Brüssel/Tokio/Wien (pts013/29.01.2019/10:30) – Große Industrie- und Schwellenländer weiterhin nicht gleichwertig – Datenverkehr mit zahlreichen Ländern bleibt genehmigungspflichtig – fehlende Genehmigung ist die häufigste Datenschutzfalle bei Österreichs Betrieben – umfassendes Datenschutzmanagment erforderlich
Vor wenigen Tagen hat die EU-Kommission die Datenschutzregelungen in Japan als gleichwertig mit der DSGVO eingestuft. Damit sind Daten der EU-Bürger in Japan gleich sicher wie innerhalb der EU.
Im Gegensatz zum „Privacy Shield“ – Abkommen mit den USA, dass nur unternehmensbezogen gilt und zahllose Sonderregeln und Ausnahmen enthält, gilt die Vereinbarung mit Japan für alle Einrichtungen und alle persönlichen Daten.
Das Abkommen garantiert laut EU-Website:
– strenge Zweckbindung („data is only processed for the purpose for which they were legally transferred from the EU, unless EU citizens give their consent for processing for a different purpose“)
– nur notwendige Daten dürfen verarbeitet werden („data is processed to the extent necessary for this purpose“)
– minimale Speicherdauer („data is kept for no longer than necessary for this purpose“)
– Sicherung der Datenaktualität („the data is kept accurate and up to date“)
– keine Übermittlung an unsichere Drittstaaten („data is never further transferred to individuals or entities abroad which do not guarantee an adequate level of protection, unless consent of EU individuals is obtained for such a transfer“)
– Einhaltung von ausreichenden Sicherheitsmaßnahmen („the processing should be done under appropriate security measures, protected against unauthorised or unlawful processing and against accidental loss, destruction or damage“)
– zusätzliche Sicherheiten für sensible Daten („additional safeguards apply to sensitive data (data revealing health conditions, sexual orientation, political opinions etc.“)
Der Anpassungsprozess dauerte knapp zwei Jahre.
Die Verhandlungen zwischen EU und Japan zogen sich über fast zwei Jahre. Ein parallel verhandeltes Abkommen mit Südkorea steht noch aus.
Große Industrie- und Schwellenländer fehlen weiterhin.
Japan ist somit das 16. Land außerhalb der EU, in das genehmigungsfrei persönliche Daten übermittelt werden dürfen.
In folgende Länder dürfen persönliche Daten genehmigungsfrei übermittelt werden:
– Norwegen
– Liechtenstein
– Island
– Andorra
– Argentinien
– Kanada (nur Firmen)
– Faroe Inseln
– Guernsey
– Israel
– Isle of Man
– Jersey
– Neuseeland
– Schweiz
– Uruguay
– USA (beschränkt auf Firmen die dem „Privacy Shield“ beigetreten sind)
Viele für Österreich wichtige Handels- und Geschäftspartner fehlen jedoch noch. Unter diese „Drittländer“ fallen unter anderem China, Brasilien, Indien, Australien, Südafrika, Mexiko, Russland, Ukraine, Hongkong, Taiwan.
Datenverkehr mit zahlreichen Ländern weiterhin genehmigungspflichtig
Für alle Drittländer ist die Übermittlung persönlicher Daten, unabhängig von der Art der Daten und des Umfangs genehmigungspflichtig.
Hans G. Zeger, GF der e-commerce monitoring gmbh: „Nach unseren Beobachtungen ist nicht genehmigter internationaler Datenverkehr die häufigste Datenschutz-Falle in die Österreichs Betriebe tappen.“
Es gibt zahllose Szenarien, bei denen internationaler Datenverkehr stattfindet, ohne dass sich die Beteiligten darüber bewusst sind.
Schon das Anzeigen von Personendaten in diesen Drittländern ist eine genehmigungspflichtige Datenübermittlung. Auch das Weiterleiten von Personallisten, Mitarbeiterverzeichnissen oder Kontaktlisten per eMail in diese Drittstaaten gilt als internationaler Datenverkehr.
Auch die Nutzung von Cloudservices mit Servern in einem dieser Drittstaaten ist als internationaler Datenvekehr zu werten.
Hans G. Zeger: „Bei vielen Billiganbietern von Cloudservices weiß der Kunde überhaupt nicht wo seine Daten tatsächlich gespeichert werden. Vertraut eine Firma diesem Cloudservice Mitarbeiter- oder Kundendaten an, MUSS vorab eine Genehmigung bei der Datenschutzbehörde eingeholt werden. Das passiert aber praktisch nie.“
Auch wenn ein Unternehmen in einem Drittland eine Projektbaustelle einrichtet und in weiterer Folge auf die Mitarbeiterdaten in Österreich zugreift, handelt es sich um genehmigungspflichtigen Datenverkehr.
Strittig ist derzeit noch, ob schon eine kurze Dienstreise und die Einsicht in die interne Kunden- oder Mitarbeiterverwaltung am eigenen Notebook im ausländischen Hotelzimmer als internationaler Datenverkehr zu qualifizieren ist. Hier fehlen noch Datenschutzentscheidungen. Unternehmen mit Mitarbeitern die häufig auf Dienstreisen sind, sind jedoch gut beraten, für diese Fälle ebenfalls eine Datenschutzgenehmigung einzuholen.
Genehmigung kann durch Einzelzustimmung ersetzt werden
Die Datenschutzgenehmigung kann durch die Einwilligung jedes einzelnen Betroffenen ersetzt werden. Dies ist bei Mitarbeiter- oder Kundendaten jeoch unrealistisch. Man wird kaum von allen eine derartige Einwilligung bekommen.
Höchst realistisch ist diese Einwilligung bei ausländischen Dienstanbietern, deren Services ein EU-Bürger unbedingt benutzen will. In diesen Fällen wird meist zu allem zugestimmt, egal wie problematisch die Formulierungen sind. Daher bedienen sich viele Internetanbieter dieser „billigen“ Möglichkeit zum „legalen“ Datenverkehr in unsichere Drittländer.
Fehlende Genehmigungen können zu hohen Strafen führen
Eine fehlende Genehmigung zum internationalen Datenverkehr ist kein Kavaliersdelikt und ist mit hohen Geldstrafen bedroht.
Gemäß Art 83 DSGVO können bei Verletzungen Strafen bis zu 10 Millionen Euro oder 2% des weltweiten Umsatzes verhängt werden. Größenordnungen, die bei international agierenden Unternehmen der Bau-, KFZ-, Elektronik- oder Energie-Industrie rasch zu 50 und mehr Millionen Euro Strafe führen können.
Zusätzlich droht diesen Unternehmen auch noch ungemach durch Mitbewerber, die etwa bei einem internationlen Projekt zu kurz gekommen sind. Diese könnten mit hoher Erfolgswahrscheinlichkeit nach UWG klagen.
Umfassendes Datenschutzmanagment erforderlich
Um diesen und ähnlichen – teuren – Datenschutzfallen zu entgehen ist umfassendes Datenschutzmanagment erforderlich. Die e-commerce monitoring gmbh bietet in Kooperation mit der ARGE DATEN ab 9. April 2019 einen fundierten Datenschutz-Lehrgang an: http://www.datenschutz-seminar.at/dsb.pdf
(Ende)
Aussender: e-commerce monitoring gmbh
Ansprechpartner: Hans G. Zeger
Tel.: +43 7433204 49
E-Mail: hans.zeger@e-monitoring.at
Website: seminar.e-monitoring.at/dsb