Sind Sie fit im Datenschutz?

Es häufen sich die Fälle, in denen eine Übermittlung von personenbezogener Daten ins Ausland ansteht. Beispielsweise erhalten Vertragspartner im Ausland personenbezogene Daten, oder im Rahmen eines internationalen Konzerns werden personenbezogene Daten ins Ausland übermittelt. (Merke: Es gibt kein “Konzernprivileg”. Das heißt, auch verbundene Unternehmen sind “Dritte” im Sinne des Gesetzes.) Hierbei ist es besonders wichtig, datenschutzrechtliche Komplikationen zu vermeiden. Zugegebenermaßen ist die datenschutzrechtliche Lage in diesem Fall sehr komplex und es empfiehlt sich hierzu einen Anwalt einzuschalten. Nachfolgend soll aber zumindest ein Überblick über die wesentlichen Bestimmungen gegeben werden.

Seit Einführung der EU-Datenschutzrichtlinie 95/46/EG ist eine Übermittlung in das EU-Ausland relativ unproblematisch. Ihre Zulässigkeit ist lediglich anhand der allgemeinen Vorschriften zur Datenübermittlung zu prüfen. Maßgeblich ist hier vor allem der §28 des Bundesdatenschutzgesetzes (BDSG), der eine Übermittlung zum Beispiel dann für zulässig erklärt, wenn diese zur Erfüllung von vertraglichen Pflichten im Rahmen eines mit dem Betroffenen bestehenden Vertragsverhältnisses erforderlich ist (Beispiel: Kundendaten an Lieferant).

Soweit es sich um eine so genannte “Auftragsdatenverarbeitung” im Sinne des §11 BDSG handelt, liegt sogar schon gar keine Übermittlung vor. Dabei ist allerdings genau zu prüfen, ob es sich tatsächlich um eine bloße Auftragsdatenverarbeitung handelt. Dieser Bereich ist nämlich dann verlassen, wenn es sich um eine “Funktionsübertragung” handelt. Dieser Fall liegt dann vor, wenn das empfangende Unternehmen die Daten im Grunde zur Erfüllung eigener Geschäftszwecke einsetzt. Greift keine der gesetzlichen Ausnahmen, bedarf die Übermittlung der Einwilligung des Betroffenen.

Vorsicht mit Nicht-EU-Ländern

Immer problematisch ist dagegen die Übermittlung von personenbezogenen Daten in das Nicht-EU-Ausland. Bevor es hier überhaupt zu einer Prüfung der Zulässigkeit der Übermittlung als solchen kommt, ist zunächst zu prüfen, ob generell die Übermittlung ins Ausland zulässig ist. Der §4b Absatz 2 BDSG bestimmt nämlich, dass die Übermittlung zu unterbleiben hat, wenn der Betroffene ein “schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat, insbesondere wenn … [bei dem empfangenden Unternehmen] ein angemessenes Datenschutzniveau nicht gewährleistet ist”. Ausnahmen hierzu sind in §4c Absatz 1 BDSG abschließend aufgelistet, zum Beispiel wenn die Übermittlung zur Erfüllung eines Vertrags erforderlich ist.

Greifen diese Ausnahmen nicht, ist zunächst zu prüfen, ob die EU-Kommission inzwischen im Entscheidungswege ein angemessenes Datenschutzniveau für das betreffende Land bescheinigt hat. Maßgeblich ist hierbei vor allem, ob das Empfängerland ähnliche Datenschutzbestimmungen wie die EU-Länder hat. Derartige Entscheidungen existieren bereits für folgende Länder:

– Argentinien
– Guernsey
– Isle of Man
– Kanada
– Schweiz

Unternehmen mit Sitz in diesen Ländern können also personenbezogene Daten wie in ein EU-Unternehmen übermittelt erhalten, soweit dies wie oben ausgeführt gesetzlich zulässig ist.

Bei allen anderen Ländern kann derzeit lediglich das empfangende Unternehmen selbst für das “angemessene Datenschutzniveau” sorgen. Hierzu ist in der Regel eine vertragliche Vereinbarung zwischen deutschem Datensender und ausländischem Datenempfänger notwendig. Lediglich für die USA gibt es noch die Möglichkeit, dass sich das empfangende Unternehmen den so genannten “Safe Harbor Pinciples” unterwirft. Bei diesen handelt es sich um Datenschutzprinzipien, die zwischen der EU-Kommission und der amerikanischen Regierung verabschiedet wurden. Unterwirft sich ein amerikanisches Unternehmen diesen Prinzipien, kann das deutsche, übermittelnde Unternehmen, von einem “angemessenen Datenschutzniveau” ausgehen. Die Prinzipien werden durch FAQs ergänzt, die als Leitlinien dienen. Sowohl die Prinzipien als auch die FAQs können online abgerufen werden.

In Bezug auf eine vertragliche Vereinbarung der Unternehmen zur Schaffung eines “angemessenen Datenschutzniveaus” hat die EU-Kommission inzwischen Standardvertragsklauseln verabschiedet, die von Unternehmen verwendet werden können. Dabei ist zu beachten, dass die deutschen Aufsichtsbehörden eine Abweichung von den Standardvertragsklauseln für nicht zulässig erachten, bei Abweichungen also eine Einzelprüfung der zuständigen Aufsichtsbehörde erforderlich wäre. Zur Zeit existieren folgende Standardvertragsklauseln:

• Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer (Entscheidung 2000/497/EG vom 15. Juni 2001)
  
• Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern (Entscheidung 2002/16/EG vom 27. Dezember 2001)
  
• ICC-Standardvertragsklauseln (Entscheidung vom 27. Dezember 2004)

Verbindliche Unternehmensregeln

Wird ein Vertrag auf der Grundlage dieser Standardvertragsklauseln abgeschlossen, ist grundsätzlich keine Genehmigung der zuständigen Aufsichtsbehörde erforderlich. Allerdings verlangen einige Aufsichtsbehörden (abhängig vom Bundesland), dass die abgeschlossenen Standardvertragsklauseln zu Informationszwecken vorgelegt werden. Hier sollte man sich bei seiner zuständigen Aufsichtsbehörde erkundigen.

Darüber hinaus besteht die Möglichkeit konzernintern eine Datenübermittlung durch so genannte “Binding Corporate Rules” (verbindliche Unternehmensregeln) abzusichern. Hierzu gibt es inzwischen Leitlinien für die inhaltlichen Anforderungen, welche von der Artikel-29-Datenschutzgruppe (eine im Rahmen von Art. 29 EU-Richtlinie 95/46/EC eingerichtete Gruppe von Vertretern der einzelnen nationalen Aufsichtsbehörden mit beratender Funktion) herausgegeben wurden.

Problematisch ist hier, dass diese Unternehmensregeln von den einzelnen nationalen Behörden genehmigt werden müssen und es hierfür noch keinen konkreten Abstimmungsprozess zwischen den nationalen Behörden gibt. Unternehmen wie beispielsweise die Deutsche Telekom, GE oder BP haben zwar bereits derartige Regelungen nach Genehmigung durch ihre nationale Aufsichtsbehörde implementiert, warten aber noch heute auf eine Genehmigung der jeweils anderen nationalen Behörden.

Positiv aber ist hier, dass die Abstimmungsschwierigkeiten offensichtlich nicht zu Lasten der Unternehmen gehen sollen, das heißt eine Übermittlung von personenbezogenen Daten auf der Grundlage der von nur einer Behörde genehmigten Regeln für die Übergangszeit bis zur endgültigen Abstimmung (bisher) nicht von den zuständigen anderen Behörden angegriffen werden. Im Ergebnis ist dieser Lösungsweg aber angesichts der damit verbundenen Beratungskosten und der Langwierigkeit des Verfahrens nur für mittlere bis größere Unternehmen sinnvoll.

Zu den Teilen 1 bis 6 unserer Serie zum Thema Datenschutz kommen Sie über folgende Links:

Teil 1: Die Bestellung eines Datenschutzbeauftragten
Teil 2: Aufgaben des Datenschutzbeauftragten
Teil 3: Einführung in das Verfahrensverzeichnis
Teil 4: Das Verfahrensverzeichnis
Teil 5: Beispiel für ein Verfahrensverzeichnis
Teil 6: Private Nutzung von E-Mail und Internet