20.08.2016 von

So finden Sie heraus, ob Ihre Datenübermittlungen legal sind

Datenübermittlungen ins Ausland boomen. Doch viele erfolgen illegal – und die Prüfung ist äußerst komplex. Eine Anleitung in vier Schritten.

Immer mehr Unternehmen agieren grenzüberschreitend, immer mehr Mitarbeiter arbeiten von zu Hause aus. Die einzelnen Player arbeiten dabei jedoch immer weniger getrennt voneinander, sondern eng vernetzt. Der Mitarbeiter in Wien, der Personalverantwortliche in Berlin und der Projektleiter in New York sind keine Seltenheit mehr. Je wichtiger die Zusammenarbeit zwischen diesen Akteuren wird, desto größer wird auch der Datentransfer zwischen ihnen. Auch und gerade Cloud-Computing – also die Technik, Programme, Rechnerkapazität und Datenspeicher abseits des lokalen Rechners zu lagern bzw. abzurufen – sorgt für eine Zunahme der grenzüberscheitenden Datenübermittlungen auch bei kleinen und mittleren Unternehmen. Da es sich dabei mitunter um hochsensible, personenbezogene Daten handelt, sind klare Spielregeln von enormer Bedeutung.

Datenschutz-Grundverordnung regelt Datenübermittlung neu

Bisher wurde der Datenschutz innerhalb der Europäischen Union durch die Datenschutz-Richtlinie geregelt, die von den Mitgliedsstaaten in nationales Recht umgesetzt wurde. Mit 25. Mai 2018 wird die Datenschutz-Richtlinie und ihre nationalen Umsetzungen durch die direkt anwendbare EU-Datenschutz-Grundverordnung (DSGVO) ersetzt. Die DSGVO wird für alle EU-Datenübermittlungen in Drittstaaten einheitlich regeln.

Datenübermittlungen nur im EWR frei

Welche der Regelungen der DSGVO bei grenzüberschreitenden Datenübermittlungen einzuhalten sind, entscheidet sich daran, wohin die Daten übermittelt werden sollen. Innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraumes (EWR) gilt der freie Datenverkehr, dieser unterliegt keinen besonderen Restriktionen. Findet der Datentransfer jedoch in ein Drittland, also in einen Nicht-EU- bzw. Nicht-EWR-Staat statt, so unterliegt er einer komplexen Prüfung.

Step-by-step-Prüfung für Datenübermittlungen

1. Grundsätzlich weder melde- noch genehmigungspflichtige Datenübermittlungen

Eine internationale Datenübermittlung ist weder melde- noch genehmigungspflichtig, wenn eine der folgenden Voraussetzungen vorliegt:

  • Die Europäische Kommission hat durch Beschluss festgestellt, dass der Drittstaat ein angemessenes Datenschutzniveau bietet.
  • Das übermittelnde Unternehmen und der Übermittlungsempfänger haben einen Vertrag mit dem Inhalt der sogenannten Standardvertragsklauseln abgeschlossen. Diese wurden von der Europäischen Kommission erlassen und stellen sicher, dass der Übermittlungsempfänger angemessenen datenschutzrechtlichen Pflichten unterliegt.
  • Bei einer konzerninternen Datenübermittlung hat sich der Konzern zur Einhaltung von internen Datenschutzvorschriften („Binding Corporate-Rules“, BCR) verpflichtet, die von einer Datenschutzbehörde genehmigt wurden.

2. Ausnahmsweise nicht melde- und genehmigungspflichtige Datenübermittlungen

Erfüllt die grenzüberschreitende Datenübermittlung keines der oben genannten Kriterien, ist sie ausnahmsweise dennoch weder melde- noch genehmigungspflichtig, wenn:

  • die Betroffenen ausdrücklich zugestimmt haben;
  • der Datentransfer für den Abschluss oder die Erfüllung eines Vertrages erforderlich ist, der zwischen dem Betroffenen und dem Unternehmen oder im Interesse des Betroffenen zwischen einem Dritten und dem Unternehmen geschlossen wird bzw. wurde;
  • die Datenübermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist oder
  • die Übermittlung zum Schutz lebenswichtiger Interessen der Betroffenen ist.

3. Melde-, aber nicht genehmigungspflichtige Datenübermittlungen

Liegen auch diese Voraussetzungen nicht vor, ist zu prüfen, ob eine Teilausnahme Anwendung findet, sodass die Datenübermittlung nur gemeldet, aber nicht genehmigt werden muss. Dies ist dann der Fall, wenn der Datentransfer

  • nicht wiederholt erfolgt;
  • nur eine begrenzte Zahl von Personen betrifft;
  • zur Wahrung zwingender berechtigter Interessen des Unternehmens erforderlich ist, die die Interessen der Betroffenen überwiegen und
  • geeignete Datenschutzgarantien vorgesehen werden.

4. Datenübermittlungen, für die Sie eine Genehmigung benötigen

Fällt eine grenzüberschreitender Datenübermittlung unter keinen der oben genannten Punkte, so kann die internationale Übermittlung nur mit einer Genehmigung der Datenschutzbehörde erfolgen. Auch diese Genehmigung hängt jedoch von der Vereinbarung geeigneter Datenschutzkriterien zwischen dem Unternehmen und dem Übermittlungsempfänger ab.

Schützt der Privacy-Shield Ihre Datenübermittlungen?

In der Praxis versuchen Unternehmer, eine gänzliche Melde- und Genehmigungsfreiheit zu erreichen. Beim Datenaustausch zwischen Europa und den USA ruhen die Hoffnungen dabei auf dem Privacy-Shield.

Trotz ihrer Vorreiterrolle im digitalen Wandel verfügen die Vereinigten Staaten aus europäischer Perspektive nämlich nur über einen unzureichenden grundrechtlichen Datenschutz. Um Datenübermittlungen dennoch unkompliziert (d.h. ohne Standardvertragsklauseln, Binding Corporate-Rules oder gar Melde- bzw. Genehmigungspflicht) zwischen Europa und den USA zu ermöglichen, hat die Europäische Kommission im Sommer 2016 die Privacy-Shield-Regelung erlassen. US-Unternehmen, die sich den dort aufgestellten Bedingungen unterwerfen, wird ein ausreichendes Datenschutzniveau attestiert.

Doch hier ist Vorsicht geboten: Die in vielen Punkten ähnlich angelegte Vorgängerregelung „Safe Harbor“ wurde durch den Europäischen Gerichtshof aufgehoben. Problematisch bleibt auch unter der neuen Regelung, dass nach US-Recht sämtliche Daten, die einem IT-Unternehmen übermittelt wurden, nicht verfassungsrechtlich geschützt sind. Auch der Privacy-Shield droht daher, vom EuGH aufgehoben zu werden. Damit würden alle auf dieser Basis durchgeführten Datenübermittlungen in die USA schlagartig wieder genehmigungspflichtig.

Konzerninterne Datenübermittlungen auf Basis von Binding Corporate-Rules

Eine der oben bereits angesprochenen Möglichkeiten einer melde- und genehmigungsfreien Datenübermittlung in Drittstaaten ohne adäquatem Datenschutzniveau sind Binding Corporate-Rules. Werden die von einem Konzern verwendeten BCR von der Datenschutzbehörde genehmigt, sind Datenübermittlungen zwischen den einzelnen Konzerngesellschaften ohne weitere Restriktionen möglich. Wichtig ist, dass jene, deren Daten übertragen werden, durch die BCR die Möglichkeit erhalten, sich bei behaupteten Rechtsverletzungen an die EU-Datenschutzbehörden wenden und diese vor EU-Gerichten bekämpfen zu können.

Haftung für illegale Datenübermittlungen nach der DSGVO

Während nach bisheriger österreichischer Rechtslage maximal eine Verwaltungsstrafe von 10.000 Euro drohte, sieht die DSGVO schmerzhafte Strafen vor. Für Verstöße bei der Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland sind Bußgelder von bis zu 20 Mio EUR oder bis zu vier Prozent des gesamten, weltweit erzielten Jahresumsatzes vorgesehen – je nachdem, welcher der Beträge höher ist. Compliance im Bereich der internationalen Datenübermittlungen wird daher künftig in allen Unternehmen einen höheren Stellenwert erhalten.

Conclusio

Das hohe Datenschutzbedürfnis innerhalb der Europäischen Union hat es notwendig gemacht, die immer häufiger und umfangreicher werdenden Datenübermittlungen mit strengen Regeln zu versehen. Abhängig vom Schutzniveau des Drittlandes sind die einzuhaltenden Regelungen für die betroffenen Unternehmen unterschiedlich ausgestaltet. Eine Einhaltung der Vorschriften der neuen DSGVO ist aber dringend geboten, nicht zuletzt, weil die vorgesehenen Strafen für Unternehmen äußerst schmerzhaft sein können.

Compliance-Checkliste "Digitale Transformation" herunterladen

Autor:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.