Eine Mandantin bittet um rechtliche Einschätzung zur datenschutzrechtlichen Situation im Unternehmen. Mitarbeiter- und Kundendaten werden auf dem eigenen, deutschen Server gespeichert, jedoch hat die US-Konzernmutter über Internet Zugriff auf diese Daten, so dass die Rechtmäßigkeit der Maßnahme zu klären wäre.
Rechtslage:
Der Transfer personenbezogener Daten in das EU-Ausland ist datenschutzrechtlich höchst brisant. Das Datenschutzrecht sieht vor, dass allenfalls eine solche Übermittlung in Betracht kommt, wenn das Empfängerland über ein angemessenes Datenschutzniveau verfügt. Ein solches ist etwa in den USA oder in China nicht gewährleistet. Zudem muss die Übertragung selbst datenschutzrechtlich zulässig sein, da eine Einwilligung jedes Mitarbeiters und Kunden in den Transfer praxisfremd wäre.
Insoweit ist hier zunächst zu fragen, von wo genau der Zugriff erfolgt. Findet der Zugriff von einem Unternehmen aus statt, das Safe-Harbour zertifiziert ist, so käme eine Rechtfertigung in Betracht. Insoweit wäre nun noch zu klären, ob der Transfer an sich zulässig ist, also z.B. eine Vereinbarung zur Auftragsdatenverarbeitung mit der US-Konzernmutter geschlossen wurde, da diese bestimmte Daten auf dem Konzernserver speichert. Zwar findet das Privileg des § 11 BDSG hier keine direkte Anwendung. Im Rahmen der Interessenabwägung nach § 28 BDSG spielt dieser Faktor jedoch sehr wohl eine Rolle.
Vorgehensweise:
Wir werden für die Mandantin zunächst eine rechtliche Einschätzung fertigen, anhand derer sie entscheiden kann, welche Alternativen zur Einhaltung rechtlicher Vorgaben bestehen. Sollte die Entscheidung zugunsten einer Auftragsdatenverarbeitung fallen, so erstellen wir einen entsprechenden Vertrag zwischen Konzernmutter und -tochter, welcher im Zweifel den Datenschutzbehörden vorgelegt werden kann. Ziel unserer Beratung ist – neben der Sicherung von Mitarbeiter- und Kundendaten – die Verhinderung von Sanktionen durch Datenschutzbehörden.
Wichtig für den IT-Unternehmer:
Der Transfer von personenbezogenen Daten in das Ausland ist datenschutzrechtlich problematisch und kann von der Datenschutzbehörde mit hohen Bußgeldern sanktioniert werden. Wir beraten Sie über die möglichen, rechtlichen Alternativen und setzen unsere Vorschläge zeitnah um, damit Ihre Datenverarbeitung rechtskonform wird.
Haben Sie Fragen? Dann sprechen Sie uns an. Hotline: 040/414313150
