Newsletter Datenschutzrecht

Unser Newsletter Datenschutzrecht richtet sich an alle, die im Unternehmen für Datenschutz verantwortlich sind, insbesondere die Unternehmensleitung, Rechtsabteilung, Datenschutzbeauftrage und IT-Verantwortliche. Unser Newsletter greift aktuelle und praxisrelevante Fragen auf und hilft, Anforderungen des Datenschutzrechtes im Unternehmen zu erkennen und effizient umzusetzen.

von Rechtsanwalt Dr. Thomas Helbing

Die obersten deutschen Datenschutz-Aufsichtsbehörden stellen seit April 2010 verschärfte formale Anforderungen an die Übermittlung personenbezogener Daten an Unternehmen in den USA nach dem "Safe Harbor" Programm.

Mit dem Beschluss des "Düsseldorfer Kreises" vom 29. April 2010 haben die Datenschutzbehörden mitgeteilt, dass sich Datenexporteure in Deutschland nicht auf die Behauptung einer Safe Harbor Zertifizierung von US Unternehmen verlassen dürfen. Die Aufsichtsbehörden verlangen, dass sich das exportierende Unternehmen die Safe Harbor Zertifizierung und Beachtung der Safe Harbor Grundsätze nachweisen lässt.

von Dr. Thomas Helbing

Dies ist der einleitende Beitrag aus meiner neuen Artikel-Reihe "Datenschutz im Konzern". In den einzelnen Beiträgen möchte ich auf Fragestellungen des Datenschutzes eingehen, wie sie sich typischerweise in Konzernen stellen.

Im einleitenden Teil geht es um die Organisation des Datenschutzes im Konzern, insbesondere die Ausgestaltung der Position des Konzerndatenschutzbeauftragten und dessen Aufgaben.

Weitere (geplante Themen) sind:

  • Internationale Datentransfers im Konzern (mittlerweile alle drei Teile erschienen)
  • Datenschutz bei Hinweisgeber-Systemen (Whistleblowing)
  • Zentrale Speicherung von Mitarbeiterdaten im Konzern (Personal-Informations-Systeme)

Wenn Sie interessiert, welche Datenschutzfragen bei Compliance-Programmen relevant sind (z.B. bei internen Ermittlungen, Whsitleblowing, Screening, eSearch, etc.), dann empfehle ich Ihnen meine 12-seitige Checkliste zum "Datenschutz bei Compliance-Programmen".

Sie wollen zukünftige Beiträge nicht verpassen? Dann abbonieren Sie meinen kostenlosen Newsletter. Ich freue mich auf Ihre Kommentare, Fragen, Anregungen und Hinweise, die ich gerne in bestehende oder zukünftige Beiträge integriere.

von Dr. Thomas Helbing

UPDATE: Der nachfolgende Beitrag bezieht sich auf die Rechtslage vor dem 25. Mai 2018. Einen aktuellen Beitrag zur Einhaltung der Anforderungen der Datenschutzgrundverordnung (DSGVO) durch SaaS-Anbieter und andere Auftragsverarbeiter finden Sie in meinem Praxisleitfaden unter www.thomashelbing.com/dsgvo-kit.

Obwohl sich Software as a Service (SaaS) immer größerer Beliebtheit erfreut, herrscht noch viel Unsicherheit und zum Teil Unkenntnis im Hinblick auf die datenschutzrechtlichen Anforderungen. Kaum ein SaaS-Vertrag, den ich zur Prüfung oder Überarbeitung erhalten habe, erfüllte die Vorgaben des neuen § 11 Bundesdatenschutzgesetz (BDSG). Kunden aber auch Anbieter dürfen sich der Materie nicht verschließen.

Nach dem BDSG bleibt der Kunde für die Rechtmäßigkeit der Verarbeitung seiner Mitarbeiter- und Kundendaten durch den SaaS-Anbieter voll verantwortlich und ist verpflichtet, den Anbieter sorgfältig auszuwählen, regelmäßig zu kontrollieren und das Ergebnis der Kontrollen zu dokumentieren. Das BDSG enthält zudem seit dem 1. September 2009 einen 10-Punkte Katalog mit Regelungsgegenständen, die in einem schriftlichen Vertrag zur Auftragsdatenverarbeitung zwingend umgesetzt werden müssen. Bei mangelhaften Verträgen drohen Kunden Bußgelder bis zu € 50.000.

Aber auch Anbieter sollten darauf achten, dass Ihre Standardvertragsbedingungen (AGB) den gesetzlichen Anforderungen genügen. Leider ignorieren noch immer viele Anbieter die datenschutzrechtlichen Compliance Anforderungen ihrer Kunden. Dabei würden SaaS-Provider, deren AGB den Vorgaben des BDSG genügen, bei potentiellen Kunden und deren Datenschutzbeauftragten leicht Pluspunkte sammeln; oder anders gesagt: wessen AGB den gesetzlichen 10-Punkte Katalog ignorieren, fällt oftmals schon von vorne herein heraus, weil sich der Kunde nicht auf mühsame Vertragsverhandlungen einlassen will.

Sie snd Anbieter von Software as a Service oder anderen Cloud-Diensten? Dann lesen auch meine Broschüre "Haftung und Gewährleistung für Software - mit diesen Tipps reduzieren Sie ihr Risiko als IT-Anbieter"

Bitte beachten Sie die UPDATES am Ende des Beitrages.

Das Innenministerium hat am 31.März 2010 ein Eckpunktepapier zur geplanten Regelung für den Beschäftigtendatenschutz veröffentlicht.

Bereits im Koalitionsvertrag hatten Union und FDP vereinbart, den Arbeitnehmerdatenschutz in einem eigenen Kapitel im BDSG auszugestalten. Damit soll die oft uneinheitliche und lückenhafte Rechtsprechung der Arbeitsgerichte kodifiziert werden. Grundlegende Neuerung dürften indes nicht zu erwarten sein aber ein Plus an Rechtsklarheit und -sicherheit. Vorallem sollen "praxisgerechte Regelungen für Bewerber und Arbeitnehmer geschaffen und gleichzeitig Arbeitgebern eine verlässliche Regelung für den Kampf gegen Korruption an die Hand gegeben werden."

Ziel einer gesetzlichen Regelung ist: "Durch umfassende, allgemeingültige Regelungen für den Datenschutz am Arbeitsplatz soll die Rechtslage für Arbeitgeber und Beschäftigte gleichermaßen deutlich gemacht und insgesamt mehr Rechtssicherheit erreicht werden."

Eckpunkte des geplante Beschäftigungsdatenschutzes sind:

Dieser Beitrag enthält ergänzende Informationen zu Thomas Helbing's Präsentation "Data Protection Law Requirements to Cloud Computing Agreements in the European Union" vom 24 März 2010 auf der CloudSlam 2010 Conference.

Sie können die Folien hier herunterladen (PDF - 1,26 MB).

Wenn Sie das Video der vollständigen Präsentation sehen möchten, kontaktieren Sie mich bitte.

Der Beitrag ist in verkürzter Form in der Fachzeitschrift "Risk, Compliance & Audit" (Heft 3/2010, Seiten 29-33) erschienen.

Am 5. Februar 2010 hat die EU-Kommission eine neue Fassung der "Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern" beschlossen. Standardvertragsklauseln sind ein häufig genutztes Instrument, um datenschutzrechtliche Anforderungen umzusetzen, wenn personenbezogene Daten in einem Land außerhalb der EU und des Europäischen Wirtschaftsraumes (EWR) genutzt oder verarbeitet werden. Am 15. Mai 2010 treten die bisher gültigen Standardklauseln außer Kraft.

Die Entscheidung ist für alle Unternehmen, die Lieferanten, Kunden oder Konzerngesellschaften außerhalb der EU Daten zur Verfügung stellen relevant. Vor allem Verträge zu Outsourcing, Cloud Computing, Software as a Service oder ASP mit Anbietern außerhalb der EU sind betroffen (z.B. in Bezug auf CRM-, ERP- oder Personalverwaltungssysteme).

In diesem Beitrag erläutern wir Hintergrund und Anwendungsbereich der Standardvertragsklauseln, was sich mit der Neufassung geändert hat, welche Verträge betroffen sind und wie diese umgestellt werden müssen.

UPDATE 21. Juli 2010: Ich habe nunmehr das jetzt erschienen Fragen-Antworten Dokument der Artikel 29 Arbeitsgruppe zu den neuen Standardvertragsklauseln in den Beitrag integriert.

Datenverarbeitungverträge müssen bestimmte Mindestregelungen beinhalten, so will es das Bundesdatenschutzgesetz. So müssen zum Beispiel Klauseln aufgenommen werden über die Benachrichtigung bei Datenschutzverstößen, Prüfrechte, die Einschaltung von Unterauftragnehmern sowie eine Reihe weiterer Punkte.

Genügen Verträge den Anforderungen nicht, drohen Bußgelder von bis zu € 50.000. Bereits bestehende Vereinbarungen sollten überprüft und Unternehmensrichtlinien erarbeitet werden, die sicherstellen, dass zukünftige Verträge den neuen Regeln entsprechen.