Im weltweiten Geflecht von Unternehmen und Subunternehmen ist der globale Datenfluss heutzutage zu einer Selbstverständlichkeit geworden. Auch personenbezogene Daten werden so von Firmen über Landesgrenzen hinweg ausgetauscht. Zentrale geführte Kundendatenbanken sowie konzernweite Personalinformationssysteme sind Beispiele hierfür. Für den rechtlich einwandfreien grenzübergreifenden Austausch solch personenbezogener Daten haben sich Unternehmen jedoch an Vorgaben zu halten.
Europäischer Ansatz
Für multinationale Unternehmen und internationale Organisationen, die im Europäischen Wirtschaftsraum (EWR) beheimatet sind - dieser umfasst neben den 28 Mitgliedsstaaten der Europäischen Union auch die Länder Island, Liechtenstein und Norwegen -, besitzen die sogenannten "Binding Corporate Rules" (zu Deutsch "verbindliche Unternehmensrichtlinien") oder kurz "BCR" Relevanz. Diese wurden von der auch als "WP29" bekannten Artikel 29 Datenschutzgruppe erarbeitet, dem unabhängigen Beratungsgremium der Europäischen Kommission in Fragen des Datenschutzes.
BCRs erlauben Unternehmen den rechtlich korrekten internationalen Transfer personenbezogener Daten in Übereinstimmung mit dem EU-Datenschutzrecht über die EWR-Landesgrenzen hinweg. Dies gilt konzernintern für den Datenexport in Niederlassungen, die sich in Drittländern befinden. Auf diese Weise wird in allen Unternehmen einer Gruppe ein dem EU-Niveau entsprechender Datenschutz sichergestellt. BCRs regeln somit lediglich Datentransfers innerhalb einer Unternehmensgruppe. Übermittlungen an gruppenfremde Unternehmen, die nicht zum Konzern gehören, werden von BCRs nicht abgedeckt.
BCRs entsprechen unternehmensweit geltenden Privacy-Richtlinien, die von einer federführenden nationalen EU-Datenschutzbehörde genehmigt werden. Bis zum 13.10.2014 haben 60 multinationale Unternehmen den BCR-Prozess erfolgreich abgeschlossen. Weitere 45 Unternehmen durchlaufen gerade das aufwendige Verfahren und stehen kurz vor der Finalisierung ihrer BCR-Zertifizierung.
Foto: Eric Tierling
Amerika und Asien
Daneben hat die Asiatisch-Pazifische Wirtschaftsgemeinschaft (englisch "Asia-Pacific Economic Cooperation") oder kurz "APEC" ein Privacy-Framework entwickelt, das im Jahre 2005 veröffentlicht wurde und neun Privacy-Grundsätze formuliert. Auf dieser Basis wurde das im Jahre 2011 bekannt gegebene System der "Cross-Border Privacy Rules" entwickelt, kurz "CBPR-System". Hierbei handelt es sich um Privacy-Verhaltensgrundsätze für den grenzüberschreitenden Transfer personenbezogener Daten. Im Jahre 2012 wurden die Vereinigten Staaten von Amerika sowie Mexiko die ersten Volkswirtschaften, die am CBPR-System teilnahmen. Zwischenzeitlich haben sich Japan und Kanada dem Verfahren angeschlossen.
Foto: Eric Tierling
Ähnlich wie bei BCRs müssen auch beim CBPR-System Unternehmen zunächst interne Richtlinien zum Schutz personenbezogener Daten festlegen. Diese unternehmensweit geltenden Privacy-Richtlinien werden dann durch einen von der APAC anerkannten Accountability-Agent zertifiziert. Ein solcher ist beispielsweise die in den USA beheimatete Firma TRUSTe mit der Federal Trade Commission (FTC) als zuständiger Vollzugsbehörde. Als erstes Unternehmen erhielt IBM im Jahre 2013 die CBPR-Zertifizierung. Zu weiteren in den USA CBPR-zertifizierten Unternehmen gehören unter anderem Apple, MSD (in den Vereinigten Staaten als "Merck" bekannt) und Rimini Street. Eine offizielle Liste aller CBPR-zertifizierten Firmen gibt es allerdings nicht. Vielmehr haben sich TRUSTe zufolge manche Unternehmen dafür entschieden, ihre CBPR-Zertifizierung nicht öffentlich zu machen. Im August 2014 gab TRUSTe bekannt, dass weitere 14 Firmen sich gerade im Prozess der CBPR-Zertifizierung befinden, und zwar sowohl multinationale Konzerne als auch kleine und mittelständische Unternehmen (KMUs).
Schwierige globale Interoperabilität
Sowohl bei den EU BCRs als auch bei den APEC CBPRs geht es um den rechtskonformen internationalen Transfer personenbezogener Daten. Beide Systeme weisen Gemeinsamkeiten wie das Konzept des Controllers (verantwortlich dafür, wie Daten verarbeitet werden) und Prozessors (verarbeitet Daten im Auftrag des Controllers) auf. Es gibt allerdings auch Unterschiede. Ein gravierender ist, dass BCRs lediglich den Transfer personenbezogener Daten an andere Firmen innerhalb der eigenen Unternehmensgruppe gestatten, nicht aber an Dritte außerhalb dieses Konzerns. CBPRs hingegen sehen den Transfer personenbezogener Daten von einem zertifizierten Unternehmen an andere Firmen - also auch solche, die nicht zum eigenen Verbund gehören - in den 21 APEC-Mitgliedsstaaten (wie Australien, China, Russland und Südkorea) vor.
Angesichts dessen wird deutlich, warum es für die Verantwortlichen schwierig ist, eine Interoperabilität zwischen beiden Rahmenwerken zu erzielen. Weltweit agierenden Unternehmen, die über eine lediglich regional vorhandene länderübergreifende Interoperabilität hinausgehend eine globale Vereinbarkeit verschiedenartiger gesetzlicher Privacy-Regelungen anstreben, bleibt daher nichts anderes übrig, als beide Zertifizierungen zu erlangen. Das ist natürlich mit entsprechendem Aufwand und daraus resultierenden Kosten verbunden.
Umbruchphase
Selbst über die Marschrichtung einer dualen Zertifizierung besteht keine Klarheit: Nachdem Hewlett-Packard in Zusammenarbeit mit der französischen Datenaufsichtsbehörde CNIL (Commission Nationale de l'Informatique et des Libertés) die Konformität zum europäischen BCR-Schema anstrebte, nutzen amerikanische Kollegen dies als Grundlage zur Erzielung der CBPR-Zertifizierung. Nach Ansicht von Scott Taylor, Vice President und Chief Privacy Officer von HP, deckt die CBPR-Zertifizierung rund 30 Prozent der BCR-Erfordernisse ab, während der BCR-Nachweis mehr als 90 Prozent der CBPR-Anforderungen erfülle. Merck hingegen beschreitet derzeit den umgekehrten Weg und strebt im Anschluss an die bereits erfolgte CBPR-Zertifizierung nun die BCR-Konformität an.
Um die zwischen dem BCR-Schema und dem CBPR-System bestehenden Differenzen zu überwinden, haben im März 2014 die WP29 für die EU sowie die FTC für die APEC eine Absichtserklärung abgegeben. Langfristig angestrebt wird die Interoperabilität beider Ansätze zum grenzüberschreitenden Austausch personenbezogener Daten. Für Unternehmen, die in der EWR- sowie der APEC-Region aktiv sind, hat die WP29 einen als "Referential" bezeichneten Bericht herausgegeben, der die Gemeinsamkeiten und Unterschiede zwischen BCR und CBPR verdeutlicht. Dieses soll es Firmen leichter machen, die Konformität zu beiden Verfahren zu erlangen.
Die derzeit in der Entwicklung befindliche EU-Datenschutzgrundverordnung wird voraussichtlich nichts an diesem Vorgehen ändern. Vielmehr sieht diese Novelle des europäischen Datenschutzrechts vor, dass bestehende BCRs zwei Jahre gültig bleiben, nachdem das neue EU-Recht in Kraft getreten ist.
Auf lange Sicht ist jedoch eine weltweite Interoperabilität wünschenswert. Dies dürfte nicht nur für Firmen ein erstrebenswertes Ziel sein, sondern auch im Interesse des Verbrauchers liegen - schließlich vereinfachen einheitliche Regelungen die Nutzung darauf aufbauender Angebote.
- Ein Gesetz für alle
EU-weit gelten die gleichen Datenschutzregeln. Das bedeutet auch eine gestiegene Verantwortung und Haftung für alle, die persönliche Daten verarbeiten. - "Recht auf Vergessen"
Wollen Nutzer ihre Daten nicht weiter verarbeitet sehen, werden diese gelöscht - vorausgesetzt, es spricht aus juristischer Sicht nichts dagegen. - "Opt-in" statt "Opt-out"
Sollen persönliche Daten verabeitet werden, müssen Nutzer aktiv zustimmen (und nicht aktiv widersprechen wie bisher). - Recht auf Transparenz
Nutzer haben ein Recht auf Transparenz - sie dürfen erfahren, welche Daten über sie gesammelt und wie diese verarbeitet werden. - Zugang und Portabilität
Der Zugang zu den bei Dritten über einen selbst gespeicherten Daten soll einfacher möglich sein. Zudem ist die Dartenportabilität zu gewährleisten - also sicherzustellen, dass persönliche Informationen leichter von einem Dienstanbieter zu einem anderen übertragen werden können. - Schnellere Meldung
Tritt ein Datenverlust auf, müssen Unternehmen und Organisationen im Regelfall binnen 24 Stunden, mindestens aber so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen. - Weniger Behördenchaos
Unternehmen müssen sich nur noch mit einer einzigen Aufsichtsbehörde auseinandersetzen - und zwar dort, wo sie ihren Hauptsitz haben. - Grenzübergreifend
Privatanwender dürfen jeden Fall von Datenmissbrauch an ihre nationale Aufsichtsbehörde melden - selbst dann, wenn die betroffenen Daten im Ausland verarbeitet wurden. - Erweiterter Geltungsbereich
Die EU-Richtlinie gilt auch für Unternehmen, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder auch nur Online-Marktforschung unter EU-Bürgern betreiben. - Höhere Bußgelder
Verstößt ein Unternehmen gegen die Datenschutzbestimmungen, droht ein Bußgeld in Höhe von bis zu vier Prozent des Jahresumsatzes. - Bürokratieabbau
Administrative Umstände wie Meldepflichten für Unternehmen, die persönliche Daten verarbeiten, entfallen. - Erst ab 16
Die rechtswirksame Anmeldung bei Internetnetservices wie Facebook oder Instagr.am soll Jugendlichen im Regelfall erst ab 16 Jahren möglich sein - weil sie erst ab diesem Lebensalter eine gültige Einwilligung in die Verarbeitung ihrer persönlichen Daten geben können. Nationale Gesetze sollen laut Datenschutzverordnung hier aber Ausnahmen möglich machen. - Stärkung der nationalen Aufsichtsbehörden
Nationale Datenschutzbehörden werden in ihren Kompetenzen gestärkt, so dass sie die neuen EU-Regeln besser umsetzen können. Unter anderem dürfen sie einzelnen Unternehmen verbieten, Daten zu verarbeiten. können bestimmte Datenflüsse stoppen und Bußgelder gegen Unternehmen verhängen, die bis zu zwei Prozent der jeweiligen weltweiten Jahreseinkünfte betragen. Darüber hinaus dürfen sie Gerichtsverfahren in Datenschutzfragen anstrengen. <br /><br />(Quelle: Forrester Research)