Buchhaltung, Lohnverrechnung, IT oder Callcenter – für viele Geschäftsprozesse werden personenbezogene Daten außer Landes geschickt. Am Zielort macht dann entweder ein Auftragsverarbeiter (früher Dienstleister) mit ihnen das, wozu er beauftragt wurde. Oder die Sache läuft anders herum: Eine Konzernmutter (typischerweise in den USA) weist ihre Landesniederlassungen an, ihr lokale Daten für eigene Zwecke zu übermitteln. Geht das noch nach der Datenschutz-Grundverordnung (DSGVO), die am 25. Mai in Kraft tritt?

Unter gewissen Voraussetzungen ja, sagt Angelika Pallwein-Prettner, Partnerin bei der Anwaltskanzlei Binder Grösswang.

► EU- und EWR-Mitgliedstaaten haben kein Problem. Die DSGVO gilt überall.

► Ein „angemessenes Datenschutzniveau“ attestiert die Europäische Kommission auch Andorra, Argentinien, Kanada, der Schweiz, den Färöer Inseln, Guernsey, Israel, der Isle of Man, Jersey, Neuseeland und Uruguay. Auch dorthin dürfen Daten ohne Weiteres transferiert werden.

► Die USA etwa gelten nicht als Staat mit angemessenem Datenschutzniveau. US-Unternehmen können sich aber den Regeln des EU-US Privacy Shield unterwerfen, einem von der EU-Kommission anerkannten Datenschutzregelwerk (www.privacyshield.gov).

► Innerhalb eines Konzerns können Binding Corporate Rules (BCR) in Kraft gesetzt werden, interne Datenschutzvorschriften, die Schutzniveau und Betroffenenrechte garantieren und für alle Niederlassungen bindend sind.

► Mit externen Auftragsverarbeitern anderer Länder konnte man bisher Standarddatenschutzklauseln vereinbaren. Das sind von der Europäischen Kommission vorgefertigte und damit anerkannte Verträge. Der Haken: Für die neue Rechtslage gibt es sie noch nicht.

►Gewisse Zertifizierungen und Gütesiegel des Auftragsverarbeiters werden als angemessenes Datenschutzniveau anerkannt. So viel zu den Standardregeln. Natürlich gibt es auch Ausnahmen.

► Unter Umständen wird die ausdrückliche (!) Einwilligung aller, um deren persönliche Daten es geht, anerkannt. Es muss aber beweisbar sein, dass diese Einwilligung freiwillig gegeben wurde. Beispiel: die Teilnahme an einem Mitarbeiterbeteiligungsprogramm.

► Ganz ohne Einwilligung dürfen Daten transferiert werden, wenn das zur Vertragserfüllung notwendig ist. Beispiel: eine Warenbestellung bei einem US-Händler, der sich nicht dem EU-US Privacy Shield unterworfen hat, da er ohne diese Daten seiner vertraglichen Verpflichtung gar nicht nachkommen kann.

► Geltendmachen von Rechten.

Beispiel: Ein heimisches Unternehmen hat Streit mit einem Auftraggeber in Aserbaidschan, für den es ein Werk gebaut hat. Um vor Gericht die Verschuldensfrage zu klären, darf es die personenbezogenen Daten aller Beteiligten offenlegen – ohne deren Einwilligung.

AUF EINEN BLICK Die „Presse“-Serie zur europäischen Datenschutz-Grundverordnung (DSGVO) beschäftigt sich mit den Rechten, die Menschen ab 25. Mai an ihren personenbezogenen Daten haben (Teil 1), mit dem verpflichtenden Verzeichnis der Verarbeitungstätigkeiten (Teil 2), mit Big Data und Profiling (Teil 3) und diese Woche mit dem Datentransfer ins Ausland (Teil 4). Die letzte Folge am 3. März widmet sich der Risikoabschätzung (Teil 5).

► Die letzte Ausnahme nennt Pallwein-Prettner eine „komische Supernotfallklausel“:

Wenn sonst keine Ausnahme greift, es sich um eine einmalige Datenübermittlung mit wenigen Betroffenen handelt und zwingende Interessen vorliegen, dürfen personenbezogene Daten „einfach so“ weitergeleitet werden. Betroffene und DSB sind aber zu informieren.

Und weil die Frage oft gestellt wird: All das gilt auch für Daten, die in der Cloud liegen.

("Die Presse", Print-Ausgabe, 24.02.2018)