Ab 25. Mai 2018 gilt die neue Datenschutzgrundverordnung (DSGVO). Der nachfolgende Beitrag beleuchtet die Auswirkungen für Exporteure. Insbesondere fragt er nach den Neuerungen beim grenzüberschreitenden Datentransfer. Die grenzüberschreitende Datenübermittlung an Drittstaaten bedarf neben dem Erlaubnistatbestand noch der Prüfung des angemessenen Datenschutzniveaus im Empfängerland.

Beitrag in der Gesamtausgabe

Ausgangsfall

D, eine Exportfirma in Deutschland, möchte wissen, was die konkreten Auswirkungen der neuen DSGVO für D sind. Außerdem möchte D ihre Kundenbetreuung (inkl. der Pflege der Kundendaten) outsourcen an die Firma A in den USA. Was muss D hierbei beachten?

Wichtige Änderungen aufgrund der DSGVO

Da es sich bei der DSGVO um eine EU-­Verordnung handelt, gilt sie ab 25. Mai 2018 in jedem EU-Mitgliedstaat unmittelbar, ohne einer Umsetzung in jedem einzelnen Staat zu bedürfen. Zusätzlich wird zu diesem Datum das neue Bundesdatenschutzgesetz (BDSG) in Kraft treten, welches die in der DSGVO enthaltenen Öffnungsklauseln für Deutschland konkretisiert. Insgesamt tritt damit eine erhebliche Verschärfung der Datenschutzregelungen ein, etwa bezogen auf die Zulässigkeit einer Verarbeitung (inkl. Anforderungen an Einwilligung, vor allem zum Schutz von Kindern), Betroffenenrechte und Informationspflichten, technischen Datenschutz (inkl. Verschlüsselungsverfahren, Rollen- und Berechtigungskonzepte) etc.

Konkret stellt sich die Frage, ob D einen betrieblichen Datenschutzbeauftragten (bDB) und ein Verzeichnis von Verarbeitungstätigkeiten (VV) braucht. Nach Art. 37 DSGVO ist ein bDB erforderlich für Behörden und öffentliche Stellen; hingegen ist er für private Einrichtungen nach dieser Norm nur erforderlich, wenn die Datenverarbeitung eine Kerntätigkeit oder eine risikobehaftete Tätigkeit ist. Diese Voraussetzungen werden durch das DSAnpUG-EU dahingehend erweitert, dass private Einrichtungen einen bDB dann benennen müssen, wenn in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung ­personenbezogener Daten beschäftigt sind. Dies wird von Datenschutzbehörden dahingehend ausgelegt, dass bereits jeder, der einen E-Mail-Account besitzt und nutzt, regelmäßig personenbezogene Daten verarbeitet. Im Klartext bedeutet das, dass Exportfirmen, bei denen mindestens zehn Personen in dieser Weise (z.B. durch Nutzung eines E-Mail-Accounts) ständig mit personenbezogenen Daten beschäftigt sind, einen bDB benennen müssen. Nach Art. 30 DSGVO muss ein Verzeichnis von Verarbeitungstätigkeiten (VV) geführt werden; dieses entspricht weitgehend dem bisherigen Verfahrensverzeichnis nach BDSG. Allerdings fallen die bisher im BDSG enthaltenen Befreiungen für Kleinstunternehmen weg. Ob auch die Exportfirma D ein VV führen muss, hängt von der Auslegung nach Art. 30 Abs. 5 DSGVO ab. Nach dieser Norm brauchen Unternehmen, die weniger als 250 Mitarbeiter beschäftigen, das VV nicht zu führen, es sei denn, es liegt eine risikobehaftete Datenverarbeitung vor oder „die Verarbeitung erfolgt nicht nur gelegentlich“. Klar ist, dass Unter­nehmen, die besonders sensitive Daten verarbeiten, ein VV in jedem Fall führen müssen, auch wenn sie weniger als 250 Mitarbeiter haben. Unklar ist, wann die Alternative der „nicht nur gelegentlichen Datenverarbeitung“ vorliegt. Es gibt hier einen gewissen Graubereich. Da jedoch sehr hohe Sanktionen wegen fehlenden VVs möglich sind, dürfte sich eine enge Auslegung der Ausnahme empfehlen, so dass Unternehmen mit weniger als 250 Mitarbeitern im Zweifel ebenfalls – auch ohne Verarbeitung sensitiver Daten – ein VV erstellen sollten.

Weitere Anpassungspflichten könnten folgende sein: Da es bei der Auftragsdatenverarbeitung striktere Regelungen gibt, ist im Zweifel eine Anpassung des Vertrags zur Auftragsdatenverarbeitung erforderlich. Exportfirmen, bei denen das Screening gegen Sanktionslisten über einen IT-Dienstleister erfolgt, sollten den entsprechenden Vertrag zur Auftragsdatenverarbeitung anpassen. Im Zweifel sollte auch die Datenschutzerklärung auf der Homepage an die Anforderungen der DSGVO angepasst werden.

Zur grenzüberschreitenden ­Datenübermittlung

Für die grenzüberschreitende Datenübermittlung in Drittländer (also in Länder außerhalb der EU) sind nach Art. 44 ff. DSGVO zwei Prüfungen erforderlich: ­erstens die, ob ein Erlaubnistatbestand vorliegt, und zweitens die, ob ein angemessenes Datenschutzniveau im Empfängerland sichergestellt ist. Für den Erlaubnistatbestand ist erforderlich, dass eine wirksame Einwilligung vorliegt oder die Verarbeitung für die Erfüllung eines Vertrages durch die betroffene Person erforderlich ist. Oder die Verarbeitung ist zur Wahrung der berechtigten Interessen erforderlich, sofern nicht das Recht auf informationelle Selbstbestimmung des Betroffenen vorrangig ist. Sollte es bei der Tätigkeit von D um eine zentral wichtige Kundenbetreuung gehen, wie etwa notwendige Reparatur- und Servicedienstleistungen, dürfte dies durch den Vertragsabschluss gedeckt sein. Ansonsten muss, wenn die Einholung von Einwilligungen zu aufwendig ist, mit dem Grundrecht der Betroffenen abgewogen werden. Außerdem müssen die Voraussetzungen für eine Auftragsdatenverarbeitung vorliegen.

Sicherstellung eines angemessenen Datenschutzniveaus

Hierfür stehen die folgenden Alternativen zur Verfügung: Die EU-Kommission hat für ein Drittland einen Angemessenheitsbeschluss vorgelegt, oder es liegen geeignete Garantien für den Umgang mit ­personenbezogenen Daten vor, oder es liegen verbindliche interne Datenschutzvorschriften vor, welche von der Aufsichtsbehörde genehmigt worden sind. Bisher liegen Angemessenheitsbeschlüsse der EU-Kommission v.a. für die folgenden Länder vor: die Schweiz, Argentinien, die USA (mit Einschränkungen), Israel und Neuseeland. Das angemessene Datenschutzniveau für die USA ist nur dann sichergestellt, wenn das US-Unternehmen eine gültige Privacy-Shield-Zertifizierung besitzt und in einer Liste des Department of Commerce eingetragen ist. Die dort genannten Unternehmen werden fortlaufend überprüft, so dass es auch zu einer Streichung aus der Liste kommen kann. D muss einen Vertrag mit A schließen und überprüfen, ob das Unternehmen A in der genannten Liste gelistet ist. Sollte D – oder einer der Kunden – Anhaltspunkte dafür haben, dass die Daten missbraucht werden sollen, stehen ihnen Beschwerdemöglichkeiten in den USA oder Deutschland zu.

Resümee

Ab 25. Mai 2018 kommt es nicht nur zu einer Verbesserung der Rechte betroffener Personen bei der Datenverarbeitung, für viele Firmen kann es auch zu zusätzlichen Pflichten kommen. Es ist davon auszugehen, dass viele Exportfirmen einen betrieblichen Datenschutzbeauftragten benennen und ein Verarbeitungsverzeichnis führen müssen. Das Berufen darauf, ein Kleinunternehmen zu sein, ist nur in seltenen Fällen möglich, solange unklar bleibt, was mit „nicht nur gelegentlicher Datenverarbeitung“ gemeint ist. Verträge zur Auftragsdatenverarbeitung – etwa mit einem IT-Dienstleister wegen des Screenings gegen Sanktionslisten – müssen im Zweifel überprüft und angepasst werden. Die Datenschutzerklärung auf der Homepage sollte überprüft werden. Die grenzüberschreitende Datenübermittlung an Drittstaaten bedarf neben dem Erlaubnistatbestand immer der Prüfung des angemessenen Datenschutzniveaus im Empfängerland. Bei einem Outsourcing von Kundenbetreuung kann dies bereits zu komplexen Prüfvorgängen führen, vor allem dann, wenn zugleich noch evtl. gelistete Technologie übermittelt wird. Nutzungen von Cloudanwendungen in Deutschland eines Cloudanbieters in den USA werfen komplexe Fragen gleichermaßen nach Export- und Datenschutzrecht auf.

Wegen aktueller Hinweise zum US-Exportrecht vgl. auch HIER.

info@hohmann-rechtsanwaelte.com

Aktuelle Beiträge

Cookie-Einwilligung mit Real Cookie Banner