2017/5 | Fachbeitrag | Datenschutz

Neue EU-Datenschutzgrundverordnung: Wie übermittle ich sensible Daten?

von Simone Rosenthal

Inhaltsübersicht:

Binding Corporate Rules sind neben den EU-Standardvertragsklauseln mit den jeweiligen Drittstaaten und dem EU-US Privacy Shield, dem Nachfolger des Safe Harbor Abkommens, eine Möglichkeit ausreichende Garantien dafür zu schaffen, dass beim Datenempfänger ein ausreichendes Schutzniveau im Hinblick auf personenbezogene Daten besteht.

Die Idee der Binding Corporate Rules

Die Idee zu BCR ist bereits einige Jahre alt und entstand schon Ende der 90er Jahre, nach dem Inkrafttreten der RL 95/46/EG, der europäischen Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Auf der Suche nach einer Möglichkeit, den Abschluss einer Vielzahl von Verträgen zu vermeiden, kam die Idee auf, unternehmensinterne Regelungen zu etablieren, um konzernweit ein einheitliches Datenschutzniveau zu schaffen.

Diese Idee wurde in der Folge von den Aufsichtsbehörden und dem Gesetzgeber aufgegriffen und, wenn auch nicht ausdrücklich im Gesetzestext genannt, jedenfalls als ausreichende Garantien im Sinne des Bundesdatenschutzgesetztes BDSG anerkannt.

Änderungen durch die neue EU-Datenschutzgrundverordnung

Durch die im Mai 2018 wirksam werdende EU-Datenschutzgrundverordnung (EU-DSGVO) bekommen BCR nun eine eigene ausdrückliche Regelung in den Art. 44 ff. EU-DSGVO. Explizit in Art. 46 EU-DSGVO als Beispiel für Garantien eines ausreichenden Datenschutzniveaus genannt, werden die verbindlichen internen Datenschutzvorschriften in Art. 47 EU-DSGVO definiert und die inhaltlichen Anforderungen erläutert.

Beibehalten wird insofern ein Abstimmungsverfahren („Mutual Recognition“) der jeweiligen Aufsichtsbehörden bei der Einführung von BCR, welches mit Wirksamwerden der EU-DSGVO durch das in Art. 63 EU-DSGVO geregelte Kohärenzverfahren reguliert wird. Schließlich wird durch die neuen Regelungen des Art. 46 Abs. 1 EU-DSGVO der Anwendungsbereich von Unternehmensgruppen auf Auftragsdatenverarbeiter (die nunmehr „Autragsverarbeiter“ in der EU-DSGVO heißen) erweitert.

Insgesamt geht damit eine weitere Vereinheitlichung einher und die Aussichten auf eine Beschleunigung und Strukturierung bei der Implementierung von BCR sind positiv. Insofern sollten Unternehmen dieses Instrument, auch bereits vor Wirksamwerden der EU-DSGVO, in Betracht ziehen und ausloten inwieweit diese für sie in Frage kommen.

Und was hat Donald Trump nun damit zu tun?

Die aktuelle Entwicklung in den USA in diesem Kontext, insbesondere durch die Anordnung zur Verbesserung der inneren Sicherheit der USA durch Präsident Donald Trump, lässt die Zweifel am weiteren Bestehen des EU-US Privacy Shield stärker werden. Die Unsicherheit, welche schon zuvor bestand, und das Vertrauen darin, dass das Privacy Shield eine belastbare Rechtsgrundlage für die Übermittlung personenbezogener Daten in die USA darstellt, wird dadurch nur stärker.

Ausgerechnet jetzt stehen die EU-Standardvertragsklauseln auf dem gerichtlichen Prüfstand. Diese werden derzeit unter Beteiligung der irischen Datenschutzbehörde im Hinblick auf die Datenübermittlung in die USA gerichtlich geprüft. Erreicht werden soll durch die Überprüfung des irischen High Court die erneute Vorlage vor dem EuGH.

Da nun auch noch die EU-Standardvertragsklauseln unter „Beschuss“ stehen, könnten BCR eine attraktive Alternative für Unternehmen darstellen, welche konzernintern Daten nach außerhalb des EWR und insbesondere in die USA übermitteln wollen. Wenn dies in Angriff genommen werden soll, kann bereits jetzt der Grundstein gelegt werden, um mit Wirksamwerden der EU-DSGVO in etwas mehr als einem Jahr von dem dann eingeführten Kohärenzverfahren zu profitieren.

Anmmerkung:

[1] www.isico-datenschutz.de

Diese Artikel könnten Sie auch interessieren

DSGVO: Abmahnungen vorbeugen, Bußgelder vermeiden

WISSENplus
Während die Aufsichtsbehörden sich kurz nach Inkrafttreten der DSGVO noch mit Bußgeldern zurückhielten, ist diese Übergangsphase nun beendet. Beispiele aus jüngerer Zeit zeigen, dass Bußgelder v.a. für die Verlet­zung des Transparenzgebotes und wegen Verletzung der Grundsätze zur Sicherheit der Verarbeitung verhängt werden. Doch wie lassen sich Bußgelder vermeiden? Und drohen auch Abmahnungen d...

Weiterlesen

Mitarbeiterportal auf Leistungsfähigkeit prüfen

WISSENplus
Das Internet hat sich als wichtiger Vertriebskanal längst etabliert. Dementsprechend investieren Marketing- und Sales-Verantwortliche viel in professionelle Online-Auftritte. In zahlreichen Unternehmen haben Abteilungen wie die interne Unternehmenskommunikation, das Produkt- oder das Wissensmanagement parallel dazu viel Geld in den Aufbau von Intranets und sogenannten Employee-Self-Service-Portalen gesteck...

Weiterlesen

Datenschutz in der Cloud: Rechtliche Hürden beim Online-Recruiting

WISSENplus
Mit cloud-basierten Recruiting-Management-Plattformen können Unternehmen Bewerbungsprozesse schneller, effizienter und kostengünstiger gestalten. Denn das gesamte Bewerbungsverfahren von der Stellenausschreibung bis hin zur Einstellung kann damit verwaltet und gesteuert werden. So ist es für Personalverantwortliche nicht mehr notwendig, auf Excel-Tabellen oder ähnliche Tools zurückzugreifen. Personalab...

Weiterlesen

Sensibles Wissen: Das neue Geschäftsgeheimnisgesetz

WISSENplus
Unternehmerisches Handeln und erfolgreiches Wirtschaften sind stets mit Risiko verbunden: Ob es um neue Produkte, externe Rahmenbedingungen oder Investitionsentscheidungen geht. Ein ernstzunehmendes Risiko sind allerdings auch Geschäftsgeheimnisse - zumindest dann, wenn sie nicht länger geheim sind. ...

Weiterlesen

Die Roadmap zur neuen Datenschutz-Grundverordnung

WISSENplus
Ab dem 25. Mai 2018 wird die EU-Datenschutz-Grundverordnung (DSGVO) die bisherigen nationalen Datenschutzgesetze der EU-Mitgliedstaaten verdrängen. Eine Verordnung, die es in sich hat: Ob verschärfte Wahrung von Betroffenenrechten oder massiv erhöhte Bußgelder – die EU-DSGVO bedeutet vor allem eines: viel Vorarbeit und Sorgfalt in punkto Implementierung. Stand heute bleiben faktisch gerade einmal elf ...

Weiterlesen

IT-Sicherheit vs. Totalüberwachung

WISSENplus
IT-Sicherheit und der Schutz personenbezogener Daten sind nicht erst seit dem NSA-Skandal um den Whistleblower Edward Snowden heiß diskutierte Themen in der IT-Branche und darüber hinaus. Die Gefahren gehen von Geheimdiensten, staatlichen Hackern und Trojanern aus, ebenso wie von konkurrierenden Unternehmen. Selbst die eigenen Mitarbeiter können durch Unachtsamkeit oder Unwissenheit Firmendaten gefährde...

Weiterlesen

IT-Security gehört auf die Manager-Agenda

WISSENplus
Die Digitalisierung hat zweifelsohne vielen Unternehmen zu höherer Effizienz und dadurch zu wachsendem wirtschaftlichen Erfolg verholfen. Doch es gibt eine Kehrseite der Medaille: Mit dem zunehmenden Ausbau der Breitbandversorgung, dem Einsatz von mobilen Endgeräten und auch der steigenden Bedeutung von neuen Technologien wie Cloud Computing ergeben sich immer neue Angriffspunkte auf die IT-Sicherheit. Di...

Weiterlesen

Neues Gesetz zum Know-how Schutz: Wissensmanager sind gefragt!

Im Management, speziell im Wissensmanagement von Unternehmen, herrscht eine erstaunliche Ahnungslosigkeit über die anstehenden rechtlichen Neuerungen beim Schutz von Geschäftsgeheimnissen. Dabei besteht dringender Handlungsbedarf: Stellen Sie sich vor, ein Mitarbeiter verlässt das Unternehmen mit sensiblen Informationen über ein neues Produkt, die er vor der Markteinführung auf einem USB-Stick zu seine...

Weiterlesen