Wir leben in einer globalen Geschäftswelt, in der zahlreiche Unternehmen nicht nur auf ihren Heimatmärkten, sondern auch international tätig sind. Wer global agiert, muss dies beim Datenschutz berücksichtigen. Allerdings steht der internationale Datenschutz für ein komplexes Thema, das zahlreiche Fragen aufwirft. Die wichtigsten Fragen haben wir nachfolgend beantwortet.
Was ist internationaler Datenschutz?
Datenschutz ist keineswegs nur in Deutschland ein bedeutsames Thema, in den meisten anderen Ländern gelten ebenfalls Datenschutzbestimmungen mit gesetzlicher Verankerung. Deutsche Unternehmen, die auch im Ausland tätig sind, müssen sich dieser Tatsache stellen und in ihren Datenschutzkonzepten berücksichtigen. Zugleich haben auch ausländische Unternehmen, die personenbezogene Daten in Deutschland erheben oder verarbeiten, den Datenschutz zu berücksichtigen.
Zusammengefasst gilt: Sobald bei der Erhebung oder Verarbeitung von personenbezogener Daten Landesgrenzen überschritten werden, ist der internationale Datenschutz von Bedeutung.
Wie ist das BDSG international anwendbar?
Das Bundesdatenschutzgesetz (BDSG) wurde geschaffen, um einen sicheren Umgang mit personenbezogenen Daten innerhalb Deutschlands zu gewährleisten. Deshalb sind Unternehmen mit Sitz in Deutschland dazu verpflichtet, sich nach dem BDSG zu richten. Ob sich auch Unternehmen aus dem Ausland danach zu richten haben, hängt wiederum davon ab, wo sie ihren Sitz haben und wo die Daten verarbeitet werden.
Innerhalb der Europäischen Union gilt das so genannte Territorialprinzip. Es besagt, dass das Datenschutzrecht des jeweiligen Landes gilt, in welchem das Unternehmen seinen Sitz hat. Mit Sitz ist aber nicht zwangsläufig der Hauptsitz gemeint. Sollte beispielsweise ein spanisches Unternehmen eine Niederlassung in Deutschland unterhalten und hier personenbezogene Daten verarbeiten, gilt das deutsche BDSG. Unterhält wiederum ein deutsches Unternehmen eine Niederlassung in Spanien und verarbeitet dort personenbezogene Daten, gilt spanisches Recht.
Was ist bei Drittländern zu beachten?
Staaten, die außerhalb des EU-Gemeinschaftsgebietes liegen, werden als Drittländer bezeichnet. Im Allgemeinen verhält es sich so, dass auch hier das Territorialprinzip gilt und somit das Datenschutzrecht des jeweiligen Landes zu berücksichtigen ist.
Aufgrund von EU-Vorgaben existiert jedoch eine entscheidende Einschränkung. Es ist zwischen sicheren und unsicheren Drittländern zu unterscheiden. Ein Datentransfer in Drittländer ist nur gestattet, wenn es sich um ein sicheres Drittland handelt. Ob ein Drittland als sicher oder unsicher einzustufen ist, hat wiederum die EU definiert. Als sichere Drittländer gelten Staaten, deren Datenschutzniveau mit dem Niveau der EU vergleichbar ist und somit als angemessen gilt.
Welche Datenverarbeitungen sind zulässig, welche nicht?
Die Zulässigkeit der Datenverarbeitung hängt ausschließlich vom Datenschutzrecht des jeweiligen Landes ab, welches einzuhalten ist. So ist es zum Beispiel unter Berücksichtigung des BDSG nicht gestattet, Daten hier in Deutschland zu erheben und sie dann auf IT-Systemen in einem als unsicher deklarierten Drittland zu speichern.
Unternehmen sind jedoch nicht vollständig die Hände gebunden, schließlich können sie sich für solche Vorhaben auch das Einverständnis der Betroffenen holen. Dies ist am Ende der entscheidende Punkt: Wenn Betroffene ihr ausdrückliches Einverständnis erteilen, kann eine Datenverarbeitung auch in unsicheren Drittländern zulässig sein.
Gibt es Ausnahmen für den int. Datenschutz?
Wie bereits erläutert wurde, haben sich Unternehmen beim Datenschutz innerhalb der Europäischen Union stets nach den Gesetzen des Landes zu richten, in dem sie Daten erheben und ggf. verarbeiten. Eine Ausnahme stellt der reine Datentransfer dar. Sollte beispielsweise ein Unternehmen ausschließlich in Deutschland ansässig sein und Daten in einem anderen EU-Mitgliedstaat erheben, ohne im jeweiligen Land präsent zu sein oder eigene Technik (z.B. Webserver) unterhalten, gelten die deutschen Datenschutzbestimmungen.
Schlussendlich gibt es weitere Ausnahmen – entscheidend ist immer, in welchen Ländern welche Aktivitäten erfolgen und welche Gesetze in diesen Ländern gelten. Nach EU-Recht ist beispielsweise ein Datentransfer in das Ausland sowie eine dortige Verarbeitung der Daten zulässig, sofern die Betroffenen im Vorfeld ihre ausdrückliche Zustimmung erteilt haben.
Es können abweichende oder ergänzende Rechtsbedingungen gelten, sofern diese zwischen der EU und anderen Staaten oder Staatenverbänden vereinbart wurden. Ein sehr bekanntes Beispiel ist das Safe-Harbour Abkommen, das einst einen sicheren Datenaustausch zwischen EU-Ländern und beispielsweise den USA gestattete. Allerdings wurde das Abkommen gekippt, woraufhin zahlreiche Unternehmen dazu gezwungen waren, ihre Datenschutzkonzepte anzupassen.
Was kann ein externer Datenschutzbeauftragter tun?
Es dürfte deutlich geworden sein, dass der internationale Datenschutz als äußerst komplex gilt und die Erstellung geeigneter Konzepte ein hohes Maß an Kompetenz erfordert. Unternehmen, die auf internationaler Ebene agieren und dabei personenbezogene Daten erheben, transferieren oder verarbeiten, sollten daher auf Knowhow und Erfahrung eines Spezialisten zurückgreifen. Ein externer Datenschutzbeauftragter mit entsprechender Expertise kann die Entwicklung des Konzepts schnell vorantreiben und eine sichere Umsetzung gewährleisten.