Die ungarische Tochtergesellschaft mit schweizerischer Mutter, die Arbeitnehmerdaten an die Zentrale in Zürich leitet, Bewerberdaten in den USA auswerten lässt und interne Prozesse an ein Softwarehaus nach Indien ausgliedert, ist sicher kein Unikum. Was unternehmerisch „normal“ erscheint, ist datenschutzrechtlich aber tatsächlich ein Lehrbeispiel dafür, wie kompliziert unsere Welt geworden ist. Hiervor die Augen zu verschließen, löst keine Probleme.


Datenverarbeitung im Ausland

Wer in der EU nicht niedergelassen ist, aber Daten von Unionsbürgern verarbeitet, um Waren oder Dienstleistungen anzubieten, befindet sich im „Reich der Datenschutz-Grundverordnung“ (DSGVO). Auch ein Auftragsverarbeiter in einem Drittstaat hat sich an die Vorgaben der DSGVO halten. Die Facebooks und Amazons dieser Welt, auch wenn sie ihren Sitz nicht im steuerlich attraktiven irischen Dublin, sondern im amerikanischen Seattle haben, müssen sich also dem Europäischen Recht unterwerfen. Im unternehmerischen Bereich sind beispielsweise Clouddienste mit Sitz außerhalb der Union gezwungen, sich mit der Grundverordnung beschäftigen. Aber was geht das eigentlich die erwähnte ungarische Niederlassung mit Schweizer Gesellschaftern an?


Die Schweiz wäscht weißer

Eine Menge! Wenn die ungarische Gesellschaft personenbezogene Daten in Drittländer außerhalb der EU übermittelt, sollte sie ebenso – und nicht nur der Empfänger – sicherstellen, dass das „Schutzniveau“ des ungarischen Rechts (Infótörvény) und damit der Grundverordnung nicht untergraben wird. Soweit die hier erwähnten Arbeitnehmerdaten an die Muttergesellschaft in die Schweiz gehen, hat die europäischen Kommission jedoch in einem Angemessenheitsbeschluss bereits rechtsverbindlich erklärt, dass für diese Übermittlung keine erhöhten Anforderungen gelten. Die Schweiz gehört mit Ländern wie etwa Kanada, Israel oder Australien zu der Gruppe der privilegierten Staaten, deren Schutzniveau die EU als adäquat anerkennt. Datenübermittlung in die Schweiz, sofern in Ungarn ohnehin zulässig, ist daher unbedenklich.


Sicherheitsproblem USA

Wirklich problematisch ist allerdings eine Übermittlung in die USA. Hier ist alles in Fluss. Nachdem der Europäische Gerichtshof 2015 in der sogenannten Safe Harbor-Entscheidung (C-362/14) die datenschutzrechtliche Selbstverpflichtung der US-amerikanischen Unternehmen kippte, brach die Privilegierung der USA weg. Plötzlich fand sich das Land – was die Angemessenheit des Datenschutzniveaus angeht – auf einer Stufe mit Drittländern wie China oder Russland wieder. Die Reaktionen auf diese Gerichtsentscheidung waren seinerzeit heftig und gingen sogar bis zur Forderung, den Datentransfer mit den USA schlicht ganz auszusetzen. Soweit ist es dann aber nicht gekommen, vor allem auch, weil sich die Beteiligten immer auch mit individuellen Standardschutzklauseln in den Austauschvereinbarungen weiterhelfen konnten. Seit 2016 will nun das sogenannte EU-US Privacy Shield-Abkommen die Lücke schließen, die der EU-Gerichtshof mit dem Safe Harbor-Urteil gerissen hatte. Danach können sich US-Unternehmen eine Bescheinigung vom US-Handelsministerium ausstellen lassen, die den Datenaustausch zwischen der EU und dem US-Unternehmen erlaubt. Ob diese Zertifizierung reicht, ist jedoch mehr als fraglich.


Rechtsschutz als Illusion

Mit dem Privacy Shield-Abkommen hat die EU-Kommission strenge Auflagen verknüpft, kostenlose Klagemöglichkeiten für EU-Bürger geschaffen und außerdem ist eine jährliche Überprüfung vorgesehen. Diese Überprüfung wird gemeinsam mit Sachverständigen der US-Nachrichtendienste und der europäischen Datenschutzbehörden durchgeführt. Es ist aber gerade der Informationshunger dieser Nachrichtendienste und die anlasslose Überwachung durch die US-Behörden, die das Privacy Shield-Abkommen ins Leere laufen und europäischen Datenschützern die Haare zu Bergen stehen lassen. Richtig, die USA haben der EU zugesichert, den Datenzugriff der Behörden aus Gründen der nationalen Sicherheit nur unter Einhaltung klarer Beschränkungen, Schutzvorkehrungen und Aufsichtsmechanismen zu gestatten und unterschiedslose Massenüberwachung ausgeschlossen. Auch hat das US-Außenministerium eine Ombudsstelle für EU-Bürger mit Begehren im Bereich der Nationalen Sicherheit eingerichtet.

Eine Frage stellt sich jedoch: Reicht das? Man sollte wissen, die US-Behörden müssen Eingriffe faktisch nicht offenlegen, und damit läuft der Ombudsmann schon einmal leer. Das Privacy Shield-Abkommen ist zudem kein verbindlicher Vertrag, sondern letztlich nur eine Ansammlung von Briefen und Stellungnahmen. Last but not least, die Datenschutz-Grundverordnung hat die Anforderungen an die Verarbeiter deutlich angehoben. Waren die Risiken für den Datenschutz in den USA schon nach altem Recht kaum beherrschbar, ist die Lage jetzt sicher noch diffuser.


Vorsicht ist besser als Nachsicht

Eine ungarische Gesellschaft, die Daten in die USA übermittelt, wie etwa Bewerberdaten zur Auswertung, sollte also prüfen, ob der Transfer nach europäischen Recht zulässig ist und ob der US-amerikanische Empfänger nach Privacy Shield-Maßstäben zertifiziert wurde. US-Unternehmen teilen Details ihrer Zulassung meist schon auf ihrer Homepage mit. Angesichts der bestehenden Unsicherheiten, empfiehlt es sich jedoch, weitere Schutzmaßnahmen in die Vereinbarung mit dem US-Geschäftspartner (Auftragsverarbeiter) aufzunehmen. Hier ist die USA eher zu behandeln wie jedes „Drittland“, oder, anders gesagt, wie „der Rest der Welt“. Sicher ist sicher.


Indien, Russland, China …und der Rest der Welt

Eine Übermittlung personenbezogener Daten in Drittländer wie Indien, Russland oder China ist nur dann zulässig, wenn geeignete Garantien vorliegen. Hier helfen rechtlich durchsetzbare Dokumente zwischen den Behörden, verbindliche interne Datenschutzvorschriften oder Standarddatenschutzklauseln, die von der EU-Kommission erlassen oder genehmigt wurden. Ideal ist sicher der Fall, wenn der Verarbeiter aus dem Drittstaat von der EU selbst zertifiziert wurde. Wenn ungarische Unternehmen also beispielsweise Prozesse an ein Softwarehaus in Indien ausgliedern, müssen sie insbesondere auf diese Mechanismen drängen.

Wer hier nicht vorankommt, hat nur noch eine Möglichkeit: die Einwilligung der vom Datentransfer Betroffenen. Klingt simpel, warum also nicht gleich? Hier darf man jedoch nie vergessen, den Betroffenen umfassend über alle spezifischen Risiken der Datenübermittlung ins Ausland aufzuklären. Noch schwerwiegender ist, dass der Betroffene seine Einwilligung jederzeit wieder zurücknehmen kann. Übt er dieses Recht aus, dann geht unter der DSGVO erst einmal nichts mehr.

Wer jetzt denkt, da haben es die US-Unternehmen in ihrem nationalen Markt aber merklich „besser“ als ihre europäische Konkurrenz, der unterschätzt das Potential des Datenschutzrechts allgemein beziehungsweise den internationalen Einfluss der EU-Datenschutz-Grundverordnung selbst. Nämlich genau diese DSGVO hatte sich bereits 2018 der wirtschaftlich potenteste Bundesstaat der Vereinigten Staaten, nämlich Kalifornien, zum Vorbild genommen, um mit seinem California Consumer Act sein neues Datenschutzrecht zu schreiben. Es handelte sich im Übrigen um das erste Gesetz dieser Art in den USA. Die Grundverordnung wirkt also. Bemerkenswert ist, dass gerade die US-Internetindustrie auf eine schnelle Verabschiedung des Consumer Acts gedrängt hatte. Ein Bürgerbegehren drohte.

Der Autor ist deutscher und ungarischer Rechtsanwalt.

marc-tell.madl@mpk-partners.com

Konversation

WEITERE AKTUELLE BEITRÄGE
Gasversorgung

Serbien als zuverlässiger Partner

Geschrieben von BZ heute

Ungarns Versorgung mit Erdgas ist für 2020 geregelt, verkündete Außenminister Péter Szijjártó auf…

BIP

Die nächste positive Überraschung

Geschrieben von BZ heute

Den unbereinigten Daten nach erhöhte sich das ungarische BIP im II. Quartal im Jahresvergleich um…

Die Oppositionsseite / Kommentar zum Auftritt von Premier Orbán bei der 30. Tusványos-Sommeruniversität

Zukunftsaussichten

Geschrieben von László Haskó

Unser Staatsoberhaupt hat also – den Marschallstab schwingend – am vergangenen Samstag in Tusványos…