Internationaler Datenverkehr

Weltweiter Handel macht auch internationalen Datenverkehr (inkl. Datentransfer, Datenspeicherung und Datenverarbeitung) notwendig. Doch wenn Unternehmen personenbezogene Daten über Landesgrenzen hinweg übertragen bzw. konzernintern verarbeiten, sind bestimmte nationale Gesetze zum Datenschutz sowie internationale Abkommen zu beachten. Die Experten der activeMind AG erklären wie datenschutzkonformer internationaler Datenverkehr funktioniert (oder helfen direkt bei Erstellung und Implementierung von Binding Corporate Rules):

Beiträge

Der Europäische Gerichtshof (EuGH) hat die Vereinbarung mit den USA zum Datenaustausch für ungültig erklärt. Unternehmen können sich nun nicht mehr auf das Safe-Harbor-Abkommen berufen. Das verursacht dringenden Handlungsbedarf. Was müssen Sie als Unternehmer jetzt tun?

Beim sogenannten „Facebook-Prozess“ vor dem Europäischen Gerichtshof (EuGH) gibt es derzeit äußerst spannende Entwicklungen zu beobachten, die weitreichende Konsequenzen haben könnten. Denn das Safe-Harbor-Abkommen, das derzeit die Weitergabe von personenbezogenen Daten in die USA ermöglicht, ist aufgrund einer Aussage des Generalanwalts beim EuGH stärker in der Kritik denn je. Folgt der Europäische Gerichtshof den Empfehlungen des Generalanwalts, so ist der Fortbestand des Abkommens – zumindest in seiner bisherigen Ausformung – fraglich.

Konzerne sind meist auf eine konzernweite IT-Infrastruktur, beispielsweise ein ERP- oder CRM-System, angewiesen. Die große Herausforderung besteht darin, einen aus Sicht des Datenschutzes rechtskonformen Einsatz zu gewährleisten, ohne dabei größeren technischen oder organisatorischen Aufwand zu erzeugen oder den Datentransfer zu beschränken. Ein geeignetes Mittel dafür kann eine Betriebsvereinbarung sein, deren Form und Inhalte hier erläutert werden.

Derzeit erregen die Diskussionen über das Transatlantische Freihandelsabkommen (Transatlantic Trade and Investment Partnership, TTIP) die Gemüter. Das Abkommen soll Handelshemmnisse reduzieren, sieht sich jedoch vielen Widersachern ausgesetzt. Zahlreiche Unterschriftenlisten, Demonstrationen und Petitionen sollen das Zustandekommen verhindern. Möglicherweise wird nun ausgerechnet der Datenschutz ein entscheidendes Hindernis auf dem Weg zum Freihandelsabkommen.

Nach erfolgreichem Abschluss einiger Verfahren zur Genehmigung von Binding Corporate Rules (BCR) hat das Bayerische Landesamt für Datenschutz nun im Rahmen des Jahresberichts für das Jahr 2013/14 einige Erfahrungen veröffentlicht, die es im Rahmen der Verfahren machen konnte. An dieser Stelle möchten wir Ihnen daher kurz darstellen, zu welchen Problemen es in diesen BCR-Verfahren gekommen ist und wie diese vermieden werden können.

Obwohl die USA zu den unsicheren Drittländern zählen, in denen kein ausreichendes Datenschutzniveau herrscht, ermöglicht der Safe-Harbor-Beschluss der EU-Kommission seit dem Jahr 2000 ein verhältnismäßig unkompliziertes Vorgehen bei der Übermittlung von personenbezogenen Daten an US-amerikanische Unternehmen. Doch insbesondere nach dem Bekanntwerden der von Edward Snowden an die Öffentlichkeit gebrachten Späh-Affäre durch Sicherheitsbehörden wie die NSA steht die Rechtmäßigkeit der Safe-Harbor-Entscheidung infrage. Der Europäische Gerichtshof soll nun Klarheit darüber schaffen, ob eine Datenübermittlung auf dieser Grundlage künftig datenschutzrechtlich akzeptabel ist.

Seit dem 26. Juli 2000 besteht eine Vereinbarung zwischen der EU und dem Handelsministerium der USA (Department of Commerce) zu den Grundsätzen des sog. „sicheren Hafens“ (Safe Harbor). Diese Vereinbarung soll ein angemessenes Datenschutzniveau bei US-amerikanischen Unternehmen sicherstellen, indem sich Unternehmen auf die in der Safe Harbor-Vereinbarung vorgegebenen Grundsätze verpflichten.