IHK Veranstaltungsrückblick (17.05.2019)

DSGVO: Wirtschaftsfachgespräch mit US-‎Delegation

Bayerische Wirtschaftsvertreter forderten in einem Round-Table zur DSGVO mit einer US-Delegation Rechtssicherheit für transatlantische Datentransfers und Transparenz. In einer digitalen Welt müssen Daten geschützt sein und dies unabhängig davon, ob die Daten sich in oder außerhalb von Europa befinden. Daten ohne Personenbezug, so James M. ‎Sullivan vom US-Handelsministerium, müssten so frei wie möglich zwischen Europa und den USA fließen können.

Brücken bauen für den transatlantischen Datenverkehr

„Die USA und Europa müssen sich gemeinsam den Herausforderungen des globalen Zeitalters stellen“, hebt Sullivan hervor. Sullivan arbeitet im US-Handelsministerium als Acting Assistant Secretary, International Trade Administration. Dass Daten geschützt werden müssen, ist unabdingbar. „Es müssen Brücken gebaut werden zwischen den unterschiedlichen Datenschutzregimen. Denn die Wirtschaft verlangt hier ein Datenschutzregime, nicht viele.“ Gefordert sei nicht Rechtsgleichheit, sondern ein hohes Maß an gemeinsamen internationalen Standards. Nach seiner Auffassung funktioniert der zwischen der EU und den USA verhandelte „Privacy Shield“. Zwei Jahre nach Inkrafttreten hat die EU-Kommission in ihrem zweiten Bericht vom Januar 2019 (EU – U.S. Privacy Shield – Second Annual Joint Review) dieses Rechtsinstrument als funktionsfähig bewertet, auch wenn nicht alle Forderungen der EU umgesetzt sind.

Exporte von Bayern nach USA bezifferten sich in 2018 auf 31 Billionen Euro. Damit sind die USA einer der wichtigsten Handelspartner der bayerische Wirtschaft. „Unternehmen sind abhängig von einem funktionierenden Datenfluss über den Atlantik“, sagte Rita Bottler, Datenschutzbeauftragte der IHK, bei dem Round Table. Dies gelte vor allem für kleine und mittelständische Unternehmen. Denn für diese sei Privacy Shield einfacher anzuwenden als andere Instrumente des internationalen Datentransfers.

Wirtschaftsvertreter fordern Rechtssicherheit für Datentransfers

Die Wirtschaftsvertreter forderten Rechtssicherheit für transatlantische Datentransfers und Transparenz. Offene Fragen müssten geklärt werden. Ein wichtiger Punkt sei die Schaffung einheitlicher Datenschutzstandards, zu denen auch technische Standards gehören. So würden sichere Verschlüsselungsmechanismen benötigt. Denn Kunden würden nicht digital agieren, wenn sie digitalen Produkten nicht vertrauen.

Data without personal information should flow freely as long as it is secure, data with personal information should be protected.

James M. ‎Sullivan, US-Handelsministerium

Finanzdienstleistungen müssen in Anwendungsbereich des Privacy Shield aufgenommen werden

Vertrauen in Privacy Shield muss aufgebaut werden, hoben die Wirtschaftsexperten hervor. Es müsse geklärt werden, welche Datenschutzregime und Zertifizierungsmechanismen international als vertrauenswürdig angesehen werden können und ob dies auch für Privacy Shield so gelte. Rochelle Osei-Tutu, Policy Analyst & Administration im US-Handelsministerium und Privay Shield Spezialistin erläutert: „Aktuell haben sich 4700 US-Unternehmen freiwillig den Privacy Shield Regularien unterstellt. Die Zertifizierung werde jedes Jahr neu geprüft. US-Unternehmen werden aus der Privacy Shield-Liste genommen, wenn sie die Voraussetzungen hierfür nicht mehr erfüllen. Das US-Handelsministerium habe auf seiner Website Listen veröffentlicht, denen entnommen werden könnte, welches US-Unternehmen aktiv nach Privacy Shield zertifiziert ist und welches dies nicht mehr ist.

Viele Unternehmen in den USA interessierten sich für den Privacy Shield. Darunter befände sich auch eine hohe Anzahl von kleinen und mittelständischen Unternehmen in den USA. Landesweit werde diesen Interessenten in Roadshows erklärt, welche Voraussetzungen sie für eine Zertifizierung erfüllen müssen. Ebenso wie in Europa müsste auch US-Unternehmen erläutert werden, was die Datenschutzgrundverordnung (DSGVO) bedeutet.

Für den Datenaustausch mit Tochterunternehmen in den USA müssten die rechtlichen Spielregeln klar sein und soweit erforderlich, ergänzt werden, forderten die Wirtschaftsvertreter. So müssten Finanzdienstleistungen zeitnah in den Anwendungsbereich des Privacy Shield aufgenommen werden. Für deren Herausnahme gebe es keinen sachlichen Grund. Bezogen auf Service Provider müssten zudem Fragen zum US-Cloud Act geklärt werden. Sullivan betonte, dass man gemeinsam mit den europäischen Partnern daran arbeite, Privacy Shield auf Finanzdienstleistungen auszuweiten. Bezogen auf den US-Cloud Act verwies er auf die offiziellen Erläuterungen, die das Department of Justice hierfür auf seiner Website zur Verfügung stellt. Transparenz sei wichtig. Denn die Firmen wären besorgt, welchen Zugriff US-Behörden bei Strafrechtsermittlungen auf in Europa gespeicherte Daten haben. Die Wirtschaftsvertreter forderten, dass die USA mit den europäischen Staaten ergänzend zum Cloud Act Rechtsabkommen verhandeln müsse, so dass entsprechende US-Rechtsersuchen DSGVO-konform behandelt und auf Art. 48 DSGVO gestützt werden können.

Große Unternehmen zentralisieren immer mehr Managementaufgaben in den USA. Der Datenschutz für in die USA übermittelte Mitarbeiterdaten müsse gewährleistet sein, forderten die Wirtschaftsvertreter. Ziel sei, so Sullivan, EU-Standard Vertragsklauseln (SCC) so zu ergänzen, dass HR-Daten in USA adäquat datenschutzrechtlich geschützt werden. Für Unternehmen in Europa, so die Wirtschaftsvertreter, sei dies ein wichtiger Punkt, der zeitnah gelöst werden müsse.

Im internationalen Kontext spielen auch die Anforderungen an Einwilligungen eine grundsätzliche Rolle. Werde, wie dies die E-Privacy-Verordnung (ePVO) in ihrem Entwurf aktuell vorsehe, im digitalen Kontext für viele digitale Dienste die Einwilligung des Nutzers gefordert, so müsste ein Authentifizierungsmechanismus vorgeschaltet werden. Große Firmen wären hierbei bevorzugt. Denn Nutzer würden sehr viel häufiger in deren Dienste einwilligen und KMU hätten hier das Nachsehen. Das Anbieten von IT-gestützten Einwilligungen würde sich dadurch verteuern. Zudem würde eine dann erforderliche personenbezogene Registrierung den Datenschutz in sein Gegenteil verkehren. Denn Online-Dienste, in die Nutzer einwilligen müssen, können nicht mehr anonym genutzt werden.

Sullivan hob hervor, dass es wichtig sein, die richtige Balance zu finden. Europa und die USA müssen den Dialog fortsetzen. „Die ohnehin schon enge Kooperation mit europäischen Partnern werde fortgeführt.“