Auftragsdatenverarbeitung in Drittländern außerhalb der EU

Allerdings sind dabei mehrere der ursprünglichen Daten lediglich in Kategorien zusammengefasst. Die Weiterübermittlungsbefugnis von der Zoll- und Grenzschutzbehörde an weitere US-Sicherheitsbehörden blieb bestehen. Insgesamt dürfen die Daten bei den US-Behörden 15 Jahre aufbewahrt werden.

Die Verhandlungen mit den USA haben offenbar auch bei den EU-Innenministern Begehrlichkeiten geweckt. Mittlerweile wird auch für Europa neben einem elektronischen Register für biometrische Daten von Nicht-EU-Bürgern, die in die Europäische Union ein- oder ausreisen, eine Vernetzung nationaler Datenbanken gefordert.

Auftragsdatenverarbeitung in Drittländern außerhalb der EU:

Die fortschreitende Globalisierung führt dazu, dass immer mehr Unternehmen dazu übergehen, ihre Datenverarbeitungen auch an Anbieter außerhalb des Geltungsbereichs der EU-Datenschutzrichtlinie auszulagern. Die damit verbundenen datenschutzrechtlichen Probleme sind gravierend.

Im Gegensatz zur Verarbeitung personenbezogener Daten im Auftrag innerhalb des Geltungsbereichs der EU-Datenschutzrichtlinie ist die Auftragsdatenverarbeitung in Drittländern vom Gesetzgeber nicht privilegiert. Konkret heißt dies, dass jeweils die Einhaltung der Übermittlungsvorschriften des Bundesdatenschutzgesetzes vor einer Weitergabe der personenbezogenen Daten in das Drittland geprüft werden muss (vgl. zu dem Themenkomplex 19. TB, 18.2).

Darüber hinaus ist zu gewährleisten, dass entweder das Drittland generell ein angemessenes Datenschutzniveau aufweist oder zumindest das empfangende Unternehmen selbst ausreichende Datenschutzgarantien bietet. Die Konstellationen, die sich hieraus ergeben können, sind außerordentlich vielfältig. Je nachdem, ob eine Übermittlung an ein den Safe-Harbor-Regelungen unterliegendes Unternehmen stattfindet, EU-Standardverträge genutzt werden, Unternehmensrichtlinien vorliegen oder sogar die Voraussetzungen einer Ausnahme gegeben sind, sind unterschiedliche Rechtsfolgen zu beachten.

Weitere Konstellationen ergeben sich z. B. aus der Einschaltung zusätzlicher Subunternehmer in EU- oder auch weiteren Drittländern. Aus dieser ­ nicht abschließenden ­ Aufzählung der möglichen Fälle wird deutlich, dass die Unternehmen, die die Daten im Ausland verarbeiten lassen wollen, die Rechtslage zur Beachtung des Datenschutzrechts jedes Mal sehr genau prüfen müssen.

Den Datenschutzaufsichtsbehörden werden immer wieder Einzelfälle zur Beurteilung vorgelegt, die zum Teil auch bundesweit im Rahmen der AG Internationaler Datenverkehr des Düsseldorfer Kreises diskutiert werden. Einige besonders komplizierte Fallgestaltungen führten dazu, dass Gespräche mit Vertretern der Wirtschaft stattgefunden haben. Als Ergebnis wurde ein Positionspapier erarbeitet, das den Unternehmen die Rechtslage erläutet.

Darüber hinaus beschloss der Düsseldorfer Kreis eine Handreichung zur rechtlichen Bewertung von Fallgruppen zur internationalen Auftragsdatenverarbeitung.

Sie beinhaltet die häufigsten Fallkonstellationen und soll den Unternehmen die rechtliche Bewertung erleichtern. Im Einzelfall kann eine abweichende Bewertung erforderlich sein. Deshalb verbieten sich schematische Lösungen.

SWIFT:

Aufgrund des massiven Drucks durch die europäischen Datenschutzaufsichtsbehörden konnte erreicht werden, dass Zahlungsverkehrsdaten aus Überweisungen, die den europäischen Wirtschaftraum betreffen, künftig nicht mehr in den USA gespeichert werden.

Im Juni 2006 wurde durch eine Veröffentlichung in der New York Times bekannt, dass das US-amerikanische Finanzministerium aufgrund von Beschlagnahmeanordnungen zum Zwecke der Bekämpfung des internationalen Terrorismus auf eine Vielzahl von Zahlungsverkehrsdaten im US-Rechenzentrum von SWIFT zugegriffen und diese für die Zwecke der Terrorismusbekämpfung ausgewertet hatte. Die Society for Worldwide Interbank Financial Telecommunication (SWIFT) mit Sitz in Belgien ist ein weltweit tätiger Banken-Dienstleister und betreibt ein Telekommunikationsnetzwerk zum automatisierten Austausch von standardisierten Zahlungsverkehrsnachrichten zwischen Kreditinstituten im internationalen Zahlungsverkehr. Bei sämtlichen Überweisungen ins Ausland und bei gesondert beauftragten Eilüberweisungen werden die in der Überweisung enthaltenen Daten über SWIFT an das Kreditinstitut der Begünstigten weitergeleitet. Aus Gründen der Datensicherheit werden die Transaktionsdaten durch SWIFT doppelt gespeichert, d.h. sowohl in seinem Rechenzentrum in den Niederlanden als auch in seinem Rechenzentrum in den USA. Daher war es den US-amerikanischen Sicherheitsbehörden möglich, auf die Transaktionsdaten von sämtlichen grenzüberschreitenden Zahlungsaufträgen, auch soweit sie nur innerhalb der EU erfolgten, zuzugreifen.

Die europäischen und die deutschen Datenschutzaufsichtsbehörden haben diese Spiegelung von Zahlungsverkehrsdaten von EU-Bürgern in dem SWIFTRechenzentrum in den USA kritisiert. Der Düsseldorfer Kreis hat im November 2006 beschlossen, dass die Spiegelung von Datensätzen im SWIFT-Rechenzentrum in den USA wegen fehlender Rechtsgrundlage sowohl nach deutschem Recht als auch nach EG-Datenschutzrecht unzulässig ist, da die USA über kein angemessenes Datenschutzniveau im Sinne des Art. 25 Abs. 1 und Abs. 2 der EG-Datenschutzrichtlinie verfügen. Die deutschen Banken wurden aufgefordert, unverzüglich Maßnahmen zu ergreifen, durch die im SWIFT- Verfahren entweder eine Übermittlung von Daten in die USA unterbunden werden oder aber zumindest die übermittelten Datensätze hinreichend gesichert werden können. Unabhängig von diesen Maßnahmen wurden die Banken aufgefordert, ihre Kunden gemäß §4 Abs. 3 BDSG darüber zu informieren, dass im Falle der Weiterleitung von grenzüberschreitenden Zahlungsaufträgen die Datensätze auch an ein in den USA ansässiges Rechenzentrum übermittelt werden. Der Beschluss des Düsseldorfer Kreises und weitere Informationen sind auf der Internetseite des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit unter www.bfdi.bund.de veröffentlicht.

Die Bedenken und der Druck, den die deutschen und europäischen Datenschutzaufsichtsbehörden auf SWIFT ausgeübt haben, haben dazu geführt, dass das Unternehmen sich dazu entschlossen hat, die Nachrichtenarchitektur, d.h. das System der Speicherung der Überweisungsdaten, neu zu strukturieren. Zunächst sollen zwei Nachrichten-Verarbeitungszonen geschaffen werden (Europa und Transatlantik), für die es drei Rechenzentren geben wird.

Neben dem Rechenzentrum in den Niederlanden und in den USA soll bis Ende 2009 in der Schweiz ein neues Datenverarbeitungszentrum entstehen. Das Rechenzentrum in der Schweiz wird neben dem Rechenzentrum in den Niederlanden die Nachrichten verarbeiten und speichern, die für die europäische Verarbeitungszone bestimmt sind. Damit soll sichergestellt werden, dass Nachrichten, die die Staaten des Europäischen Wirtschaftsraums und die Schweiz betreffen, in Europa verbleiben. Das Rechenzentrum in der Schweiz wird darüber hinaus mit dem Rechenzentrum in den USA den Nachrichtenverkehr für die Transatlantik- Verarbeitungszone verarbeiten und speichern. Zur Transatlantik- Zone werden die USA gehören. In allen übrigen Staaten können die nationalen Mitglieder von SWIFT wählen, zu welcher Zone sie gehören wollen. Zu gegebener Zeit wird SWIFT darüber informieren, welche Staaten sich für die Transatlantik- Zone entschieden haben. Für die Übergangszeit bis zum Abschluss der Neustrukturierung Ende 2009 hat SWIFT sich dem Safe HarborAbkommen unterworfen.

21. Telekommunikation Tele- und Mediendienste:

Neuregelung des Telemedienrechts:

Am 1. März 2007 ist das neue Telemediengesetz (TMG) in Kraft getreten.

Die früheren Vorschriften des Teledienstegesetzes, des Teledienstedatenschutzgesetzes und des Mediendienstestaatsvertrages wurden durch das TMG ersetzt (vgl. 20.TB, 19.1). Es gilt für alle elektronischen Informations- und Kommunikationsdienste, soweit sie nicht Telekommunikationsdienste oder Rundfunk sind.