Rödl & Partner: Geplantes Bundesdatenschutzgesetz blockiert Datenaustausch im internationalen Konzern
Rödl & Partner
Nürnberg, 12.03.2009: Die geplanten Änderungen des Bundesdatenschutzgesetzes
haben erhebliche Auswirkungen auf den Datenaustausch in international
tätigen Konzernen. Bereits nach geltender Rechtslage ist die Übermittlung
personenbezogener Daten an Unternehmen mit Sitz im Ausland problematisch.
Mit dem geplanten Wegfall des Listenprivilegs in Bezug auf Verbraucherdaten
wäre künftig jede Form der Übermittlung von Verbraucherdaten zwischen
internationalen Tochtergesellschaften ohne Einwilligung schlicht unzulässig.
"Das geplante Datenschutzgesetz würde in der jetzigen Form einen erheblichen
zusätzlichen Verwaltungsaufwand für internationale Konzerne schaffen",
erklärt Dr. Christiane Bierekoven, Expertin für Datenschutz- und IT-Recht
bei der internationalen Rechtsanwalts-, Steuerberatungs- und
Wirtschaftsprüfungsgesellschaft Rödl & Partner.
Internationale Konzerne mit Niederlassungen in unterschiedlichen Staaten
müssten individuelle Einwilligungen der Verbraucher für den Datenaustausch
einholen. Dies würde auch für das Outsourcing von Verbraucherdaten gelten.
Die bisher geltenden Regelungen genügen künftig nicht mehr, obwohl die
Betroffenen bereits einer konzernzugehörigen Gesellschaft ihre Daten
überlassen haben.
Für die Konzerne würde eine zusätzliche bürokratische Belastung entstehen.
Einwilligungen müssten aufbewahrt werden, um sie einerseits nachweisen zu
können und andererseits den gesetzlichen Anforderungen zu genügen. "Als
Alternative bleibt den Unternehmen lediglich ein faktisches Werbe- und
Weitergabeverbot", so Bierekoven.
Nach der bisherigen Gesetzeslage ist beim Datenaustausch danach zu
differenzieren, ob die personenbezogenen Daten in einen sogenannten sicheren
Drittstaat übermittelt werden oder nicht. Eine Übermittlung ist zulässig
innerhalb Deutschlands, Europas und in die von der europäischen Kommission
als sichere Drittstaaten anerkannten Länder Argentinien, Kanada, die
Schweiz, Isle of Man sowie Guernsey. Bei einer Übermittlung in die USA kommt
es darauf an, ob das Unternehmen sich den sogenannten Save Harbour
Principles unterworfen hat. Diese wurden zwischen der EU-Kommission und den
Vereinigten Staaten gleichsam als Kompromisslösung vereinbart, da die
EU-Kommission das Datenschutzniveau in den USA nicht dem europäischen
entsprechend ansieht. Sie enthalten Mindeststandards für den Schutz
personenbezogener Daten. Hat sich ein US-Unternehmen diesen unterworfen,
erkennt es also diese Mindeststandards an. Deswegen wird in diesen Fällen
das Datenschutzniveau als dem europäischen gleichwertig angesehen. Ist dies
nicht der Fall, gelten auch die USA als unsicherer Drittstaat.
Die Übermittlung personenbezogener Daten in solche unsicheren Drittstaaten
ist nur dann zulässig, wenn der Betroffene hierin eingewilligt hat. Dies
setzt jedoch voraus, dass das übermittelnde Unternehmen ihn deutlich über
die Risiken der Übermittlung in Kenntnis gesetzt hat, er also eine
informierte Einwilligung abgibt. Praktikabler ist hingegen die Lösung,
wonach das deutsche Unternehmen und das in einem unsicheren Drittstaat
ansässige ausländische Unternehmen die Standardvertragsklauseln der ICC oder
EU vereinbaren oder eine von der zuständigen deutschen Aufsichtsbehörde
genehmigte Individualvereinbarung schließen.
Dies gilt auch für die Übermittlung personenbezogener Daten innerhalb eines
internationalen Konzerns. Ein sogenanntes Konzernprivileg ist im deutschen
Datenschutzrecht fremd. Sind die genannten Regelungen jedoch einmal
getroffen worden, ist die Übermittlung personenbezogener Daten auch ohne
individuelle Einwilligung zulässig. Ähnlich stellt sich die Situation bei
dem sich nach wie vor großer Beliebtheit erfreuendem Outsourcing dar.
"Es ist dringend geboten, dass der Gesetzgeber für die Weitergabe von Daten
in internationalen Konzernen Ausnahmeregelungen schafft", betont Bierekoven.
"Ansonsten wird die Bewerbung von Unternehmenskunden gerade in Zeiten der
Finanzkrise zu einem Tabu. Dies kann die Bundesregierung so nicht gewollt
haben."
Ihre Ansprechpartnerin:
Dr. Christiane Bierekoven, Rechtsanwältin, Rödl & Partner Nürnberg
Tel.: +49 (9 11) 91 93-15 11, E-Mail: christiane.bierekoven@roedl.de
Über Rödl & Partner
Rödl & Partner ist eine der führenden deutschen Rechtsanwalts-,
Steuerberatungs- und Wirtschaftsprüfungsgesellschaften. Rödl & Partner
betreut Unternehmen weltweit bei ihren Geschäftsaktivitäten. Die Kanzlei
erzielte im Geschäftsjahr 2007 einen Gesamtumsatz von 192,9 Mio. Euro und
beschäftigt derzeit 2.750 Mitarbeiter. Rödl & Partner ist in allen
wesentlichen Industrienationen der Welt, insbesondere in Mittel- und
Osteuropa, Westeuropa, Asien, Lateinamerika, Afrika und den USA, mit 79
Niederlassungen in 37 Ländern vertreten.