PRIMS und Datenschutz

[Wuppertal, Saarbrücken] Es ist heute allgemein üblich, dass die Datenverarbeitung globalisiert wird. Ob nun innerhalb eines Konzerns oder mit Hilfe von zunehmend weltweit organisierten Dienstleistern, die den Unternehmen Support im „follow the sun“-Prinzip anbieten. Die erforderliche Genehmigung für einen Datentransfer ins außereuropäische Ausland wollen die Datenschutz-Aufsichtsbehörden in Folge des PRISM-Skandals aber vorerst nicht mehr erteilen, was für viele Unternehmen ein z. T. massives Compliance-Risiko darstellen kann. In vielen (globalen) Konzernen werden Matrix-Organisationen etabliert, IT-Systeme durch spezialisierte Dienstleister rund um die Uhr gewartet oder konzernweite Telefonverzeichnisse erstellt. Aber auch die Vermarktung der Produkte findet zunehmend global statt, so dass auch das Customer-Relationsship-Management (CRM) weltweit im Unternehmensverbund realisiert wird. All dies hat zur Folge, dass personenbezogene Daten auch für andere (rechtlich selbständige) Firmen zugänglich sind. Im Rahmen des Datenschutzes ist es ausschließlich dann zulässig, personenbezogene Daten (ob über Kunden oder Mitarbeiter) zu übermitteln, wenn hierfür sowohl eine Rechtsgrundlage als auch ein „angemessenes Schutzniveau“ beim Empfänger vorliegt. Dies gilt explizit auch für die Mutter-, Tochter- oder Schwestergesellschaft eines Unternehmens, da ein solcher Datentransfer rechtlich nicht privilegiert wird (kein sog. Konzernprivileg). Sofern ein solcher Datentransfer an ein Unternehmen außerhalb von Deutschland und der EU stattfindet (wie beispielsweise aus den USA), sind durch das datenübermittelnde Unternehmen zusätzliche Vorgaben zu beachten, da in den USA kein, im Vergleich zum deutschen oder europäischen Datenschutz, ausreichendes Niveau existiert. So musste sich beispielsweise das datenempfangende Unternehmen in den USA dem „Safe-Harvor-Abkommen“ unterwerfen oder sog. EU-Standardvertragsklauseln abgeschlossen werden. Sobald eines dieser beiden Anforderungen erfüllt wurde, konnte die zuständige Datenschutz-Aufsichtsbehörde eine Genehmigung der Datenübermittlung erteilen. Die Datenschutzbeauftragten des Bundes und der Länder haben angesichts des Skandals um die umfassende Spionage durch die USA mittels dem Spähprogramm PRISM bekanntgegeben, vorerst keine Genehmigungen mehr für Unternehmen auf Basis des Safe-Harbor-Abkommens zu erteilen. Auch sollen sämtliche einschlägigen Datentransfers auf Grundlage der Standardklauseln geprüft und ggf. ausgesetzt werden. Somit ist es aktuell kaum möglich, dass deutsche Unternehmen die Daten mit amerikanischen Konzern-Müttern auszutauschen (und sei es nur das Konzern-Telefonbuch), den Support im „Follow-the-Sun“-Prinzip mit ausländischen Dienstleistern zu organisieren oder günstige Cloud-Dienste von Nicht-EU-Anbietern zu nutzen. Vielmehr müssen diese Rahmenbedingungen und die damit verbundenen (prozessualen, finanziellen und personellen) Risiken entsprechend berücksichtigt werden. Dies gilt für internationale Prozesse, IT-Systeme, Vertragsverhältnisse und auch Projekte. Der betriebliche Datenschutzbeauftragte sollte hierbei stets der erste Ansprechpartner sein, um in diesem Falle eine pragmatische Lösung zu finden. Daher ist die UIMC der Auffassung, dass der Datenschutz in die Verhandlungen zwischen der EU und den USA zum Freihandelsabkommen aufgenommen werden sollte. Andernfalls weder eine sinnvolle Lösung für Unternehmen noch eine angemessene Lösung zum Schutz der Persönlichkeitsrechte der Betroffenen gefunden werden.