rating service  security service privacy service
 
2019/01/29 Datentransfer nach Japan nunmehr genehmigungsfrei möglich
Art 44-49, 83
EU-Kommission stuft Japans Datenschutzregelungen gleichwertig mit DSGVO ein - Anpassungsprozess dauerte knapp zwei Jahre - große Industrie- und Schwellenländer fehlen weiterhin - Datenverkehr mit zahlreichen Ländern weiterhin genehmigungspflichtig - fehlende Genemigungen häufigste Datenschutzfalle bei Österreichs Betrieben - Umfassendes Datenschutzmanagment erforderlich

EU-Kommission: Japans Datenschutzregelungen gleichwertig mit DSGVO

Vor wenigen Tagen hat die EU-Kommission die Datenschutzregelungen in Japan als gleichwertig mit der DSGVO eingestuft. Damit sind Daten der EU-Bürger in Japan gleich sicher wie innerhalb der EU.

Im Gegensatz zum "Privacy Shield" - Abkommen mit den USA, dass nur unternehmensbezogen gilt und zahllose Sonderregeln und Ausnahmen enthält, gilt die Vereinbarung mit Japan für alle Einrichtungen und alle persönlichen Daten.

Das Abkommen garantiert laut EU-Website:
- strenge Zweckbindung ("data is only processed for the purpose for which they were legally transferred from the EU, unless EU citizens give their consent for processing for a different purpose;")
- nur notwendige Daten dürfen verarbeitet werden ("data is processed to the extent necessary for this purpose;")
- minimale Speicherdauer ("data is kept for no longer than necessary for this purpose;")
- Sicherung der Datenaktualität ("the data is kept accurate and up to date;")
- keine Übermittlung an unsichere Drittstaaten ("data is never further transferred to individuals or entities abroad which do not guarantee an adequate level of protection, unless consent of EU individuals is obtained for such a transfer;")
- Einhaltung von ausreichenden Sicherheitsmaßnahmen ("the processing should be done under appropriate security measures, protected against unauthorised or unlawful processing and against accidental loss, destruction or damage;")
- zusätzliche Sicherheiten für sensible Daten ("additional safeguards apply to sensitive data (data revealing health conditions, sexual orientation, political opinions etc.).")


Anpassungsprozess dauerte knapp zwei Jahre

Die Verhandlungen zwischen EU und Japan zogen sich über fast zwei Jahre. Ein parallel verhandeltes Abkommen mit Südkorea steht noch aus.


Große Industrie- und Schwellenländer fehlen weiterhin

Japan ist somit das 16. Land außerhalb der EU, in das genehmigungsfrei persönliche Daten übermittelt werden dürfen.

In folgende Länder dürfen persönliche Daten genehmigungsfrei übermittelt werden:
- Norwegen
- Liechtenstein
- Island
- Andorra
- Argentinien
- Kanada (nur Firmen)
- Faroe Inseln
- Guernsey
- Israel
- Isle of Man
- Jersey
- Neuseeland
- Schweiz
- Uruguay
- USA (beschränkt auf Firmen die dem "Privacy Shield" beigetreten sind)

Viele für Österreich wichtige Handels- und Geschäftspartner fehlen jedoch noch. Unter diese "Drittländer" fallen unter anderem China, Brasilien, Indien, Australien, Südafrika, Mexiko, Russland, Ukraine, Hongkong, Taiwan.


Datenverkehr mit zahlreichen Ländern weiterhin genehmigungspflichtig

Für alle Drittländer ist die Übermittlung persönlicher Daten, unabhängig von der Art der Daten und des Umfangs genehmigungspflichtig.

Hans G. Zeger, Obmann der ARGE DATEN: "Nach unseren Beobachtungen ist nicht genehmigter internationaler Datenverkehr die häufigste Datenschutz-Falle in die Österreichs Betriebe tappen."

Es gbit zahllose Szenarien, bei denen internationaler Datenverkehr stattfindet, ohne dass sich die Beteiligten dazu bewusst sind.

Schon das Anzeigen von Personendaten in diesen Drittländern ist eine genehmigungspflichtige Datenübermittlung. Auch das weiterleiten von Personallisten, Mitarbeiterverzeichnissen oder Kontaktlisten per eMail in diese Drittstaaten gilt als internationaler Datenverkehr.

Auch die Nutzung von Cloudservices mit Servern in einem dieser Drittstaaten ist als internationaler Datenvekehr zu werten.

Hans G. Zeger: "Bei vielen Billiganbietern von Cloudservices weiß der Kunde überhaupt nicht wo seine Daten tatsächlich gespeichert werden. Vertraut eine Firma diesem Cloudservice Mitarbeiter- oder Kundendaten an, MUSS vorab eine Genehmigung bei der Datenschutzbehörde eingeholt werden. Das passiert aber praktisch nie."

Auch wenn ein Unternehmen in einem Drittland eine Projektbaustelle einrichtet und in weiterer Folge auf die Mitarbeiterdaten in Österreich zugreift, handelt es sich um genehmigungspflichtigen Datenverkehr.

Strittig ist derzeit noch, ob schon eine kurze Dienstreise und die Einsicht in die interne Kunden- oder Mitarbeiterverwaltung am eigenen Notebook im ausländischen Hotelzimmer als internationaler Datenverkehr zu qualifizieren ist. Hier fehlen noch Datenschutzentscheidungen. Unternehmen mit Mitarbeitern die häufig auf Dienstreisen sind, sind jedoch gut beraten, für diese Fälle ebenfalls eine Datenschutzgenehmigung einzuholen.


Genehmigung kann durch Einzelzustimmung ersetzt werden

Die Datenschutzgenehmigung kann durch die Einwilligung jedes einzelnen Betroffenen ersetzt werden. Dies ist bei Mitarbeiter- oder Kundendaten jeoch unrealistisch. Man wird kaum von allen eine derartige Einwilligung bekommen.

Höchst realistisch ist diese Einwilligung bei ausländischen Dienstanbietern, deren Services ein EU-Bürger unbedingt benutzen will. In diesen Fällen wird meist zu allem zugestimmt, egal wie problematisch die Formulierungen sind. Daher bedienen sich viele Internetanbieter dieser "billigen" Möglichkeit zum "legalen" Datenverkehr in unsichere Drittländer.


Fehlende Genehmigungen können zu hohen Strafen führen

Eine fehlende Genehmigung zum internationalen Datenverkehr ist kein Kavaliersdelikt und ist mit hohen Geldstrafen bedroht.

Gemäß Art 83 DSGVO können bei Verletzungen Strafen bis zu 10 Millionen Euro oder 2% des weltweiten Umsatzes verhängt werden. Größenordnungen, die bei international agierenden Unternehmen der Bau-, KFZ-, Elektronik- oder Energie-Industrie rasch zu 50 und mehr Millionen Euro Strafe führen können.

Zusätzlich droht diesen Unternehmen auch noch ungemach durch Mitbewerber, die etwa bei einem internationlen Projekt zu kurz gekommen sind. Diese könnten mit hoher Erfolgswahrscheinlichkeit nach UWG klagen.


Umfassendes Datenschutzmanagment erforderlich

Um diesen und ähnlichen - teuren - Datenschutzfallen zu entgehen ist umfassendes Datenschutzmanagment erforderlich. Die e-commerce monitoring gmbh bietet in Kooperation mit der ARGE DATEN ab 9. April 2019 einen fundierten Datenschutz-Lehrgang an (http://www.datenschutz-seminar.at/dsb.pdf).

mehr --> Darf ein Steuerberater die Kundenbuchhaltung im Ausland bearbe...
mehr --> Was ist eine gültige Zustimmung (Einwilligung) gemäß DSGVO?
mehr --> Online-Registrierung Ausbildungsreihe "betrieblicher Datenschutzbeauftragter" 2019
andere --> https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-e...

- Privacy - DSB - Internet - Telekommunikation - Auftraggeber - Dienstleister - Datenverarbeitungsregister - DVR - privacy-day.at - Vorratsdatenspeicherung - hacking - hacker - Whistleblowing - Web 2.0 - Österreichisches Datenschutzgesetz - e-government - e-commerce - Identität - data protection - data security - data protection officer - Austria
Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungs- und Seminarservice angeboten und vermittelt. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2019 Information gemäß DSGVOwebmaster