Dr. Ivo Geis

Grenzüberschreitender Datenaustausch - Aspekte des Datenschutzrechts


Das Hamburger Datenschutzkolloquium am 8.3.2002 diskutierte das genannte Thema aus der Sicht eines Versicherers für Forderungsausfallrisiken, eines Landesdatenschutzbeauftragten, eines beratenden Rechtsanwalts und eines Konzerndatenschutzbeauftragten.

Dr. Elisabeth Meyer, Datenschutzbeauftragte der Hermes Versicherungs-AG, kam in ihrem "Erfahrungsbericht zur Umsetzung des Drittlanddatentransfers" zu dem Ergebnis, dass es vor Umsetzung der EG-Datenschutzrichtlinie nicht möglich war, eindeutige datenschutzrechtliche Vorgaben für die Anpassung auslandsübergreifender DV-Anwendungen zu erstellen. Nach Umsetzung der Datenschutzrichtlinie muss die Angemessenheit des Datenschutzniveaus nunmehr bei der empfangenden Stelle in einem Drittland nach § 4 b Abs. 2 Satz 2 BDSG durch die verantwortliche Stelle festgestellt werden. Dies ist für Länder außerhalb Europas nicht zuverlässig möglich. Nach Meyer sollen Verhaltensregeln des Verbands der Versicherungswirtschaft gem. § 38a BDSG entstehen, aus denen sich ein "angemessenes Schutzniveau" nach § 4b Abs. 2 Satz 2 BDSG und "ausreichende Garantien" für den Datenschutz nach § 4c Abs. 2 BDSG ergeben und damit die Zulässigkeit der Übermittlung in Drittstaaten begründet wird. Bis zum Entstehen dieser Verhaltensregel werden personenbezogene Daten nicht in Drittländer übermittelt.

Helga Naujok, Regierungsdirektorin bei dem Hamburgischen Datenschutzbeauftragten, verdeutlichte in ihrem Referat "Datenübermittlung in Drittländer unter Berücksichtigung von §§ 4b, 4c BDSG" die Position der Aufsichtsbehörde. I.R.d. § 4b Abs. 2 BDSG ist es der verantwortlichen Stelle nicht möglich, ein angemessenes Schutzniveau durch Verträge oder Verhaltensregeln der Verbände gem. § 38a BDSG herzustellen, denn nach Naujok ist ein angemessenes Schutzniveau des Drittlands erforderlich. Eine Vereinbarung mit einem bestimmten Datenverarbeiter im Drittland reicht nicht aus. Damit ist eine Übermittlung in einen Drittstaat nach § 4c Abs. 2 BDSG möglich, wenn "ausreichende Garantien" durch Vertragsklauseln oder verbindliche Unternehmensregeln gegeben sind, die von der Aufsichtsbehörde zu genehmigen sind. Diese Genehmigung kann durch die Verwendung der von der EU-Kommission erarbeiteten Standardvertragsklauseln vermieden werden. Diese sind ohne Genehmigung zulässig, da sie ein Maßstab für das Vorliegen ausreichender Garantien bei Einzelverträgen oder Unternehmensrichtlinien sind.

RA Marcus Helfrich, München, entwickelte aus der Sicht des beratenden Rechtsanwalts in seinem Referat "BDSG, EG-Standardklauseln und Safe Harbor - die Neuordnung des grenzüberschreitenden Datenaustauschs" seine Kritik an den Standardvertragsklauseln. Vor allem amerikanische Vertragspartner haben mit Standardvertragsklauseln Akzeptanzprobleme. Der Schutz des Betroffenen durch Standardvertragsklauseln bedeutet einen Vertrag zu Gunsten Dritter oder mit Schutzwirkung zu Gunsten Dritter einzugehen, also Rechtsformen, die vor allem im angloamerikanischen Recht nicht ausgeprägt sind. Auch die Safe Harbor-Lösung ist nach Helfrich mit Akzeptanzproblemen belastet. Diese Lösung gibt dem Vertragspartner keine Rechtssicherheit hinsichtlich Gerichtsstand, anwendbarem Recht und der Durchsetzung vertraglicher Positionen. Die Genehmigungspflicht nach § 4c Abs. 2 BDSG ist nach Helfrich dogmatisch überzogen, da sie einen unverhältnismäßigen Eingriff in die Privatautonomie bedeutet. Die Genehmigungspflicht ist auch nicht praktikabel, da jeder neue Standardvertrag erfasst ist und damit zu einem zeitlichen Bearbeitungsproblem bei den Aufsichtsbehörden führt. Als Lösung sieht Helfrich, die Genehmigungsbedürftigkeit nach § 4c Abs. 2 BDSG abzubauen und zur genehmigungsfreien Vertragslösung zurückzukehren.

Andreas Haupt, Konzerndatenschutzbeauftragter der Deutschen Unilever GmbH, berichtete in seinem Referat "Entwicklung und Umsetzung einer globalen Privacy Policy" über die Lösung im Unilever-Konzern, Arbeitnehmerdaten entsprechend den Anforderungen des konzernrechtlichen Datenschutzes zu übermitteln. Hierzu wurde eine Data Policy für das weltweite Management Development System entwickelt. Diese ist von den Vorständen für die Unternehmen akzeptiert und als selbstverpflichtend erklärt worden. Die Umsetzung in Deutschland erfolgte durch eine Konzernbetriebsvereinbarung und die Einwilligungserklärung der betroffenen leitenden Mitarbeiter.

I.E. bestand allgemeines Verständnis, dass das angemessene Datenschutzniveau gem. § 4b Abs. 2 Satz 2 BDSG nicht feststellbar ist. Als Grundlage für die Übermittlung bleiben die Fälle des § 4c Abs. 1 BGB, in denen die Einwilligung des Betroffenen gegeben ist oder dem Vertragszweck entspricht. Dies sind Fälle der Übermittlung von Personaldaten im internationalen Konzern, für den die Einwilligung der betroffenen Mitarbeiter gegeben ist, oder der Massenkommunikation wie personenbezogene Daten, die im Zusammenhang mit Beförderungsverträgen entstehen. Für die problematischen Fälle, die nicht durch eine Einwilligung oder den Vertragszweck gedeckt sind, bleiben nach geltendem Recht nur ausreichende Garantien für den Datenschutz durch Vertragsklauseln oder verbindliche Unternehmensregelungen, die gem. § 4c Abs. 2 Satz 2 BDSG von der Aufsichtsbehörde zu genehmigen sind. Gesetze, vor allem Gesetze des Informationstechnologierechts, unterliegen der Evaluierung. Die Neuordnung des BDSG wird geplant. In dieser Phase sollte auch § 4c Abs. 2 BDSG berücksichtigt werden und im Interesse aller Beteiligten durch die Möglichkeit einer genehmigungsfreien Datenschutzvereinbarung ersetzt werden.

RA Dr. Ivo Geis, Hamburg.


MMR 2002, Heft 4, XX