Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Datenschutzbeauftragter - Daten im Ausland - Bearbeiter im Ausland

Frage Sicherheit Rechtliche Fragen

Mitglied: blue0711

blue0711 (Level 2) - Jetzt verbinden

11.09.2014, aktualisiert 17:52 Uhr, 1387 Aufrufe, 10 Kommentare, 2 Danke

Hallo,

immer wieder kommen in einem Kundenumfeld Anfragen nach Datenzugriffen auf, die ich mit Hinweis auf den dann notwendigen Datenschutzbeauftragten bedenklich finde.

Das Problem: Ein kleiner Teil der Mitarbeiter sitzt in einer eigenständig wirtschaftenden Filiale in USA und hat mit Hinweis auf amerikanisches Recht keinerlei Einsehen.

Die Zentrale möchte bisher einen Datenschutzbeauftragten vermeien.
Dazu ist es IMHO notwendig, dass nicht mehr als 9 Personen regelmäßig mit personenbezogenen Daten arbeiten.

Mich würden mal Einschätzungen dazu interessieren, ob es relevant ist:
- wo die Daten physikalisch liegen oder wo sie bearbeitet werden
- wo der Betroffene lebt und/oder arbeitet
usw.

Also hauptsächlich die Szenarien:
- amerikanischer Mitarbeiter bearbeitet personenbezogene Daten eines in Deutschland Arbeitenden/Lebenden, Daten liegen in Deutschland
- deutscher Mitarbeiter bearbeitet personenbezogene Daten eines in Amerika Arbeiteten/Lebenden, Daten liegen in Deutschland
- amerikanischer Mitarbeiter bearbeitet personenbezogene Daten eines in Deutschland Arbeitenden/Lebenden, Daten liegen in USA
- deutscher Mitarbeiter bearbeitet personenbezogene Daten eines in Amerika Arbeiteten/Lebenden, Daten liegen in USA

IMHO wird vom deutschen Recht höchstens der letzte Punkt nicht beachtet, aber selbst da zweifle ich ein wenig.

Die Fälle mit 3x deutsch oder 3x USA sind IMHO eindeutig.

Hat eventuell auch noch die Staatsbürgerschaft darauf Einfluss?
zB bei einem Deutschen, der in USA arbeitet.
Spielt auch eine andere Staatsbürgerschaft in der EU eine Rolle?

Ich weiß, das ist viel, aber ich suche Argumente für Einschränkungen oder eben einen Datenschutzbeauftragten.

Gruß
kai


Mitglied: Lochkartenstanzer
11.09.2014, aktualisiert um 16:44 Uhr
Zitat von blue0711:

Die Fälle mit 3x deutsch oder 3x USA sind IMHO eindeutig.


Blödsinn. Immer wenn die Daten die Grenze zu Deutschland überqueren sollen, ist deutsches Datenschutzrecht zu involvieren. Das ist unabhängig von der Staatsbürgerschaft und dem Wohnort des Bearbeiters. In allen Deinen Fällen gehen die Daten über die Leitung in die USA oder kommen von dort. Du solltest Dringend einen rechsverdreher Deines Vertrauens ins Vertrauen ziehen.

lks

Nachtrag: auf der sicheren Seite bist Du nur, wenn der Mitarbeiter der in den USA sitzt nur Daten bearbeitet, die in den USA gelagert sind und nur Personen betreffen, die in den USA leben und wenn mitarbeiter, die in Deutschland sitzen nur daten von personen verarbeiten, die in deutschland situzen udn diese daten in Deutschland gelagert werden.

In allen aderen Fällen (z.B. remotezugriff auf daten in Deutschland durch amerikanscihe Mitarbeiter) ist zu prüfen, wie weit sich das ganze mit dem deutschen, europäischen udn dem amerikansichen Recht verträgt.

Man könnte sich natürlich auch wie die amerikanscihe Regierung auf den Standpunkt stellen, daß amerikanisches Recht alle anderen Rechtssysteme schlägt.
Bitte warten ..
Mitglied: blue0711
11.09.2014 um 16:48 Uhr
Zitat von Lochkartenstanzer:

Nachtrag: auf der sicheren Seite bist Du nur, wenn der Mitarbeiter der in den USA sitzt nur Daten bearbeitet, die in den USA
gelagert sind und nur Personen betreffen, die in den USA leben und wenn mitarbeiter, die in Deutschland sitzen nur daten von
personen verarbeiten, die in deutschland situzen udn diese daten in Deutschland gelagert werden.

Äh, genau das war mit 3x deutsch oder 3x USA sind eindeutig gemeint
Bitte warten ..
Mitglied: C.R.S.
11.09.2014 um 17:32 Uhr
Zitat von blue0711:
Die Zentrale möchte bisher einen Datenschutzbeauftragten vermeien.
Dazu ist es IMHO notwendig, dass nicht mehr als 9 Personen regelmäßig mit personenbezogenen Daten arbeiten.

Mich würden mal Einschätzungen dazu interessieren, ob es relevant ist:
- wo die Daten physikalisch liegen oder wo sie bearbeitet werden
- wo der Betroffene lebt und/oder arbeitet
usw.

Nein, isoliert ist dies für das Erfordernis eines DSB in der Regel nicht von Bedeutung.

Grüße
Richard
Bitte warten ..
Mitglied: chiefteddy
LÖSUNG 11.09.2014, aktualisiert um 17:51 Uhr
Hallo,

der Wohn- oder Aufenthaltsort desjenigen, dessen personenbezogene Daten verarbeitet werden sollen, ist unerheblich.

Die Nationalität des Bearbeiters ist unerheblich.

Es kommt nur darauf an, wo die Daten "gelagert" sind und welchem Recht das Unternehmen unterliegt.

Eine dt. Firma unterliegt dt. Datenschutzrecht, egal ober der Bearbeiter Deutscher, Spanier, Russe oder Amerikaner ist (laut Pass).

Eine dt. Firma darf personenbezogene Daten nicht im Ausland "lagern", wenn nicht sichergestellt ist, das sie dt. Datenschutzrecht unterliegen.

Die Einhaltung der dt. Datenschutzbestimmungen ist nicht davon abhängig, ob im Unternehmen ein Datenschutzbeauftragter beschäftigt wird. Entsprechend dem Motto "Unwissenheit schützt nicht vor Strafe" wird davon ausgegangen, dass ab einer bestimmten Unternehmensgröße die Komplexität des Datenschutzes so umfangreich ist, dass der Gesetzgeber eine nur dafür zuständige Person vorschreibt.

Das ist in anderen Bereichen (Arbeitschutz, Gesundheitsschutz usw.) ja auch so.

Ob der Bearbeiter der personenbezogenen Daten in Deutschland oder sonstwo auf der Welt sein Büro hat, ist völlig unerheblich. Wenn dt. Datenschutzrecht gilt (Daten liegen in Deutschland), unterliegen die personenbezogenen Daten dt. Recht. Wenn das nicht garantiert werden kann, dürfen die Daten so nicht bearbeitet werden. Das muß, sofern es sich um eine "Fremdfirma" (zB. Tochter im Ausland) handelt, in einem "Datenverarbeitungsvertrag" geregelt werden.

http://de.wikipedia.org/wiki/Datenverarbeitung_im_Auftrag

Ansonsten ist das eine rechtliche Frage, die wir hier nicht beantworten dürfen. Du kannst Dich aber mit Deinem Problem an den Landesdatenschutzbeauftragten wenden, der ist für die Beantwortung solcher Fragen zuständig.

Jürgen
Bitte warten ..
Mitglied: blue0711
11.09.2014 um 17:51 Uhr
Zitat von chiefteddy:
Eine dt. Firma darf personenbezogene Daten nicht im Ausland "lagern", wenn nicht sichergestellt ist, das sie dt.
Datenschutzrecht unterliegen.
[...]
Wenn dt. Datenschutzrecht gilt (Daten liegen in Deutschland), unterliegen die personenbezogenen Daten dt. Recht. Wenn
das nicht garantiert werden kann, dürfen die Daten so nicht bearbeitet werden. Das muß, sofern es sich um eine
"Fremdfirma" (zB. Tochter im Ausland) handelt, in einem "Datenverarbeitungsvertrag" geregelt werden.
Das sind mal gute Argumente.


Zitat von chiefteddy:
Ansonsten ist das eine rechtliche Frage, die wir hier nicht beantworten dürfen.
Öhem, ich suche keine rechtsichere Beurteilung, dazu sind meine Fragen noch viel zu allgemein.

Ich suche Argumente, um uneinsichtige "Anything goes"-Typen einzubremsen.



Und gaaanz nebenbei
Seit 1.7.2008 dürfen Fachpersonen durchaus eingeschränkt Rechtsberatung begrenzt auf ihren Fachbereich leisten.
Das mache ich ja übrigens bereits, wenn ich meinem Kunde auf die Frage antworte: Brauchen wir einen Datenschutzbeauftragten?
Bitte warten ..
Mitglied: Pjordorf
11.09.2014, aktualisiert um 19:16 Uhr
Hallo,

Zitat von blue0711:
Ich suche Argumente, um uneinsichtige "Anything goes"-Typen einzubremsen.
Dazu braucht es keine "gefunden oder ausgedachte Argumente". Die Gesetzes Lage ist da eindeutig. Und wenn Amis eins kapieren dann ist es wenn du den klar machst das dein Gesetz es so vorsieht und nicht anders. Und ein Wort vom Supervisor bzw. Manager löst das Problem ganz schnell....

Beispiel von MS gefällig? Geht zwar nur um E-Mails vom Server-Speicher-Standort Dublin, aber auch MS hält noch dagegen. https://nakedsecurity.sophos.com/2014/09/11/microsoft-held-in-contempt-w ...

eingeschränkt Rechtsberatung begrenzt auf ihren Fachbereich leisten.
Das lass dir mal durch deinen Rechtsverdreher deines Vertrauens durch seinen Wolf drehen.....

Und dein
dazu sind meine Fragen noch viel zu allgemein.
stimmt so auch nicht. Dein Hals hängt schon längst in der Gesetzeschlinge und die Amis legen dich gerade zurecht um dir ihre "Spritze" zu verpassen. Der Ami erkennt nur sein Recht an, was meist als Ich bin der Stärkere weil ich mehr Waffen habe aufgefasst bzw. Interpretiert wird. Nun ja, die haben halt die meisten Flugzeugträger auf dieser einen Welt.

Auch alles nur meine "Meinung".

Gruß,
Peter
Bitte warten ..
Mitglied: blue0711
11.09.2014 um 19:36 Uhr
Problem ist, dass der Anything-Goes-Typ Manager ist.

Im übrigen ist das immer noch ein kleiner Mittelständler, die amerikanische Tochter ein Mini-Schuppen.
Aber eben mit der Folge, dass man denen erst mal dieses unsägliche "jeder darf alles" austreiben muss.

Das hat in einigen Dingen geklappt, aber was personenbezogene Daten angeht, liegt da noch Erziehungs-Arbeit vor mir.

Das lass dir mal durch deinen Rechtsverdreher deines Vertrauens durch seinen Wolf drehen..... face-smile
Hab ich schon. Von mehreren. Von denen stammt diese Aussage.
Bitte warten ..
Mitglied: Lochkartenstanzer
11.09.2014 um 19:47 Uhr
Zitat von blue0711:

Das hat in einigen Dingen geklappt, aber was personenbezogene Daten angeht, liegt da noch Erziehungs-Arbeit vor mir.

Im Amiland kapieren sie das recht schnell, wenn man sagt, wo die Tür ist.

lks
Bitte warten ..
Mitglied: blue0711
11.09.2014 um 22:21 Uhr
Die Option steht mir nicht zur Verfügung.
Bitte warten ..
Mitglied: chiefteddy
12.09.2014 um 09:33 Uhr
Guten Morgen,

als "Fachmann" bist Du auch verpflichtet, die für Dein Arbeitsumfeld geltenden Gesetze, Vorschriften und Regeln zu kennen und bei "Strafandrohung" des Staates auch zu befolgen / einzuhalten. ("Unwissenheit schützt nicht vor Strafe"). Niemand kann bzw. darf Dich wissentlich zu strafbaren Handlungen nötigen. Wenn er das tut in dem er Deine Abhängigkeit ausnutzt (Arbeitgeber - Arbeitnehmer), muß er mit empfindlichen, ihn persönlich treffenden, Strafen rechnen. In solchen Fällen verstehen dt. Gerichte keinen Spaß!

Laß Dir die Aufgaben, Anweisungen usw., die Deiner Meinung nach rechtswidrig sind, schriftlich oder vor Zeugen geben und mach gegebenenfalls eine Aktennotitz. (Ich habe früher mal bei einem anderen Arbeitgeber in einer vergleichbaren Situation einfach eine eMail als Bestätigung der Weisung mit meinen Bedenken an den Chef geschickt.)

Das macht dem "Chef" sehr schnell klar, dass er sich später nicht rausreden kann.

Wenn die Tochter-Firma in den USA sitzt, muß sie mindestens dem "Safe-Harbor-Abkommen" beitreten, wenn sie personenbezogene Daten von EU-Bürgern verarbeiten will.

http://de.wikipedia.org/wiki/Safe_Harbor

Und hier das "absolute Totschlags-Argument" für Dich:

"Die Richtlinie 95/46/EG (Datenschutzrichtlinie) verbietet es grundsätzlich, personenbezogene Daten aus EU-Mitgliedsstaaten in Staaten zu übertragen, die über kein dem EU-Recht vergleichbares Datenschutzniveau verfügen. Dies trifft auf die USA zu, da diese keine umfassenden gesetzlichen Regelungen kennen, die den Standards der EU entsprechen."

http://de.wikipedia.org/wiki/Richtlinie_95/46/EG_%28Datenschutzrichtlin ...

Noch einen schönen Tag

Jürgen
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Backup
gelöst Datensicherung von Daten, auf denen die ganze Zeit gearbeitet wird (8)

Frage von Windows11 zum Thema Backup ...

Microsoft Office
Aus Outlook 2013 Daten aus Tabellenfeldern in Excel übertragen (9)

Frage von ich2110 zum Thema Microsoft Office ...

Debian
Www-data in ein CIFS Share Daten schreiben lassen? (3)

Frage von Jens4ever zum Thema Debian ...

Datenbanken
gelöst DB2 Daten in Windows DB2 kopieren (1)

Frage von Emheonivek zum Thema Datenbanken ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (17)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

DSL, VDSL
DSL-Signal bewerten (14)

Frage von SarekHL zum Thema DSL, VDSL ...