2017/5 | Fachbeitrag | Datenschutz

Neue EU-Datenschutzgrundverordnung: Wie übermittle ich sensible Daten?

von Simone Rosenthal

Inhaltsübersicht:

Binding Corporate Rules sind neben den EU-Standardvertragsklauseln mit den jeweiligen Drittstaaten und dem EU-US Privacy Shield, dem Nachfolger des Safe Harbor Abkommens, eine Möglichkeit ausreichende Garantien dafür zu schaffen, dass beim Datenempfänger ein ausreichendes Schutzniveau im Hinblick auf personenbezogene Daten besteht.

Die Idee der Binding Corporate Rules

Die Idee zu BCR ist bereits einige Jahre alt und entstand schon Ende der 90er Jahre, nach dem Inkrafttreten der RL 95/46/EG, der europäischen Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Auf der Suche nach einer Möglichkeit, den Abschluss einer Vielzahl von Verträgen zu vermeiden, kam die Idee auf, unternehmensinterne Regelungen zu etablieren, um konzernweit ein einheitliches Datenschutzniveau zu schaffen.

Diese Idee wurde in der Folge von den Aufsichtsbehörden und dem Gesetzgeber aufgegriffen und, wenn auch nicht ausdrücklich im Gesetzestext genannt, jedenfalls als ausreichende Garantien im Sinne des Bundesdatenschutzgesetztes BDSG anerkannt.

Änderungen durch die neue EU-Datenschutzgrundverordnung

Durch die im Mai 2018 wirksam werdende EU-Datenschutzgrundverordnung (EU-DSGVO) bekommen BCR nun eine eigene ausdrückliche Regelung in den Art. 44 ff. EU-DSGVO. Explizit in Art. 46 EU-DSGVO als Beispiel für Garantien eines ausreichenden Datenschutzniveaus genannt, werden die verbindlichen internen Datenschutzvorschriften in Art. 47 EU-DSGVO definiert und die inhaltlichen Anforderungen erläutert.

Beibehalten wird insofern ein Abstimmungsverfahren („Mutual Recognition“) der jeweiligen Aufsichtsbehörden bei der Einführung von BCR, welches mit Wirksamwerden der EU-DSGVO durch das in Art. 63 EU-DSGVO geregelte Kohärenzverfahren reguliert wird. Schließlich wird durch die neuen Regelungen des Art. 46 Abs. 1 EU-DSGVO der Anwendungsbereich von Unternehmensgruppen auf Auftragsdatenverarbeiter (die nunmehr „Autragsverarbeiter“ in der EU-DSGVO heißen) erweitert.

Insgesamt geht damit eine weitere Vereinheitlichung einher und die Aussichten auf eine Beschleunigung und Strukturierung bei der Implementierung von BCR sind positiv. Insofern sollten Unternehmen dieses Instrument, auch bereits vor Wirksamwerden der EU-DSGVO, in Betracht ziehen und ausloten inwieweit diese für sie in Frage kommen.

Und was hat Donald Trump nun damit zu tun?

Die aktuelle Entwicklung in den USA in diesem Kontext, insbesondere durch die Anordnung zur Verbesserung der inneren Sicherheit der USA durch Präsident Donald Trump, lässt die Zweifel am weiteren Bestehen des EU-US Privacy Shield stärker werden. Die Unsicherheit, welche schon zuvor bestand, und das Vertrauen darin, dass das Privacy Shield eine belastbare Rechtsgrundlage für die Übermittlung personenbezogener Daten in die USA darstellt, wird dadurch nur stärker.

Ausgerechnet jetzt stehen die EU-Standardvertragsklauseln auf dem gerichtlichen Prüfstand. Diese werden derzeit unter Beteiligung der irischen Datenschutzbehörde im Hinblick auf die Datenübermittlung in die USA gerichtlich geprüft. Erreicht werden soll durch die Überprüfung des irischen High Court die erneute Vorlage vor dem EuGH.

Da nun auch noch die EU-Standardvertragsklauseln unter „Beschuss“ stehen, könnten BCR eine attraktive Alternative für Unternehmen darstellen, welche konzernintern Daten nach außerhalb des EWR und insbesondere in die USA übermitteln wollen. Wenn dies in Angriff genommen werden soll, kann bereits jetzt der Grundstein gelegt werden, um mit Wirksamwerden der EU-DSGVO in etwas mehr als einem Jahr von dem dann eingeführten Kohärenzverfahren zu profitieren.

Anmmerkung:

[1] www.isico-datenschutz.de

Diese Artikel könnten Sie auch interessieren

DSGVO: Abmahnungen vorbeugen, Bußgelder vermeiden

WISSENplus
Während die Aufsichtsbehörden sich kurz nach Inkrafttreten der DSGVO noch mit Bußgeldern zurückhielten, ist diese Übergangsphase nun beendet. Beispiele aus jüngerer Zeit zeigen, dass Bußgelder v.a. für die Verlet­zung des Transparenzgebotes und wegen Verletzung der Grundsätze zur Sicherheit der Verarbeitung verhängt werden. Doch wie lassen sich Bußgelder vermeiden? Und drohen auch Abmahnungen d...

Weiterlesen

Die Roadmap zur neuen Datenschutz-Grundverordnung

WISSENplus
Ab dem 25. Mai 2018 wird die EU-Datenschutz-Grundverordnung (DSGVO) die bisherigen nationalen Datenschutzgesetze der EU-Mitgliedstaaten verdrängen. Eine Verordnung, die es in sich hat: Ob verschärfte Wahrung von Betroffenenrechten oder massiv erhöhte Bußgelder – die EU-DSGVO bedeutet vor allem eines: viel Vorarbeit und Sorgfalt in punkto Implementierung. Stand heute bleiben faktisch gerade einmal elf ...

Weiterlesen

Der neue Datenschutz - und die Auswirkungen für das betriebliche Wissensmanagement

Datenschutz und besonders die Datenschutzskandale – zum Beispiel bei der Telekom, der Deutschen Bahn und der Supermarktkette Lidl – bewegen zu Recht die Öffentlichkeit. Um solchen Geschehnissen einen Riegel vor zu schieben, ist kürzlich das Datenschutzgesetz novelliert worden – mit Auswirkungen auch für das Wissensmanagement. Denn auch hier geht es häufig um personenbezogene Daten, die der Beurtei...

Weiterlesen

IT-Security gehört auf die Manager-Agenda

WISSENplus
Die Digitalisierung hat zweifelsohne vielen Unternehmen zu höherer Effizienz und dadurch zu wachsendem wirtschaftlichen Erfolg verholfen. Doch es gibt eine Kehrseite der Medaille: Mit dem zunehmenden Ausbau der Breitbandversorgung, dem Einsatz von mobilen Endgeräten und auch der steigenden Bedeutung von neuen Technologien wie Cloud Computing ergeben sich immer neue Angriffspunkte auf die IT-Sicherheit. Di...

Weiterlesen

Datenschutz im Zeitalter von Big Data

WISSENplus
Big Data hat in den vergangenen Jahren die IT-Welt sehr bewegt. Damit verbunden werden Hoffnungen auf beispielsweise neue Wege der Wertschöpfung und vielfältige Optimierungen von Prozessen. In der Praxis zeigen sich immer wieder Fälle, in denen die Technologie zu starken Verbesserungen führt. Andererseits herrscht seitens vieler Bürger Skepsis: Big Data ist zu einem Synonym für Datensammelwut, intrans...

Weiterlesen

Compliance 2.0: Worauf kommt es an?

WISSENplus
Wir leben heute in einer digitalen Welt, in der die Faktoren Gesellschaft, Technologie, Business und Recht eine dynamische Einheit bilden. Sie bedingen und beeinflussen einander: So ermöglichen neue Technologien neue Business-Modelle und der Mensch wird durch die Möglichkeit des mobilen Arbeitens zu einem Smart Worker. Diese Entwicklung krempelt nach und nach auch bestehende Gesetze und Richtlinien um. F...

Weiterlesen

IT-Sicherheit vs. Totalüberwachung

WISSENplus
IT-Sicherheit und der Schutz personenbezogener Daten sind nicht erst seit dem NSA-Skandal um den Whistleblower Edward Snowden heiß diskutierte Themen in der IT-Branche und darüber hinaus. Die Gefahren gehen von Geheimdiensten, staatlichen Hackern und Trojanern aus, ebenso wie von konkurrierenden Unternehmen. Selbst die eigenen Mitarbeiter können durch Unachtsamkeit oder Unwissenheit Firmendaten gefährde...

Weiterlesen

Mitarbeiterportal auf Leistungsfähigkeit prüfen

WISSENplus
Das Internet hat sich als wichtiger Vertriebskanal längst etabliert. Dementsprechend investieren Marketing- und Sales-Verantwortliche viel in professionelle Online-Auftritte. In zahlreichen Unternehmen haben Abteilungen wie die interne Unternehmenskommunikation, das Produkt- oder das Wissensmanagement parallel dazu viel Geld in den Aufbau von Intranets und sogenannten Employee-Self-Service-Portalen gesteck...

Weiterlesen