00:00:00: Als wir dieses Interview Anfang Oktober mit Prof. Kugelmann aufnahmen, waren die Fronten verhärtet, eine Lösung im Brexit-Dilemma schien in weiter Ferne. Obwohl ein Brexit mit Deal nun wieder in Reichweite ist, müssen sich Unternehmen damit befassen, wie eine Datenübermittlung in Drittstaaten rechtsgeform gestaltet werden kann. Dazu gibt Prof. Kugelmann konkrete Tipps. Und neben der Brexit-Frage haben wir uns natürlich auch intensiv mit Themen wie Privacy Shield, Schrems II und Datentransfers zum Beispiel nach China beschäftigt.
00:00:09:
00:00:17:
00:00:25:
00:00:32:
00:00:35:
00:00:49: Mein Name ist Severin Putz, herzlich Willkommen zu unserer neuen Folge von Datenschutz PRAXIS - der Podcast.
00:00:55: Wir diskutieren regelmäßig mit spannenden Gesprächspartnern über aktuelle Themen aus Datenschutz und Datensicherheit.
00:01:02: Als Co-Host begrüße ich wie gewohnt Oliver Schonschek Hallo Oliver Hallo Severin ich freue mich auf das Gespräch.
00:01:11: Als heutiges Thema haben wir uns die Datenübermittlung ins Ausland vorgenommen.
00:01:16: Wir freuen uns sehr, dass uns Prof.Dr Dieter Kugelmann Landesbeauftragter für den Datenschutz und die Informationsfreiheit in Rheinland-Pfalz für dieses Interview zugesagt hat Herzlich Willkommen, Herr Professor Kugelmann.
00:01:31: Ja schönen guten Tag auch von meiner Seite, ich freue mich.
00:01:37: Datentransfer ins Ausland ist ja Normalität, wenn man an das Online-Shopping, an sozialen Netzwerke und den internationalen Zahlungsverkehr denkt.
00:01:48: Rund um den Brexit wurde und wird diese Datenübermittlung aber auch als ein wesentliches Problem dargestellt?
00:01:56: Warum ist das so? Oliver kannst du für mich und unsere Hörer den Hintergrund noch mal erklären? Ja, sehr gerne mache ich das.
00:02:05: Man sagt ja, der Datenverkehr kennt keine Grenzen. Er ist international. Die Wirtschaft agiert bekanntlich zunehmend global. Und gleichzeitig gibt es Datenschutzvorgaben, die sich auf bestimmte Länder und Regionen beziehen.
00:02:20: Wirtschaftsverbände beklagen deshalb regelmäßig, der Datenschutz erschwere den internationalen Datenverkehr.
00:02:27: Und schaut man in die DSGVO, so stellt man fest, dass sie für die Übermittlung personenbezogener Daten in ein Land
00:02:36: außerhalb der EU, des EWR, besondere Regelung vorsieht.
00:02:41: Man findet hier insbesondere als Möglichkeiten für rechtskonforme Datentransfers in die sogenannten Drittländer,
00:02:48: Feststellung der Angemessenheit des Datenschutzniveaus im Drittland durch die EU-Kommission, dann das Vorlegen geeigneter Garantien oder
00:02:59: Ausnahmen für bestimmte Fälle. Und in den letzten Monaten wurde ja viel über privacy shield berichtet.
00:03:06: Das Thema Brexit und UK als Drittstaat über Nacht ist hochaktuell und Herr Professor Kugelmann, Sie haben sehr früh auf die Folgen eines no-deal-brexit aus Datenschutzsicht hingewiesen.
00:03:19: Könnten Sie uns kurz erklären, was genau das Problem ist, bei einem no deal brexit, und wie der aktuelle Stand, soweit man das sagen kann, beim Brexit zu bewerten ist?
00:03:31: Nun, dieses frühzeitige Hinweisen hatte den Sinn, dass sich die Verantwortlichen darauf einstellen können, dass sich die Situation ändert, denn im Falle eines Brexit oder eines Austritts des Vereinigten Königreichs,
00:03:42: von Großbritannien und Nordirland aus der EU, ist das Vereinigte Königreich Drittstaat.
00:03:48: Wenn es keine spezifischen Regelungen gibt. Es heißt also im Falle eines no-deal-brexit, im Falle also eines Austritts ohne spezifische Regelungen für alle möglichen Bereiche etwa auch den Datenschutz
00:03:59: ist das vereinte Königreich auf dem Stand von Chile oder China. Heißt mit anderen Worten, die vereinfachten Möglichkeiten des Datenaustausch innerhalb der EU entfallen.
00:04:12: Und wir wissen alle, dass wir nichts wissen hinsichtlich der konkreten Umstände des Brexit, das heißt man kann dann nicht immer noch hoffen, dass ein Austrittsabkommen
00:04:22: geschlossen wird. In dem Entwurf
00:04:25: den wir vorliegen haben, war ein Übergangszeitraum zur Anwendung des Unionsrechts drin, mit anderen Worten, wenn wir ein Deal hätten, nen Vertrag,
00:04:33: dann würde da wahrscheinlich drin stehen, wir machen es erstmal weiter wie bisher bis wir was genauer geregelt haben.
00:04:40: Wahrscheinlicher ist aber die alternative No-deal, also kein Abkommen und geregelter Zustand, heißt die Grundverordnung gilt unmittelbar.
00:04:49: Und die Konsequenz dann ist, dass Datenübermittlungen
00:04:53: in das Vereinigte Königreich, nach England, nach Schottland und umgekehrt genauso zu behandeln sind wie eben andere Übermittlung in Drittstaaten, mit der Konsequenz, dass wir dann,
00:05:04: die von Ihnen angesprochenen spezifischen Regelungsgründe also die spezifischen Rechtsgrundlagen brauchen, um überhaupt eine rechtmäßige Datenübermittlung vornehmen zu können.
00:05:14: Und Sie haben das ja auch so schön bezeichnet mit "Drittstaat über Nacht".
00:05:23: Tritt plötzlich ein, und umso wichtiger ist es, sich eben darauf vorzubereiten, diesen Plan A und B zu haben, je nachdem, was geschieht, um eben schnell reagieren zu können
00:05:32: weil man ja ansonsten ... also Großbritannien ist ja ein wichtiger Wirtschaftspartner von Deutschland und von anderen EU-Ländern
00:05:42: und dementsprechend gibt es da ja einiges an Datenübermittlung, ohne dann rechtliche Grundlage im Fall des Falles.
00:05:52: Da gilt es dann schnell aber überlegt zu reagieren. Deshalb fanden wir das sehr, sehr gut, dass Sie da sehr frühzeitig und ausführlich darauf hingewiesen haben und dass es da ja auch von der Datenschutzkonferenz entsprechend einen Beschluss gibt,
00:06:06: da warten jetzt alle ganz gespannt darauf und müssen aber diese Wartezeit nutzen für die Vorbereitungen.
00:06:15: Wir haben ja leider nicht nur das Thema, so hochaktuell wichtig das ist mit dem Brexit oder eben "No-deal-Brexit",
00:06:22: sondern wir haben ja auch mit anderen Staaten Datenübermittlungen. Und da werde ich gerne über das Stichwort privacy-shield sprechen, was gibt's denn hier für ein aktuellen Stand?
00:06:35: Erlauben Sie mir noch einen kurzen Nachtrag zum Brexit.
00:06:40: Sie sagen zurecht, man muss sich drauf vorbereiten. Also eigentlich läuft es auch schon. Ich weiß es von Großunternehmen, die seit zwei Jahren in den Vorbereitungen sind. Dann da geht es eben auch um
00:06:53: entsprechende Vertragsgestaltung, die es gibt. Inzwischen werden nach meinen Information sogar Algorithmen eingesetzt, um die Verträge dann um zu schreiben.
00:07:02: Aber einfach soweit das eben überhaupt machbar ist und die weiteren vertraglichen Grundlagen eben sozusagen automatisiert dann zu erhalten. Auch: Was heißt das konkret?
00:07:15: Wenn es einen ungeregelten Brexit gäbe, in der Tat, dass dann Verantwortliche auch darüber informieren müssen. Es heißt, jeder muss sein Informationsblatt, seine Datenschutzerklärung auch ändern, weil man da drauf schreiben muss, zukünftig in ab 31 Oktober steht zu befürchten
00:07:32: reinschreiben zu müssen: Wir übermitteln Daten in das Drittland Vereinigtes Königreich. Es gibt
00:07:39: durchaus Pflichten, die jeden treffen. Man muss nicht nur die Rechtsgrundlage neu schaffen, sondern das hat eben auch weitere Folgen, auch in der internen Dokumentation, die man dann machen muss. Also sind Umstellungen auch im internen Datenschutzmanagement angezeigt.
00:07:54: Absolut.
00:07:57: Neben den Datenschutzhinweisen wie gesagt, neben den Verträgen, Auftragsverarbeitung, Verzeichnis von Verarbeitungstätigkeiten, Datenschutzkonzepte, wo man sagt, welche Garantien, was habe ich denn jetzt überhaupt,
00:08:08: wie bewerte ich vielleicht ein Zertifikat, das mir vorgelegt wird. Also da kommen wirklich spannende Fragen auf.
00:08:15: Genau und das ist eben auch der Hinweis.
00:08:19: Es kann ganz viele betreffen, weil, natürlich haben wir die besten und vielfältigsten Beziehungen zum vereinigten Königreich, und deshalb hätten wir ja auch gern, dass sie drin bleiben. Aber tun sie halt nicht und das muss man halt dann bewerten und da muss man halt
00:08:33: jeder für sich gucken oder gucken lassen oder schon geguckt haben am besten, was würde das bedeuten, weil genau genommen,
00:08:40: ist es halt dann, Sie haben zurecht gesagt "Drittstaat über Nacht", wenn es zum 31. Oktober den Brexit gäbe
00:08:48: so dass am 1. November alles andere rechtswidrig ist, was dann passieren würde und darauf muss eben gefasst sein.
00:08:55: Wahrlich und ich hatte vorhin das Stichwort.
00:08:59: Privacy Shield in den Raum gestellt und letztendlich, wenn man es vergleicht, UK und USA, haben wir mit USA ja zumindest das mit dem Privacy Shield. Mit UK hätte man dann gar nichts erstmal.
00:09:14: Richtig, das ist halt dann wirklich der Unterschied. Eine Möglichkeit Daten angemessen zu übermitteln ist der Angemessenheitsbeschluss der Europäischen Kommission. Nehmen wir an den Staat sounso, Dauer.
00:09:27: Da ist es so, wenn er es dahin übermittelt, da gehen wir davon aus "angemessener Standard", wir haben es geprüft, die Sache läuft. Und das Privacy Shield ist ja eine spezifische Form eines solchen Angemessenheitsbeschlusses.
00:09:39: Das heißt also eine, im Prinzip, Verabredung zwischen der EU und den USA,
00:09:45: dass die Unternehmen, die sich dort in die Liste eintragen lassen, in die Privacy Shield-Liste, dass
00:09:53: Datenübermittlung an denen und zwischen denen und der EU in Ordnung sind. Das ist die Grundlage, wobei man sagen muss, auch das ist wacklig,
00:10:03: wir haben zwar dann damit eine Grundlage im Moment, und wer den Privacy Shield nutzt, kann den ja erstmal weiter nutzen, aber es gibt auch jährliche Prüfungen
00:10:13: und sowohl 2017 wie 2018 war die Kommission
00:10:19: in Washington und hat durchaus kritische Fragen gestellt.
00:10:25: Und gerade vor zwei Wochen war jetzt das 3. Review und also da war wieder
00:10:30: eine Gruppe aus der EU, auch unter Beteiligung der Datenschutzbehörden, in Washington und
00:10:36: es hat da Fortschritte gegeben. Wir haben also immer bemängelt, dass die Amerikaner
00:10:42: aufgrund ihrer Rechtslage Rechtsschutz für Amerikaner gewährleisten, aber keinen Rechtsschutz für andere, also für Europäer und,
00:10:50: das wird durch die Ombudsperson
00:10:54: ausgeglichen, an die man sich wenden kann, also wenn man Streit hat mit dem Verantwortlichen, wenn man sagt, da ist etwas nicht in Ordnung.
00:11:01: Da kann man sich an die unabhängige, halbwegs unabhängige Ombudsperson wenden. Die ist inzwischen ernannt.
00:11:06: Das war lange Zeit nicht der Fall, aber halt nicht ganz unabhängig, insoweit nachwievor Bedenken
00:11:13: gegenüber der Ausgestaltung des Privacy Shield, aber erstmal hält der.
00:11:18: Der Schutz dieses Privacy Shield für Datenübermittlungen, also bis auf weiteres, kann man sich unter diesen Schutz begeben, wenn man Daten in die USA übermittelt.
00:11:27: Okay, ist auch noch mal ein wichtiges Update für uns alle, gerade zu dem jetzt kürzlich wieder stattgefundenen Review.
00:11:36: Und ob "no deal brexit" und "privacy shield", ob das nicht alles schon Themen wären, die einen genug beschäftigen bei Datenübermittlung, da haben wir ja dann noch dieses Stichwort "Schrems 2", Verhandlung vor dem Europäischen Gerichtshof
00:11:50: könnten Sie uns dazu noch was sagen, was das bedeutet für Unternehmen in Deutschland.
00:11:54: Ja also der Schrems 2 ist wie unschwer zu erkennen Nachfolger von Schrems 1, das war das EUGH-Urteil, das gesagt hat, Übermittlungen in die USA gehen nicht nach altem Recht. Daraufhin gab es das privacy shield.
00:12:07: Schrems 2: Das Verfahren betrifft konkret den österreichischen Aktivisten Herrn Schrems, der sich wendet gegen
00:12:16: insbesondere immer wieder Facebook. Nun ist es so, dass Facebook Irland sich bei Datenübertragungen in die USA auf diese Standardvertragsklauseln stützt.
00:12:25: Standardvertragsklauseln sind ja ein gebräuchliches Instrument. Die Europäische Kommission hat also standardisierte Vertragsklauseln entwickelt. Wenn man die nutzt und sich vertraglich auf die stützt, kann man Daten in Drittstaaten übermitteln, das ist eigentlich das gebräuchlichste und wichtigste
00:12:39: Instrument für
00:12:42: die Datenübermittlung in Drittstaaten, und insbesondere gerade auch für grenzüberschreitend tätige Unternehmen wie Facebook,
00:12:51: wichtiges Element. Nun ist der Haken bei der Sache, wenn man in die USA übermittelt die Daten, dass
00:12:59: diese Daten damit dem Zugriff der amerikanischen Sicherheitsbehörden unterliegen, also NSA und Kollegen können nach amerikanischem Recht eben die Hintertür öffnen und sich an die Daten dran begeben. Deshalb hat der
00:13:11: irische Oberste Gerichtshof gesagt, das könnte die generelle Unwirksamkeit dieser
00:13:16: Standarddatenschutzklauseln nach sich ziehen, weil eben nicht gesichert sei, dass die Datenübermittlung hinreichend sicher ist, wenn doch jede amerikanische Sicherheitsbehörde dran kann.
00:13:26: Stand ist, es gab eine mündliche Verhandlung vor dem EUGH Luxemburg. Das Urteil steht noch aus. Wir wissen das nicht
00:13:33: Wie es aus geht. Vor Gericht und auf hoher See sind wir ja bekanntlich in Gottes Hand, aber natürlich ist es jetzt in der Tat die Frage:
00:13:40: Wackelt jetzt auch noch das verlässliche Instrument der Standarddatenschutzklauseln.
00:13:45: Also in der mündlichen Verhandlung, 9. Juli war das, haben die meisten Beteiligten, auch der europäische Datenschutzausschuss war das,
00:13:52: Sich in Richtung auch für eine zumindest grundsätzliche Wirksamkeit dieser Standarddatenschutzklauseln geäußert,
00:13:58: also anders gesagt, keiner will das jetzt jeder Datenverkehr mit den USA zusammenbricht und Wirtschaftsbeziehungen in die Knie gehen und deshalb kann man davon ausgehen, dass
00:14:07: zumindest bis auf Weiteres es erstmal hält, aber es kann auch gut sein, dass der Oberste Gerichtshof sagt
00:14:14: anhand dieses Falles gucken wir uns das erstmal an, wie es läuft und stellen diese Anforderungen. Oder wollen wir gewisse Gestaltungsmechanismen. Kann auch sein, dass er sie für unwirksam erklärt.
00:14:22: Dann hätten wir allerdings in der Tat die Situation, dass auch die Datenübermittlung auf dieser Rechtsgrundlage dann
00:14:28: eine andere suchen müssten. Und das wollen wir eigentlich auch alle nicht. Ich gehe jetzt eher davon aus, wenn Sie meine Einschätzung wollen, dass
00:14:39: hier die Tür geöffnet wird, um im Einzelfall zu sagen, bestimmte Standardvertrags-
00:14:45: klauseln, Beziehung zwischen A und B, die klappen nicht. Die verstoßen gegen die Grundsätze der DSGVO. Aus bestimmten Gründen. Dass eine Einzelfallbewertung möglich wird.
00:14:54: Aber ich gehe jetzt erst mal nicht davon aus, dass das Instrument als solches kippt, sondern dass man irgendwie ein paar Stellschrauben dreht und es weiter bestehen lässt, nur kann eben in der Folge dann noch
00:15:05: da auf die Verantwortlichen zu kommt, dass man da vielleicht dieses und jenes müssen noch mal prüfen muss.
00:15:09: Okay, also man sieht Herausforderung über Herausforderung, Baustelle über Baustelle, aber es gibt zum Glück ja auch Instrumente, auch wenn die
00:15:19: erst so in der Entwicklung sind, die mit der DSGVO gekommen sind und langsam auch Realität werden.
00:15:28: Die
00:15:30: in dem Bereich der geeignete Garantien helfen könnten, Grundlagen für eine Datenübermittlung in einen Drittstaat zu bilden und da werden ja genannt in der DSGVO Datenschutzzertifizierung und Verhaltensregeln.
00:15:43: Können Sie uns dazu was sagen?
00:15:47: Das sind Instrumente, die die Verantwortlichen dem Grunde nach in der Hand haben, bisher haben wir immer von Dingen geredet, wo die Kommission mit den USA was macht oder wo man eben Vertragsbeziehungen
00:16:01: aufbauen muss. Hier ist es in der Tat so, auch das natürlich in Zweierbeziehungen, aber da kann auch mal ein Verantwortlicher die Initiative ergreifen.
00:16:10: Das läuft so: Zertifizierung heißt ja: ich drück den Stempel drauf, wenn das Datenschutzniveau okay ist.
00:16:18: Das heißt also, der Verantwortliche im Drittland wird aktiv und sagt: ich sitze zwar in
00:16:27: Malaysia oder in Singapur oder sonst wo, aber ich bin auf dem Stand der Grundverordnung.
00:16:35: Und lässt sich ebenso ein Siegel geben und damit kann man eben mit dem problemlos dann Daten austauschen weil der ja sozusagen,
00:16:44: das was man sonst generell sagt, dass man eine angemessene Situation hat, die der Verantwortliche für sich selber hinkriegt.
00:16:53: Das ist also die eine Möglichkeit. Das zweite sind Verhaltensregeln, code of conduct,
00:17:00: Verhaltensregeln für gewisse Verbände, Vereinigungen, also wir haben zum Beispiel Verhaltensregeln in Deutschland, für die Auskunfteien, die Wirtschaftsauskunfteien, für Schufa und ähnliche
00:17:10: Die sagen, bei uns sind immer die ähnlichen Dinge, die eine Rolle spielen, und wenn wir uns so und so verhalten, ist das okay.
00:17:18: Wenn also ein außereuropäisches Unternehmen zu seinem bestehenden Verbund dazu käme, also die Versicherung hatten sowas auch. Die haben es nicht mehr aktuell, aber mal angenommen das Beispiel Versicherung hätten jetzt sowas.
00:17:32: deutschen, europäischen, dann könnte eben ne Versicherung mit Sitz in, nach dem Brexit, London oder eben mit Sitz in Chile sagen noch.
00:17:42: Skypen schlüpfe auch mit runtergetretene Verband bei oder sonst wie ich das ja machen es so dass diese Verhaltensregeln sind gültig sind.
00:17:48: Auch da wieder die Idee dann ist der Standard da, dann ist das Niveau gesichert, das heißt also, wenn ich hier Verantwortliche habe, die die
00:17:55: Voraussetzungen erfüllen, obwohl sie im Land leben, das als Mitgliedstaat oder als Staat keine
00:18:03: entsprechenden Niveaus gesichert hat, dann kann ich mit denen konkret dann in Austausch treten. Das heißt, also da gibt's jetzt einzelne Verantwortliche,
00:18:11: oder vielleicht Gruppen von Verantwortlichen, die mit diesen Instrumenten daneben unter den DSGVO-Schirm im Prinzip schlüpfen.
00:18:20: Noch haben wir ja Datenschutzzertifizierungen, die wirklich den Vorgaben der DSGVO entsprechen oder Verhaltensregeln, Sie haben mir ein Beispiel genannt, was wir
00:18:32: da im Deutschen haben, aber noch sind diese Instrumente ja nicht sehr ausgeprägt. Wie ist denn da ihre Einschätzung? Wird das wichtig werden als Rechtsgrundlage
00:18:42: für eine datenschutzkonforme Datenübermittlung?
00:18:46: Die Zertifizierungen sind in Deutschland so geplant, dass die Datenschutzaufsichtsbehörden gemeinsam mit der deutschen Akkreditierungsstelle
00:18:57: Privatunternehmen, die sagen wir wollen zertifizieren,
00:19:00: künftig akkreditieren müssen. Also Unternehmen XYZ kommt zu uns und sagt, wir sitzen in Rheinland-Pfalz und wollen künftig Zertifizierungen im Datumsbereich machen.
00:19:11: Könnt ihr uns mal akkreditieren, also uns bestätigen, dass wir so die Voraussetzungen erfüllen, dass wir jetzt auf dem Markt unsere.
00:19:20: Zertifizierung oder Siegel, unser Gütezeichen anbieten können.
00:19:25: Wir haben jetzt als Datenschutzaufsichtsbehörden gerade, liegen gerade in den Endzügen unserer Verhandlungen mit der Deutschen Akkreditierungstelle. Also es gibt eben künftig eine Vereinbarung, wie wir das gemeinsam machen,
00:19:36: Das hat uns der Bundesgesetzgeber so aufgegeben. Steht im Bundesdatenschutzgesetz drinnen. Wir hätten das auch alleine gemacht, aber das steht eben drin, die DAkks gemeinsam mit
00:19:44: den Aufsichtsbehörden. Das kann also im nächsten Jahr anfangen zu laufen, dann würden die ersten privaten Unternehmen überhaupt in der Lage sein,
00:19:53: Zertifizierungen in Deutschland zu vergeben und nach
00:19:57: deutscher Rechtslage, und dann eben auch für Drittstaaten, für in Drittstaaten ansässige Unternehmen. Also ich vermute, das wird keine riesige Rolle spielen, einfach vor dem Hintergrund, dass das eher
00:20:11: ein Wettbewerbsvorteil für diejenigen ist, die im Land aktiv sind. Es wird sich den einen oder anderen geben, der sich diesem
00:20:20: Verfahren unterziehen wird. Das kostet dann ja auch was.
00:20:22: Sich zertifizieren zu lassen von dem dann akkreditierten privaten Unternehmen, und bei den Verhaltensregeln ist es auch so. Also schon die europäischen Unternehmen schrecken da etwas
00:20:32: zurück, weil das durchaus auch heißt, man muss sich kontrollieren lassen, man muss entsprechend Verpflichtungen eingehen. Also ich befürchte,
00:20:41: diese beiden Instrumente werden sicher im Einzelfall, aber nicht in erheblichem, quantitativen Ausmass eine Rolle spielen.
00:20:49: Es ist immer wertvoll, da eine Einschätzung zu bekommen. Sicherlich sollte man beobachten, ob da vielleicht ein Wirtschaftsverband Verhaltensregeln entwickelt, und dass das einem helfen kann. So aber
00:21:03: es werden die anderen Instrumente, die es gibt, andere Möglichkeiten werden sicherlich zahlenmäßig wichtiger sein oder in mehr Fällen zur Anwendung kommen.
00:21:15:
00:21:16: Ein Unternehmen plant eine Übermittlung ins Ausland, und steht jetzt vor all diesen teilweise doch wackligen Situationen, wo man gucken muss, wie entwickelt sich das und was kommt danach.
00:21:28: Was würden Sie empfehlen, was sollte ein Unternehmen jetzt tun?
00:21:32: Also es in der Tat gerade angesichts der hoch dynamischen Entwicklungen sehr sinnvoll, wenn man da die Augen aufhält, aber erstmal muss mal gucken,
00:21:42: wie bin ich am besten abgesichert.
00:21:45: Der erste Schritt ist natürlich, mit wem habe ich denn vertragliche Beziehungen, also das wird man ja inzwischen schon, weil man ja das Verzeichnis der Verarbeitungstätigkeiten da geschrieben hat, dann wissen. Das heißt, also ich sitze in
00:21:58: Baden-Württemberg, in Rheinland-Pfalz, in Bayern, in Nordrhein-Westfalen als Unternehmen, Hauptniederlassung, und aber meine Personalverwaltung lasse ich in der Schweiz machen.
00:22:09: Und da ist die Frage wie sieht es mit der Schweiz aus?
00:22:12: Das sieht es gut aus, denn die erste Frage ist, besteht ein Angemessenheitsbeschluss der EU-Kommission? Gibt es also eine generelle Regel, eine generelle Leitlinie, die festgelegt ist, wo die Kommission gesagt hat, was nach Grundverordnung geht, ja das geprüft hat,
00:22:25: der Standard in Land XL, z.b. Argentinien, Kanada, Neuseeland, Schweiz, Uruguay, Japan seit neuestem, ist so in Ordnung, wenn ihr mit dortigen
00:22:37: Unternehmen kooperiert, Datem übermittelt.
00:22:40: Ist ok. Mit anderen Worten, man muss halt gucken mit wem man vertragliche Beziehung hat oder Auftragsverarbeitungsbeziehungen, wie auch immer. Angemessenheitsbeschlüsse wären das Schickste, aber das gibt es halt leider nicht in mit allen Staaten.
00:22:54: Wenn man das also
00:22:56: Wenn man also sieht: Ich bin Maschinenbauhersteller und lasse die Personalverwaltung eben dann nicht in Uruguay, sondern eben in Venezuela machen. Da gibt's keinen Angemessenheitsbeschluss. Wie kriege ich das dann hin?
00:23:09: Dann gibt's eben die Instrumente, die Sie auch geschildert haben. Im Moment würde ich noch am ehesten auf die Standardvertragsklauseln zählen. Muss sagen, okay, dann muss ich die abschließen.
00:23:18: Die haben nur den Nachteil, die sind sehr starr. Also man muss dann mehr oder weniger das nehmen, was die Kommission da halt zusammengestellt hat.
00:23:29: Weil, wenn man davon abweicht, ist man nicht mehr auf der sicheren Seite. Deshalb kenn ich einige Unternehmen, die sagen, ja das hilft mir gar nicht so weiter, weil es meine konkreten Bedürfnisse nicht berücksichtigt aber immerhin.
00:23:40: Es ist eine Möglichkeit, also Standardvertragsklauseln. Was Unternehmensgruppen, größere, machen,
00:23:48: machen sie auch verstärkt, sind interne verbindliche Datenschutzvorschriften. Also ich habe meine Hauptniederlassung zwar in
00:23:56: Nordrhein-Westfalen oder Hessen, aber hab noch 12 Niederlassungen in der ganzen Welt. Dann muss man interne
00:24:05: Daten ja auch austauschen, klar. Auch dazu bedarf es Regeln. Das sind diese "binding corporate rules", die internen Verhaltensregeln.
00:24:11: Wir haben selbst einige Anträge vorliegen, solche durchaus komplizierten "binding corporate rules"
00:24:19: für den internen Datenaustausch im Unternehmen hinzukriegen, aber da ist man dann allerdings auf der ziemlich sicheren Seite, das hält.
00:24:28: Betrifft aber natürlich tendenziell eher größere Unternehmen, weil es schon großer Aufwand ist. Also die kleinen, mittleren da wirds dann in der Stelle vielleicht eher schwieriger. Es gibt dann noch 2 Schlupflöcher,
00:24:40: sagen wir mal, für einzelne Fälle. Das eine ist, man kann spezielle Verträge aushandeln.
00:24:48: Man hat keine Standardvertragsklauseln, die passen irgendwie nicht.
00:24:51: Sondern man hat jetzt nur die Beziehung zu dem Unternehmen X in Singapur. Und das kann man dann machen, dass man diesen Vertrag von der Datenschutzaufsichtsbehörde dann genehmigen lässt.
00:25:02: Das ist aber natürlich auch zeit- und kostenaufwendig, wenn man es einfach ausarbeiten muss, also nicht dass die Aufsichtsbehörde was kostet, aber das dauert dann eben auch ein bisschen. Und das ist eben ein Einzelvertrag.
00:25:13: Und letztes Schlupfloch: Es gibt noch Ausnahmetatbestände auch noch mal für den Einzelfall, die jetzt nicht dauerhafte vertragliche Beziehung betreffen,
00:25:23: sondern, wenn man sagt, ich muss ganz dringend mal die Daten ausnahmsweise mal nicht
00:25:30: wie sonst immer nach Frankreich, sondern dann eben in einen Drittstaat übermitteln. Das ist dann der Artikel 49.
00:25:38: wo man Ausnahmentatbestände für den Einzelfall hat. Die allermeisten Unternehmen wollen aber gerade nicht Einzelfälle regeln, die wollen ja stabile Vertragsbeziehungen. Und da hilft dieser Artikel 49 dann leider nicht weiter.
00:25:52: Das ist aber schonmal ein sehr wertvoller input für unsere Hörerinnen und Hörer.
00:25:58: Das kann man sich eigentlich als Leitfaden auch noch mal so anhören, wie man da vorgeht, also vielen Dank dafür schon mal. Stichwort "Ausland",
00:26:09: dazu gehört ja auch z.b. China und,
00:26:14: China, Sie haben ja gerade die Angemessenheitsbeschlüsse aufgezählt, das ist China nicht darunter. Wie geht man jetzt bei Datenübermittlung nach China vor? Ist das ein ganz normaler Drittstaat?
00:26:27: Also rein rechtlich ist China völlig normaler Drittstaat, und ich meine, wir wissen alle Angesicht von "Social Score" für Unternehmen, dass der
00:26:36: Datenschutz in China, ich will es mal vorsichtig ausdrücken, "nicht ganz unseren Vorstellungen entspricht", ja und wir wissen alle, das ist milde ausgedrückt, also mit anderen Worten,
00:26:47: man müsste
00:26:49: jetzt überlegen bei Unternehmen, die eben auch in China tätig sind, also z.B. die großen Autobauer oder Chemieunternehmen, das sind ja dann praktisch interne Datenübermittlungen.
00:26:59: Wie kriege ich denn meine Daten aus der Zentrale in Berlin, Hamburg, Köln, Mainz nach Shanghai oder Peking, ja in die Zweigstelle, dass man eben so Binding Corporate Rules und sonstiges überlegt,
00:27:13: und dann ist halt die Frage, Vertragspartner und Datenübermittlung, vor dem Hintergrund, wir haben jetzt von
00:27:20: von Amerika gesprochen, USA im privacy shield.
00:27:25: Schrems und so. Also auch da ist ein Zugriff der Sicherheitsbehörden auf die Daten nicht unwahrscheinlich.
00:27:32: Das heißt, da muss man auch gucken, wenn der EuGH sagt, also im Verhältnis zu Facebook Irland, zu USA wegen der möglichen Zugriffsmöglichkeiten NSA, CIA, hast du nicht gesehen, muss man das dann das beachten,
00:27:47: Dann wird man das sicherlich auch überlegen müssen für
00:27:51: Staaten, wie China, wobei ich China jetzt nicht mit USA vergleiche, weil USA ist wenigstens ein Rechtsstaat, bei China bin ich mir da nicht ganz sicher, aber nichtsdestotrotz, ob man als Verantwortlicher, als Unternehmen gucken muss.
00:28:02: Was man da daraus vielleicht noch folgert, weil das wäre ja ... das würde jede Datenübermittlung halt nach China auch betreffen und die
00:28:09: Verhältnisse oder die Beziehungen zu chinesischen Unternehmen, na gut, da glaube ich, brauchen wir uns über die Instrumente mit genehmigungsfähigen Verträgen keine Gedanken zu machen. Das ist glaube ich eher hypothetisch der Fall.
00:28:22: Danke auch hier für Ihre klaren Statements, das hilft auch noch mal sehr bei der Einordnung.
00:28:29: Zum Schluss von meiner Seite: Was sagen Sie denn zu der eingangs geäußerten Kritik einiger Wirtschaftsverbände, der Datenschutz erschwere den internationalen Daten.
00:28:39: Ist es nicht eher so, dass er den ermöglicht statt erschwert? Natürlich ist es so: Regeln einhalten
00:28:48: ist immer anstrengender, als keine Regeln einhalten. Das gilt aber nicht nur für den Datenschutz, das gilt beim Steuerrecht auch so und beim Umweltrecht.
00:28:57: Natürlich ist es so: Man kann ja zu Hause bleiben, unter Decke schlüpfen, sagen, ich buddel mich ins Erdloch ein.
00:29:04: Wenn ich aber in der Digitalisierung Wirtschaftsbeziehungen mache und dann muss ich auch die Regeln einhalten, und da muss man eben auch sehen,
00:29:11: Unternehmen, die die rechtsstaatlichen Vorteile in der Bundesrepublik Deutschland genießen,
00:29:17: weitgehend korruptionsfreie Verwaltung, Freiheiten, unternehmerische Freiheiten, die selber Grundrechte in Anspruch nehmen, die
00:29:26: sind eben auch gehalten, die Grundrechte von
00:29:29: Menschen zu sichern, im Hinblick auf deren personenbezogene Daten. In soweit ist so, klar es gibt Regeln für den
00:29:37: internationalen Datenverkehr, die sind manchmal hinderlich, nur wenn man halt eine Situation wie in China will, dann sollte man vielleicht seinen Firmensitz nach China verlegen. Also wer
00:29:51: mit der europäischen Werteordnung und unter deren Schutz und
00:29:56: unter deren Geltung Geschäfte macht, und ich gönne allen sehr sehr gute Geschäfte, der muss eben auch gucken, dass er bei den Wirtschaftsbeziehungen auch grundrechtsbezogene Dinge beachtet. Das ist eben unter anderem der Schutz der personenbezogenen Daten.
00:30:10: Ja also herzlichen Dank für die klaren und eindringlichen Worte, und ich denke diese Werte, die europäischen Werte sollten uns alle auch wirklich viel wert sein.
00:30:23: ja da würde ich dann mit
00:30:26: Dank von meiner Seite an meinen Kollegen den Severin weitergeben, was er uns jetzt noch sagt.
00:30:35: Ja ich sage erstmal herzlichen Dank, herzlichen Dank lieber Herr Professor Kugelmann, besonders hat mich auch gefreut, dieser kurze Leitfaden den Sie eben aufgezählt haben.
00:30:47: um zu zeigen, wie ist die Reihenfolge, in welcher Reihenfolge taste ich mich ran an diese Datenübermittlung ins Ausland, was ist prioritär zu sehen, und was sind die
00:30:58: logischen nächsten Schritt, falls das eine eben nicht geht.
00:31:02: Das war sicherlich sehr hilfreich. Herzlichen Dank Herr Professor Kugelmann, vielen Dank.
00:31:08: Ja, auch vielen Dank von meiner Seite für die Gelegenheit, eben auch Hilfestellung zu geben, weil wir wollen ja alle, dass die Unternehmen auch ihre Wirtschaftsbeziehungen weiter erfolgreich betreiben und da versuchen wir unseren Beitrag auch konstruktiv zu leisten.
00:31:21: Vielen Dank, Herr Professor Kugelmann.
00:31:27: Dann sage ich ihn liebe Hörerinnen und Hörer auch ein herzliches Dankeschön!
00:31:34: Ich hoffe, dass es Ihnen gefallen hat und dass Sie auch zu unserer nächsten Podcast Folge wieder einschalten.
00:31:40: Wenn Sie Fragen zum diesmaligen Thema oder weitere Fragen haben, die wir unseren spannenden Interviewpartnern stellen, sollten bitte schreiben Sie uns an
00:31:51: dsp@weka.de, über Twitter oder Xing, wie es Ihnen beliebt,
00:31:57: Vielen Dank für Ihr Interesse und bis zur nächsten Folge von Datenschutzpraxis der Podcast.