45455
Goto Top

Datenschutzbeauftragter - Daten im Ausland - Bearbeiter im Ausland

Hallo,

immer wieder kommen in einem Kundenumfeld Anfragen nach Datenzugriffen auf, die ich mit Hinweis auf den dann notwendigen Datenschutzbeauftragten bedenklich finde.

Das Problem: Ein kleiner Teil der Mitarbeiter sitzt in einer eigenständig wirtschaftenden Filiale in USA und hat mit Hinweis auf amerikanisches Recht keinerlei Einsehen.

Die Zentrale möchte bisher einen Datenschutzbeauftragten vermeien.
Dazu ist es IMHO notwendig, dass nicht mehr als 9 Personen regelmäßig mit personenbezogenen Daten arbeiten.

Mich würden mal Einschätzungen dazu interessieren, ob es relevant ist:
- wo die Daten physikalisch liegen oder wo sie bearbeitet werden
- wo der Betroffene lebt und/oder arbeitet
usw.

Also hauptsächlich die Szenarien:
- amerikanischer Mitarbeiter bearbeitet personenbezogene Daten eines in Deutschland Arbeitenden/Lebenden, Daten liegen in Deutschland
- deutscher Mitarbeiter bearbeitet personenbezogene Daten eines in Amerika Arbeiteten/Lebenden, Daten liegen in Deutschland
- amerikanischer Mitarbeiter bearbeitet personenbezogene Daten eines in Deutschland Arbeitenden/Lebenden, Daten liegen in USA
- deutscher Mitarbeiter bearbeitet personenbezogene Daten eines in Amerika Arbeiteten/Lebenden, Daten liegen in USA

IMHO wird vom deutschen Recht höchstens der letzte Punkt nicht beachtet, aber selbst da zweifle ich ein wenig.

Die Fälle mit 3x deutsch oder 3x USA sind IMHO eindeutig.

Hat eventuell auch noch die Staatsbürgerschaft darauf Einfluss?
zB bei einem Deutschen, der in USA arbeitet.
Spielt auch eine andere Staatsbürgerschaft in der EU eine Rolle?

Ich weiß, das ist viel, aber ich suche Argumente für Einschränkungen oder eben einen Datenschutzbeauftragten.

Gruß
kai

Content-Key: 248944

Url: https://administrator.de/contentid/248944

Ausgedruckt am: 29.03.2024 um 04:03 Uhr

Mitglied: Lochkartenstanzer
Lochkartenstanzer 11.09.2014 aktualisiert um 16:44:39 Uhr
Goto Top
Zitat von @45455:

Die Fälle mit 3x deutsch oder 3x USA sind IMHO eindeutig.


Blödsinn. Immer wenn die Daten die Grenze zu Deutschland überqueren sollen, ist deutsches Datenschutzrecht zu involvieren. Das ist unabhängig von der Staatsbürgerschaft und dem Wohnort des Bearbeiters. In allen Deinen Fällen gehen die Daten über die Leitung in die USA oder kommen von dort. Du solltest Dringend einen rechsverdreher Deines Vertrauens ins Vertrauen ziehen.

lks

Nachtrag: auf der sicheren Seite bist Du nur, wenn der Mitarbeiter der in den USA sitzt nur Daten bearbeitet, die in den USA gelagert sind und nur Personen betreffen, die in den USA leben und wenn mitarbeiter, die in Deutschland sitzen nur daten von personen verarbeiten, die in deutschland situzen udn diese daten in Deutschland gelagert werden.

In allen aderen Fällen (z.B. remotezugriff auf daten in Deutschland durch amerikanscihe Mitarbeiter) ist zu prüfen, wie weit sich das ganze mit dem deutschen, europäischen udn dem amerikansichen Recht verträgt.

Man könnte sich natürlich auch wie die amerikanscihe Regierung auf den Standpunkt stellen, daß amerikanisches Recht alle anderen Rechtssysteme schlägt. face-smile
Mitglied: 45455
45455 11.09.2014 um 16:48:41 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Nachtrag: auf der sicheren Seite bist Du nur, wenn der Mitarbeiter der in den USA sitzt nur Daten bearbeitet, die in den USA
gelagert sind und nur Personen betreffen, die in den USA leben und wenn mitarbeiter, die in Deutschland sitzen nur daten von
personen verarbeiten, die in deutschland situzen udn diese daten in Deutschland gelagert werden.

Äh, genau das war mit 3x deutsch oder 3x USA sind eindeutig gemeint face-wink
Mitglied: C.R.S.
C.R.S. 11.09.2014 um 17:32:40 Uhr
Goto Top
Zitat von @45455:
Die Zentrale möchte bisher einen Datenschutzbeauftragten vermeien.
Dazu ist es IMHO notwendig, dass nicht mehr als 9 Personen regelmäßig mit personenbezogenen Daten arbeiten.

Mich würden mal Einschätzungen dazu interessieren, ob es relevant ist:
- wo die Daten physikalisch liegen oder wo sie bearbeitet werden
- wo der Betroffene lebt und/oder arbeitet
usw.

Nein, isoliert ist dies für das Erfordernis eines DSB in der Regel nicht von Bedeutung.

Grüße
Richard
Mitglied: chiefteddy
Lösung chiefteddy 11.09.2014 aktualisiert um 17:51:44 Uhr
Goto Top
Hallo,

der Wohn- oder Aufenthaltsort desjenigen, dessen personenbezogene Daten verarbeitet werden sollen, ist unerheblich.

Die Nationalität des Bearbeiters ist unerheblich.

Es kommt nur darauf an, wo die Daten "gelagert" sind und welchem Recht das Unternehmen unterliegt.

Eine dt. Firma unterliegt dt. Datenschutzrecht, egal ober der Bearbeiter Deutscher, Spanier, Russe oder Amerikaner ist (laut Pass).

Eine dt. Firma darf personenbezogene Daten nicht im Ausland "lagern", wenn nicht sichergestellt ist, das sie dt. Datenschutzrecht unterliegen.

Die Einhaltung der dt. Datenschutzbestimmungen ist nicht davon abhängig, ob im Unternehmen ein Datenschutzbeauftragter beschäftigt wird. Entsprechend dem Motto "Unwissenheit schützt nicht vor Strafe" wird davon ausgegangen, dass ab einer bestimmten Unternehmensgröße die Komplexität des Datenschutzes so umfangreich ist, dass der Gesetzgeber eine nur dafür zuständige Person vorschreibt.

Das ist in anderen Bereichen (Arbeitschutz, Gesundheitsschutz usw.) ja auch so.

Ob der Bearbeiter der personenbezogenen Daten in Deutschland oder sonstwo auf der Welt sein Büro hat, ist völlig unerheblich. Wenn dt. Datenschutzrecht gilt (Daten liegen in Deutschland), unterliegen die personenbezogenen Daten dt. Recht. Wenn das nicht garantiert werden kann, dürfen die Daten so nicht bearbeitet werden. Das muß, sofern es sich um eine "Fremdfirma" (zB. Tochter im Ausland) handelt, in einem "Datenverarbeitungsvertrag" geregelt werden.

http://de.wikipedia.org/wiki/Datenverarbeitung_im_Auftrag

Ansonsten ist das eine rechtliche Frage, die wir hier nicht beantworten dürfen. Du kannst Dich aber mit Deinem Problem an den Landesdatenschutzbeauftragten wenden, der ist für die Beantwortung solcher Fragen zuständig.

Jürgen
Mitglied: 45455
45455 11.09.2014 um 17:51:28 Uhr
Goto Top
Zitat von @chiefteddy:
Eine dt. Firma darf personenbezogene Daten nicht im Ausland "lagern", wenn nicht sichergestellt ist, das sie dt.
Datenschutzrecht unterliegen.
[...]
Wenn dt. Datenschutzrecht gilt (Daten liegen in Deutschland), unterliegen die personenbezogenen Daten dt. Recht. Wenn
das nicht garantiert werden kann, dürfen die Daten so nicht bearbeitet werden. Das muß, sofern es sich um eine
"Fremdfirma" (zB. Tochter im Ausland) handelt, in einem "Datenverarbeitungsvertrag" geregelt werden.
Das sind mal gute Argumente.


Zitat von @chiefteddy:
Ansonsten ist das eine rechtliche Frage, die wir hier nicht beantworten dürfen.
Öhem, ich suche keine rechtsichere Beurteilung, dazu sind meine Fragen noch viel zu allgemein.

Ich suche Argumente, um uneinsichtige "Anything goes"-Typen einzubremsen.


Und gaaanz nebenbei face-wink
Seit 1.7.2008 dürfen Fachpersonen durchaus eingeschränkt Rechtsberatung begrenzt auf ihren Fachbereich leisten.
Das mache ich ja übrigens bereits, wenn ich meinem Kunde auf die Frage antworte: Brauchen wir einen Datenschutzbeauftragten?
Mitglied: Pjordorf
Pjordorf 11.09.2014 aktualisiert um 19:16:46 Uhr
Goto Top
Hallo,

Zitat von @45455:
Ich suche Argumente, um uneinsichtige "Anything goes"-Typen einzubremsen.
Dazu braucht es keine "gefunden oder ausgedachte Argumente". Die Gesetzes Lage ist da eindeutig. Und wenn Amis eins kapieren dann ist es wenn du den klar machst das dein Gesetz es so vorsieht und nicht anders.face-smile Und ein Wort vom Supervisor bzw. Manager löst das Problem ganz schnell....

Beispiel von MS gefällig? Geht zwar nur um E-Mails vom Server-Speicher-Standort Dublin, aber auch MS hält noch dagegen. https://nakedsecurity.sophos.com/2014/09/11/microsoft-held-in-contempt-w ...

eingeschränkt Rechtsberatung begrenzt auf ihren Fachbereich leisten.
Das lass dir mal durch deinen Rechtsverdreher deines Vertrauens durch seinen Wolf drehen..... face-smile

Und dein
dazu sind meine Fragen noch viel zu allgemein.
stimmt so auch nicht. Dein Hals hängt schon längst in der Gesetzeschlinge und die Amis legen dich gerade zurecht um dir ihre "Spritze" zu verpassen. Der Ami erkennt nur sein Recht an, was meist als Ich bin der Stärkere weil ich mehr Waffen habe aufgefasst bzw. Interpretiert wird. Nun ja, die haben halt die meisten Flugzeugträger auf dieser einen Welt.

Auch alles nur meine "Meinung".

Gruß,
Peter
Mitglied: 45455
45455 11.09.2014 um 19:36:43 Uhr
Goto Top
Problem ist, dass der Anything-Goes-Typ Manager ist.

Im übrigen ist das immer noch ein kleiner Mittelständler, die amerikanische Tochter ein Mini-Schuppen.
Aber eben mit der Folge, dass man denen erst mal dieses unsägliche "jeder darf alles" austreiben muss.

Das hat in einigen Dingen geklappt, aber was personenbezogene Daten angeht, liegt da noch Erziehungs-Arbeit vor mir. face-wink

Das lass dir mal durch deinen Rechtsverdreher deines Vertrauens durch seinen Wolf drehen..... face-smile
Hab ich schon. Von mehreren. Von denen stammt diese Aussage.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 11.09.2014 um 19:47:07 Uhr
Goto Top
Zitat von @45455:

Das hat in einigen Dingen geklappt, aber was personenbezogene Daten angeht, liegt da noch Erziehungs-Arbeit vor mir. face-wink


Im Amiland kapieren sie das recht schnell, wenn man sagt, wo die Tür ist. face-wink

lks
Mitglied: 45455
45455 11.09.2014 um 22:21:11 Uhr
Goto Top
Die Option steht mir nicht zur Verfügung.
Mitglied: chiefteddy
chiefteddy 12.09.2014 um 09:33:02 Uhr
Goto Top
Guten Morgen,

als "Fachmann" bist Du auch verpflichtet, die für Dein Arbeitsumfeld geltenden Gesetze, Vorschriften und Regeln zu kennen und bei "Strafandrohung" des Staates auch zu befolgen / einzuhalten. ("Unwissenheit schützt nicht vor Strafe"). Niemand kann bzw. darf Dich wissentlich zu strafbaren Handlungen nötigen. Wenn er das tut in dem er Deine Abhängigkeit ausnutzt (Arbeitgeber - Arbeitnehmer), muß er mit empfindlichen, ihn persönlich treffenden, Strafen rechnen. In solchen Fällen verstehen dt. Gerichte keinen Spaß!

Laß Dir die Aufgaben, Anweisungen usw., die Deiner Meinung nach rechtswidrig sind, schriftlich oder vor Zeugen geben und mach gegebenenfalls eine Aktennotitz. (Ich habe früher mal bei einem anderen Arbeitgeber in einer vergleichbaren Situation einfach eine eMail als Bestätigung der Weisung mit meinen Bedenken an den Chef geschickt.)

Das macht dem "Chef" sehr schnell klar, dass er sich später nicht rausreden kann.

Wenn die Tochter-Firma in den USA sitzt, muß sie mindestens dem "Safe-Harbor-Abkommen" beitreten, wenn sie personenbezogene Daten von EU-Bürgern verarbeiten will.

http://de.wikipedia.org/wiki/Safe_Harbor

Und hier das "absolute Totschlags-Argument" für Dich:

"Die Richtlinie 95/46/EG (Datenschutzrichtlinie) verbietet es grundsätzlich, personenbezogene Daten aus EU-Mitgliedsstaaten in Staaten zu übertragen, die über kein dem EU-Recht vergleichbares Datenschutzniveau verfügen. Dies trifft auf die USA zu, da diese keine umfassenden gesetzlichen Regelungen kennen, die den Standards der EU entsprechen."

http://de.wikipedia.org/wiki/Richtlinie_95/46/EG_%28Datenschutzrichtlin ...

Noch einen schönen Tag

Jürgen