Datenübermittlung

Wem geben Sie die Daten weiter? Im heutigen Wirtschaftsalltag gehört durch die zunehmende Globalisierung oder Konzernbildung, aber auch durch kostensparende Auslagerungen von bestimmten Geschäftsprozessen (z.B. IT-Services, Lohnbuchhaltung) die grenzüberschreitende Datenübermittlung mittlerweile zum Alltag. Im Rahmen der Erstellung des Verarbeitungsverzeichnisses müssen Sie auch angeben, wohin Sie die Daten übermitteln oder überlassen. Ihr Unternehmen bleibt jedenfalls für die Datenverarbeitung verantwortlich, selbst wenn diese aus Österreich an einen Empfänger in einen anderen Staat übermittelt werden. Ihr Unternehmen muss als Übermittler daher sicherstellen können, dass die Daten der Betroffenen durch die Übermittlung ausreichend geschützt sind. Der folgende „Exkurs“ wird Ihnen zeigen, dass es recht schwer sein kann, Datenübermittlungen ins Ausland zu „mappen“:

Stolpersteine Datenübermittlung - Was Sie beachten sollten

Planen Sie, personenbezogene Daten außerhalb Österreichs zu übermitteln oder tun dies bereits? Die folgenden Punkte sollen Ihnen dabei helfen, etwaige Datenübermittlungen aus Ihrem Unternehmen festzustellen. 

Anhaltspunkte suchen und finden 
Suchen Sie in einem ersten Schritt Anhaltspunkte in der bisherigen Dokumentation: Haben Sie zum Beispiel eine Datenbank, in der vermerkt ist, wo die Daten transferiert werden? Oder hat Ihr Unternehmen bereits in der Vergangenheit mit der Datenschutzbehörde Meldungen vorgenommen? Verwendet Ihr Unternehmen eine sogenannte Cloudlösung oder werden die Daten lokal im Unternehmen abgespeichert? Sind Sie ein größerer Konzern, der über Tochtergesellschaften oder Niederlassungen außerhalb Österreichs verfügt? Verwenden Sie in Ihrem Geschäftsprozess Lieferanten aus anderen Ländern? Verwenden Sie einen externen Wirtschaftsprüfer, der die Lohnbuchhaltung übernimmt und Ihren Mitarbeitern elektronische Gehaltszettel zuschickt? Wird die IT Ihres Computers von der Muttergesellschaft in einem anderen Land gewartet?

Frühzeitige Einbindung 
Vergessen Sie auch nicht, dass Datenschutz ein betriebsübergreifendes Thema ist: Involvieren Sie daher frühzeitig anderer Abteilungen Ihres Unternehmens wie z.B. die HR-Abteilung, Marketing-Abteilung, IT-Abteilung. Reflektieren Sie auch regelmäßig über den Suchprozess durch Meetings mit den anderen involvierten Abteilungen und binden Sie frühzeitig Experten ein. Oftmals lohnt es sich, in eine professionelle Beratung zu diesem Thema zu investieren.

Was Sie wissen sollten
Ein komplexes Thema war und ist auch unter der DSGVO die Bewertung von Datenübermittlungen in sogenannte Drittstaaten. Hierbei handelt es sich um Staaten, die weder der EU angehören, noch zu den Staaten des Europäischen Wirtschaftsraums (Island, Norwegen und Liechtenstein) zählen. Beispiele für solche Drittstaaten sind China, Russland, Indien oder die USA.

Zunächst einmal aber die gute Nachricht: Haben Sie einmal festgestellt, wer aller Ihre Daten bekommt und handelt es sich dabei um EU- oder EWR-Mitgliedstaaten, ist die Datenübermittlung zulässig, sofern der Empfänger auch ein berechtigtes Interesse für die Übermittlung hat oder sofern für den Fall der Auftragsdatenverarbeitung eine entsprechende vertragliche Grundlage besteht. Dies gilt auch, wenn Sie Daten in Staaten, mit einem angemessenen Datenschutzniveau (welches durch die EU attestiert worden ist) übermitteln. Dabei handelt es sich um Andorra, Argentinien, Kanada, Schweiz, Färöer Inseln, Guernsey, Israel, Isle of Man, Jersey, Neuseeland oder Uruguay.

Achtung bei USA! Grundsätzlich besteht in den USA kein angemessenes Datenschutzniveau. Um für europäische Geschäftspartner die Datenübermittlung zu erleichtern, wurde zwischen der EU und den USA das Abkommen „Privacy Shield“ geschlossen. Voraussetzung ist, dass sich die Unternehmen mit Sitz in den USA in eine entsprechende Liste eintragen und sich damit selbst zertifizieren. Ihr Unternehmen als Datenübermittler hat im Vorfeld der Übermittlung nur zu überprüfen, ob das betreffende US-Unternehmen in dieser Liste des US-Handelsministeriums gelistet ist und ob das Ablaufdatum der Zertifizierung noch nicht erreicht ist.

Findet die Datenübermittlung an eine Stelle statt, auf die keine der oben genannten Kategorien zutrifft, müssen Sie als datenübermittelndes Unternehmen sicherstellen, dass der Empfänger dennoch ein angemessenes Datenschutzniveau vorweisen kann. In einem solchen Fall ist es dringend empfehlenswert, die von der EU ausgearbeiteten EU-Standardvertragsklauseln zu verwenden. Dieser Vertrag kann grundsätzlich ohne Hinzuziehung der Aufsichtsbehörde verwendet werden, wenn Sie ihn in seiner ursprünglichen Form belassen. Werden einzelne Klauseln individuell verändert, bedarf der Vertrag der Genehmigung durch die Aufsichtsbehörde. Bitte beachten Sie, dass bei Datenübermittlungen, die nicht im Rahmen einer Auftragsdatenverarbeitung überlassen werden, immer auch zusätzlich ein berechtigtes Interesse zum Empfang der Daten vorliegen muss.