Grenzüberschreitender Datenschutz

Die weltweiten Privacy-Regelungen

Eric Tierling, Master in Information Systems Security Management (Professional), blickt auf über 25 Jahre Erfahrung im IT-Bereich zurück. Neben Hunderten an Fachbeiträgen hat er über 50 Bücher veröffentlicht. Er ist Spezialist für Themen rund um die Informationssicherheit sowie einer der bekanntesten Experten Deutschland für Windows Server und Microsoft-basierte Infrastrukturen.
Im Zeitalter der Globalisierung agieren Unternehmen weltweit, Daten reisen binnen Sekunden rund um den Erdball. Doch nicht alles, was technisch möglich wäre, ist auch rechtlich einwandfrei. Für den Datenexport in ausländische Niederlassungen und andere Länder haben Behörden Regelungen geschaffen.

Im weltweiten Geflecht von Unternehmen und Subunternehmen ist der globale Datenfluss heutzutage zu einer Selbstverständlichkeit geworden. Auch personenbezogene Daten werden so von Firmen über Landesgrenzen hinweg ausgetauscht. Zentrale geführte Kundendatenbanken sowie konzernweite Personalinformationssysteme sind Beispiele hierfür. Für den rechtlich einwandfreien grenzübergreifenden Austausch solch personenbezogener Daten haben sich Unternehmen jedoch an Vorgaben zu halten.

Europäischer Ansatz

Für multinationale Unternehmen und internationale Organisationen, die im Europäischen Wirtschaftsraum (EWR) beheimatet sind - dieser umfasst neben den 28 Mitgliedsstaaten der Europäischen Union auch die Länder Island, Liechtenstein und Norwegen -, besitzen die sogenannten "Binding Corporate Rules" (zu Deutsch "verbindliche Unternehmensrichtlinien") oder kurz "BCR" Relevanz. Diese wurden von der auch als "WP29" bekannten Artikel 29 Datenschutzgruppe erarbeitet, dem unabhängigen Beratungsgremium der Europäischen Kommission in Fragen des Datenschutzes.

BCRs erlauben Unternehmen den rechtlich korrekten internationalen Transfer personenbezogener Daten in Übereinstimmung mit dem EU-Datenschutzrecht über die EWR-Landesgrenzen hinweg. Dies gilt konzernintern für den Datenexport in Niederlassungen, die sich in Drittländern befinden. Auf diese Weise wird in allen Unternehmen einer Gruppe ein dem EU-Niveau entsprechender Datenschutz sichergestellt. BCRs regeln somit lediglich Datentransfers innerhalb einer Unternehmensgruppe. Übermittlungen an gruppenfremde Unternehmen, die nicht zum Konzern gehören, werden von BCRs nicht abgedeckt.

BCRs entsprechen unternehmensweit geltenden Privacy-Richtlinien, die von einer federführenden nationalen EU-Datenschutzbehörde genehmigt werden. Bis zum 13.10.2014 haben 60 multinationale Unternehmen den BCR-Prozess erfolgreich abgeschlossen. Weitere 45 Unternehmen durchlaufen gerade das aufwendige Verfahren und stehen kurz vor der Finalisierung ihrer BCR-Zertifizierung.

Die Generaldirektion Justiz der Europäischen Kommission beschäftigt sich mit verbindlichen Unternehmensrichtlinien zum grenzüberschreitenden Austausch personenbezogener Daten, den sogenannten „Bindung Corporate Rules“ (BCRs).
Die Generaldirektion Justiz der Europäischen Kommission beschäftigt sich mit verbindlichen Unternehmensrichtlinien zum grenzüberschreitenden Austausch personenbezogener Daten, den sogenannten „Bindung Corporate Rules“ (BCRs).
Foto: Eric Tierling

Amerika und Asien

Daneben hat die Asiatisch-Pazifische Wirtschaftsgemeinschaft (englisch "Asia-Pacific Economic Cooperation") oder kurz "APEC" ein Privacy-Framework entwickelt, das im Jahre 2005 veröffentlicht wurde und neun Privacy-Grundsätze formuliert. Auf dieser Basis wurde das im Jahre 2011 bekannt gegebene System der "Cross-Border Privacy Rules" entwickelt, kurz "CBPR-System". Hierbei handelt es sich um Privacy-Verhaltensgrundsätze für den grenzüberschreitenden Transfer personenbezogener Daten. Im Jahre 2012 wurden die Vereinigten Staaten von Amerika sowie Mexiko die ersten Volkswirtschaften, die am CBPR-System teilnahmen. Zwischenzeitlich haben sich Japan und Kanada dem Verfahren angeschlossen.

In der Asiatisch-Pazifische Wirtschaftsgemeinschaft „APEC“ geben „Cross-Border Privacy Rules“ (CBPRs) den Ton an.
In der Asiatisch-Pazifische Wirtschaftsgemeinschaft „APEC“ geben „Cross-Border Privacy Rules“ (CBPRs) den Ton an.
Foto: Eric Tierling

Ähnlich wie bei BCRs müssen auch beim CBPR-System Unternehmen zunächst interne Richtlinien zum Schutz personenbezogener Daten festlegen. Diese unternehmensweit geltenden Privacy-Richtlinien werden dann durch einen von der APAC anerkannten Accountability-Agent zertifiziert. Ein solcher ist beispielsweise die in den USA beheimatete Firma TRUSTe mit der Federal Trade Commission (FTC) als zuständiger Vollzugsbehörde. Als erstes Unternehmen erhielt IBM im Jahre 2013 die CBPR-Zertifizierung. Zu weiteren in den USA CBPR-zertifizierten Unternehmen gehören unter anderem Apple, MSD (in den Vereinigten Staaten als "Merck" bekannt) und Rimini Street. Eine offizielle Liste aller CBPR-zertifizierten Firmen gibt es allerdings nicht. Vielmehr haben sich TRUSTe zufolge manche Unternehmen dafür entschieden, ihre CBPR-Zertifizierung nicht öffentlich zu machen. Im August 2014 gab TRUSTe bekannt, dass weitere 14 Firmen sich gerade im Prozess der CBPR-Zertifizierung befinden, und zwar sowohl multinationale Konzerne als auch kleine und mittelständische Unternehmen (KMUs).

Schwierige globale Interoperabilität

Sowohl bei den EU BCRs als auch bei den APEC CBPRs geht es um den rechtskonformen internationalen Transfer personenbezogener Daten. Beide Systeme weisen Gemeinsamkeiten wie das Konzept des Controllers (verantwortlich dafür, wie Daten verarbeitet werden) und Prozessors (verarbeitet Daten im Auftrag des Controllers) auf. Es gibt allerdings auch Unterschiede. Ein gravierender ist, dass BCRs lediglich den Transfer personenbezogener Daten an andere Firmen innerhalb der eigenen Unternehmensgruppe gestatten, nicht aber an Dritte außerhalb dieses Konzerns. CBPRs hingegen sehen den Transfer personenbezogener Daten von einem zertifizierten Unternehmen an andere Firmen - also auch solche, die nicht zum eigenen Verbund gehören - in den 21 APEC-Mitgliedsstaaten (wie Australien, China, Russland und Südkorea) vor.

Angesichts dessen wird deutlich, warum es für die Verantwortlichen schwierig ist, eine Interoperabilität zwischen beiden Rahmenwerken zu erzielen. Weltweit agierenden Unternehmen, die über eine lediglich regional vorhandene länderübergreifende Interoperabilität hinausgehend eine globale Vereinbarkeit verschiedenartiger gesetzlicher Privacy-Regelungen anstreben, bleibt daher nichts anderes übrig, als beide Zertifizierungen zu erlangen. Das ist natürlich mit entsprechendem Aufwand und daraus resultierenden Kosten verbunden.

Umbruchphase

Selbst über die Marschrichtung einer dualen Zertifizierung besteht keine Klarheit: Nachdem Hewlett-Packard in Zusammenarbeit mit der französischen Datenaufsichtsbehörde CNIL (Commission Nationale de l'Informatique et des Libertés) die Konformität zum europäischen BCR-Schema anstrebte, nutzen amerikanische Kollegen dies als Grundlage zur Erzielung der CBPR-Zertifizierung. Nach Ansicht von Scott Taylor, Vice President und Chief Privacy Officer von HP, deckt die CBPR-Zertifizierung rund 30 Prozent der BCR-Erfordernisse ab, während der BCR-Nachweis mehr als 90 Prozent der CBPR-Anforderungen erfülle. Merck hingegen beschreitet derzeit den umgekehrten Weg und strebt im Anschluss an die bereits erfolgte CBPR-Zertifizierung nun die BCR-Konformität an.

Um die zwischen dem BCR-Schema und dem CBPR-System bestehenden Differenzen zu überwinden, haben im März 2014 die WP29 für die EU sowie die FTC für die APEC eine Absichtserklärung abgegeben. Langfristig angestrebt wird die Interoperabilität beider Ansätze zum grenzüberschreitenden Austausch personenbezogener Daten. Für Unternehmen, die in der EWR- sowie der APEC-Region aktiv sind, hat die WP29 einen als "Referential" bezeichneten Bericht herausgegeben, der die Gemeinsamkeiten und Unterschiede zwischen BCR und CBPR verdeutlicht. Dieses soll es Firmen leichter machen, die Konformität zu beiden Verfahren zu erlangen.

Die derzeit in der Entwicklung befindliche EU-Datenschutzgrundverordnung wird voraussichtlich nichts an diesem Vorgehen ändern. Vielmehr sieht diese Novelle des europäischen Datenschutzrechts vor, dass bestehende BCRs zwei Jahre gültig bleiben, nachdem das neue EU-Recht in Kraft getreten ist.

Auf lange Sicht ist jedoch eine weltweite Interoperabilität wünschenswert. Dies dürfte nicht nur für Firmen ein erstrebenswertes Ziel sein, sondern auch im Interesse des Verbrauchers liegen - schließlich vereinfachen einheitliche Regelungen die Nutzung darauf aufbauender Angebote.