Datenschutz

Globale Lösungen, regionale Hürden

Die Europäische Datenschutzgrund-verordnung, kurz EU-DSGVO, gab die Initialzündung für viele neue Datenschutzrichtlinien weltweit. Für global tätige Unternehmen steigt die Herausforderung, sämtliche für sie relevante Richtlinien umzusetzen – ohne dabei die geschäftliche Agilität zu gefährden.

Autor:Autor: Bruno Quint / Redaktion: Diana Künstler • 4.8.2021 • ca. 3:20 Min

Inhalt

Globale Lösungen, regionale Hürden
Globale rechtliche Verpflichtungen

Sobald Unternehmen in einem Land geschäftlich tätig sind, unterliegen sie den dortigen Datenschutzregulierungen. Im Fall von Zuwiderhandlungen drohen hohe Strafen bis hin zum Entzug der Genehmigung für den Geschäftsbetrieb im jeweiligen Land. Die weltweit immer strengeren Datenschutzgesetze stehen zunehmend im Widerspruch zur unternehmerischen Praxis einer globalen Kollaboration. Denn das Arbeiten mit Cloud-Diensten, wie Microsoft 365, wird durch die Regelungen erheblich erschwert. Viele Vorschriften enthalten eine sogenannte Datenresidenzpflicht, das heißt die Verpflichtung, ausgewählte Daten innerhalb der jeweiligen Landes- oder der Regionengrenzen zu speichern. Das hat zur Folge, dass die Übermittlung von Personendaten über Landesgrenzen nicht oder nur schwer zulässig ist. Die Nutzung von Cloud-Diensten ist allerdings nicht mehr nur eine hilfreiche Ergänzung, sondern oftmals dringend erforderlich. Sie ermöglicht einen weltweiten Datenzugriff innerhalb der Unternehmen und eine Zusammenarbeit über Landesgrenzen hinweg. Für internationale Unternehmen besteht die Herausforderung darin, trotz dieser dynamischen technischen Entwicklung die gesetzlichen Vorgaben einzuhalten.

Strenger Datenschutz in China

Beispiel Volksrepublik China: Bereits seit 2017 gilt in China das Cyber Security Law (CSL). Neben weitreichenden Vorschriften für die Einhaltung von Datensicherheit und für das Melden von IT-Sicherheitsvorkommnissen enthält das Gesetz auch das Prinzip der Datenlokalisierung. Dieses schreibt vor, dass personenbezogene Daten weitestgehend in China abzuspeichern sind. Zudem ermöglicht das CSL Behörden den Zugriff auf Daten, wenn illegale Aktivitäten festgestellt werden. Im Verlauf der letzten Jahre wurde das Gesetz mit einer Vielzahl von Bestimmungen und technischen Normen konkretisiert.

Anders als in der EU-DSGVO sieht das CSL auch eine Meldepflicht für einen Datentransfer ins Ausland unter bestimmten Bedingungen vor. Möchten Unternehmen beispielsweise personenbezogene Informationen von mehr als 500.000 Personen von China ins Ausland transferieren oder überschreitet die Menge der Daten ein Terabyte, bedarf es einer behördlichen Genehmigung. Diese aktive Rolle der lokalen Behörden und die Definition der Art von Daten, die nicht übertragen werden dürfen, schränken die Möglichkeit für in China agierende Unternehmen erheblich ein, Daten außerhalb des Landes abzuspeichern.

Das Ende vom Privacy Shield – Chance für Anbieter in der EU

Zahlreiche Unternehmen aus der EU übermitteln nach wie vor illegal personenbezogene Daten in die USA. Das ist das Ergebnis einer Studie des Centrums für Europäische Politik (cep), die im Januar 2021 vorgestellt worden ist. Darin werden die Konsequenzen aus dem EuGH-Urteil vom Juli 2020 untersucht. Der Richterspruch hatte die bis dahin übliche Datenübermittlung auf Basis des sogenannten Privacy-Shield-Beschlusses für unzulässig erklärt. Die Nutzung von Standardvertragsklauseln bleibe zwar grundsätzlich zulässig, „Datentransfers von Unternehmen aus der EU an Cloud-Dienste in den USA wie Microsoft, Amazon, Google oder Dropbox sind aber rechtswidrig, wenn die dortigen Datenempfänger den US-Überwachungsgesetzen unterliegen und Zugriff auf die Dateninhalte im Klartext haben“, sagt cep-Juristin Anja Hoffmann. Denn in diesen Fällen lasse sich der Zugriff der US-Behörden auch durch zusätzliche Datenschutzmaßnahmen nicht wirksam verhindern. Dies gelte auch dann, wenn sich die Unternehmen auf unternehmensinterne Datenschutzregelungen stützten. Die rechtssicherste Lösung, so Hoffmanns Fazit, sei es, von den beschriebenen Datentransfers in Drittländer abzusehen, die Daten so in der EU zu speichern, dass US-Unternehmen oder ihre Tochtergesellschaften keine Kontrolle darüber haben, und ausschließlich entsprechende europäische Provider zu nutzen. Die hohen Anforderungen an den Datenschutz in der EU und die derzeitige Transferpraxis würden allerdings auseinanderfallen. Datenexporteure, die rechtswidrige Datentransfers nicht einstellten, riskierten hohe Bußgelder. Auch die Entwürfe der Empfehlungen des EDSA (Europäischer Datenschutzausschuss) und der geänderten Standarddatenschutzklauseln der EU-Kommission würden, so Hoffmann, allenfalls für eine begrenzte Zahl der Fälle eine rechtssichere und zugleich praxistaugliche Lösung des Dilemmas versprechen. Allerdings biete das „Schrems II“-Urteil die Chance, hochwertige und sichere Dienste (zum Beispiel Clouds) in der EU zu stärken. „Nur dann ist der Wechsel zu EU-Dienstleistern langfristig eine Alternative. Die Schaffung von Gaia-X als erster europäischer Cloud kann ein richtiger Schritt in diese Richtung werden.“ (DK)

Nächste Seite

1 2