formen von Cyberkriminalität sind auch eher schlicht gestrickte…
GDPR Concept

E-Mail-Kommunikation gemäß DSGVO – aber bitte verschlüsselt

Die E-Mail ist das beliebteste Kommunikationsmittel in Unternehmen. Jeden Tag gehen hier…
Tb W190 H80 Crop Int 572a4c67eb285d3ea59f2c45c09865f3

Polizei-Bodycams: Wohin mit den Aufnahmen?

Körperkameras, sogenannte Bodycams, sollen die Sicherheit bei Polizeieinsätzen erhöhen…