info@PortalDerWirtschaft.de | 02635/9224-11
Suchmaschinenoptimierung
mit Content-Marketing - Ihre News
Orrick, Herrington & Sutcliffe |

Deutsche Datenschützer warnen Unternehmen vor Amerika

Bewerten Sie hier diesen Artikel:
1 Bewertung (Durchschnitt: 3)


FAZ, 14.08.2013, Recht & Steuern Die Beobachtung des Internets durch Geheimdienste beunruhigt viele Nutzer. Die deutschen Datenschutzbehörden haben nun angedroht, hiesigen Unternehmen keine Auslagerung von Informationen in eine

Gastbeitrag: Dr. Andreas Splittgerber, Rechtsanwalt bei Orrick, Herrington & Sutcliffe LLP.


MÜNCHEN, 14. August. Beinahe jeden Tag erreichen die Öffentlichkeit weitere Meldungen über Ausspähaktionen und Überwachungsmaßnahmen der amerikanischen Sicherheitsbehörde NSA, aber auch zum Teil europäischer Sicherheitsbehörden. Der Witz über einen deutschen Internetnutzer, der sich nach einem Festplatten-Crash an den Präsidenten Barack Obama wendet und um eine Kopie zur Datenwiederherstellung bittet, hat mittlerweile durchaus reale Qualitäten. Nun haben sich die Datenschutzbeauftragten des Bundes und der Länder mit dem Thema "Zugriff von Sicherheitsbehörden auf personenbezogene Daten deutscher Bürger" befasst. Insbesondere Datenübermittlungen an Internetprovider in den Vereinigten Staaten, Konzernmütter und andere außereuropäische Empfänger sind demnach nicht mehr ausreichend geschützt.

Zu betrachten ist zunächst das Konstrukt des europäischen Datenschutzrechts zu Datenübermittlungen: Europa kann als "Insel der Seligen" betrachtet werden, auf der personenbezogene Daten in Sicherheit sind. Jenseits der schützenden Gewässer liegen wilde Festlande, die wie die Vereinigten Staaten, Russland, aber auch die Schweiz und andere Staaten nicht der Europäischen Union (EU) oder dem Europäischen Wirtschaftsraum angehören. In diesen wilden Regionen herrscht aus Sicht der EU kein angemessenes Datenschutzniveau. Es handelt sich um "unsichere Drittstaaten".

Damit nun Daten von der Insel auf die wilden Festlande wandern können, können dafür vorgesehene Brückenkonstruktionen genutzt werden. Diese Konstruktionen werden im datenschutzrechtlichen Jargon als "Datentransfervehikel" bezeichnet. Solche Vehikel können beispielsweise eine Zertifizierung als "sicherer Hafen" (Safe-Harbour), sogenannte EU-Standardverträge oder "Binding Corporate Rules" sein. Mit der Brückenkonstruktion akzeptieren die "wilden Drittstaaten" grundsätzlich die wichtigsten Prinzipien des europäischen Datenschutzes, soweit es sich um Datenströme aus dem Insel-Bereich der EU handelt.

Dazu zählen unter anderem die Grundsätze der Zweckbindung und der Datensparsamkeit. Danach dürfen personenbezogene Daten nur für den Zweck verarbeitet werden, für den sie erhoben wurden, und auch nur in dem Umfang, der zur Erreichung dieses Zwecks erforderlich ist. Es ist offensichtlich, dass die Überwachung deutscher Internetnutzer durch die NSA gegen diese Prinzipien verstößt. Dies bestätigt die Entschließung der Datenschutzkonferenz, wobei die Konsequenzen für die Praxis unklar bleiben. Am heftigsten diskutiert wird die Ankündigung, die Aufsichtsbehörden würden "keine neuen Genehmigungen für die Datenübermittlung an Drittstaaten (zum Beispiel auch zur Nutzung bestimmter Cloud-Dienste) erteilen und prüfen, ob solche Datenübermittlungen auf der Grundlage des Safe-Harbour-Abkommens und der Standardvertragsklauseln auszusetzen sind".

Zum Hintergrund sollte man wissen, dass Datenübermittlungen in unsichere Drittstaaten in vielen Fällen von der zuständigen Behörde zu genehmigen sind. Dieses Erfordernis entfällt nach dem Bundesdatenschutzgesetz unter anderem, wenn der Empfänger der Daten in den Vereinigten Staaten registriert ist oder wenn ein deutsches Unternehmen für seinen Datenexport mit dem nichteuropäischen Empfänger einen EU-Standardvertrag abgeschlossen hat. Schätzungsweise transferieren 80 bis 90 Prozent aller deutschen Unternehmen ihre Daten auf Basis dieser Vehikel in die Vereinigten Staaten und in andere unsichere Drittstaaten.

Viele Datenschützer argumentieren, die Entschließung der Datenschutzkonferenz habe keine Auswirkung auf die Praxis. Bei genauerer Betrachtung ist allerdings festzustellen, dass es zumindest zwei praktische Anwendungsfälle gibt, in denen künftig eine Übermittlung personenbezogener Daten in die Vereinigten Staaten verhindert und Bußgelder verhängt werden können. Der erste Fall ist die Verwendung von Standardvertragsklauseln, insbesondere IT-Providern; sie sind nach derzeitiger Rechtslage um bestimmte Klauseln anzureichern, damit sie die Voraussetzungen des Bundesdatenschutzgesetzes erfüllen. Besonders strenge Datenschutzaufsichtsbehörden - beispielsweise in Schleswig-Holstein oder Berlin - verlangen, dass der Einsatz dieser Vertragsklauseln vorab von ihnen gebilligt wird. Diese Genehmigung soll nun nicht mehr erteilt werden. Der zweite Fall ist eine Datenübermittlung auf Basis der "Safe Harbour"-Regeln oder eines EU-Standardvertrages, wenn eine Behörde einen besonders schweren Datenschutzverstoß feststellt. Insbesondere Datenübermittlungen an Unternehmen, die besonders intensiv mit der NSA zusammenarbeiten oder gearbeitet haben, könnten von den Behörden in Augenschein genommen und im Einzelfall als rechtswidrig eingestuft werden.

Die Interpretation und Umsetzung der Entschließung der Datenschutzkonferenz liegt in den Händen der Behörden der einzelnen Bundesländer. Ob die Auffassung der besonders strengen deutschen Datenschutzbehörden in rechtlicher, aber auch wirtschaftlicher Sicht sinnvoll ist, kann man bezweifeln. Immerhin stellen sich die Behörden hier gegen das EU-Recht. Auf der anderen Seite muss etwas getan werden, denn tiefgehende Rechtsverletzungen durch die NSA und möglicherweise durch andere Sicherheitsbehörden können nicht geduldet werden.

Sinnvoller scheint aber doch die Haltung der Behörden anderer Bundesländer, die in der Entschließung ein datenschutzpolitisches Papier sehen, das Bundesregierung und EU zum Handeln auffordern soll. Jene Landesbehörden vertreten die Auffassung, dass bis auf weiteres keine Datenschutz-Audits oder Bußgeldverfahren eingeleitet werden sollten. Stattdessen hofft man dort dringend, dass bis Ende dieses Jahres sowohl das Safe-Harbour-Abkommen als auch die EU-Standardverträge im erforderlichen Maß überarbeitet würden, damit die deutschen Daten auch in den Vereinigten Staaten wieder sicher sind.

DR. ANDREAS SPLITTGERBER
Rechtsanwalt
ORRICK, HERRINGTON & SUTCLIFFE LLP
ROSENTAL 4
80331 MUNICH
tel +49 89 383980-200
fax +49 89 383980-99

asplittgerber@orrick.com


Für den Inhalt der Pressemitteilung ist der Einsteller, Dr. Andreas Splittgerber (Tel.: tel +49 89 383980-200), verantwortlich.

Pressemitteilungstext: 769 Wörter, 6233 Zeichen. Als Spam melden

Unternehmensprofil: Orrick, Herrington & Sutcliffe

Dr. Arno Frings ist Leiter der Praxisgruppe Arbeitsrecht Deutschland bei Orrick, Herrington & Sutcliffe. Er ist Fachanwalt für Arbeitsrecht und als Partner im Düsseldorfer Büro tätig. Dr. Frings berät mittelständische Unternehmen und internationale Konzerne in allen Bereichen des Arbeitsrechts.


Kommentare:

Es wurde noch kein Kommentar zu diesem Thema abgegeben.



Ihr Kommentar zum Thema





Weitere Pressemitteilungen von Orrick, Herrington & Sutcliffe lesen:

Orrick, Herrington & Sutcliffe | 03.10.2013

Dürfen Wirte Handyfotos verbieten, weil sie sich vor Tripadvisor & Co. fürchten? Gastbeitrag von IT-Anwalt Leuthner

Doch was ist mit denen, die Angst davor haben, dass ihre Gäste schlechte Noten geben? Dürfen diese Restaurantbesitzer Handyfotos verbieten? Von dem Essen, den ein Gast bestellt hat und für das er auch bezahlt? Weil jeder Gäste-Tester inzwischen n...
Orrick, Herrington & Sutcliffe | 02.10.2013

Wenn Richter Werkverträge platzen lassen…und es für Unternehmen teuer wird.

Wer jeden Morgen um 7.30 Uhr zur Arbeit antritt und pünktlich um 17.30 Uhr nach Hause geht, sieben Jahre lang – wirkt der wie ein Unternehmer? Der frei entscheiden kann, wann er kommt und geht? Eher nicht. Besonders, wenn er Tag für Tag und Jahr ...