Aktuelle Entwicklungen beim Datenschutz zwischen Japan und der EU

1. Adequacy Decision 

Am 23.01 wurde endlich der lang erwartete Angemessenheitsbeschluss zwischen Europa und Japan finalisiert. Ab sofort erkennen beide Regionen das Datenschutzniveau der jeweils anderen als äquivalent an. 

Das bedeutet, dass personenbezogene Daten ohne weiteres zwischen Japan und Europa übermittelt werden können, ohne dass besondere Verträge zur Sicherstellung des Datenschutzniveaus notwendig sind. 

Es gilt allerdings zu beachten:
Auch wenn der Transfer selbst jetzt ohne weitere Komplikationen möglich ist, so muss ein Unternehmen weiterhin nachweisen können, dass eine gültige Rechtsgrundlage die Übermittlung selbst erlaubt. So wie nicht alle Daten ohne Einwilligung, Vertragsgrundlage, rechtliche Verpflichtung oder berechtigtes Interesse gespeichert oder genutzt werden dürfen, so dürfen auch nicht alle Daten ohne eine solche Grundlage übermittelt werden. Es muss also weiterhin betrachtet werden, wer der Empfänger der Daten ist, und wofür die Übermittlung selbst notwendig ist. 

Wenn beispielsweise ein Kunde mit Ihnen einen Vertrag abgeschlossen hat, für dessen Erfüllung eine Datenübermittlung nach Japan (oder ein anderes Drittland) notwendig ist, so mussten zuvor häufig „Standardvertragsklauseln“ (SCC) benutzt werden. Dieser Schritt ist nun nicht mehr notwendig. 

Ferner ist nun der Transfer von Mitarbeiterdaten zur Muttergesellschaft in Japan einfacher, falls damit das Ziel verfolgt wird Ressourcen der Unternehmensgruppe zu planen. Zuvor wäre ein Vertrag zwischen den beiden Standorten notwendig gewesen, in welchem auch durch Standardvertragsklauseln ein Datenschutzniveau der Muttergesellschaft sichergestellt worden ist. Nunmehr ist nur noch eine Vereinbarung zum Transfer notwendig, indem klar geregelt wird, welche Partei für welchen Part des Transfers zuständig ist, und wie Betroffenenrechte umgesetzt werden (insbesondere Information an die Mitarbeiter). Hier können die Verantwortungen häufig bei der europäischen Tochter liegen, die bereits davor ähnliche Verpflichtungen hatte. 

Englisch: http://europa.eu/rapid/press-release_IP-19-421_en.htm
Japanisch: https://www.ppc.go.jp/enforcement/cooperation/cooperation/310123/ 

2. Strafen für Datenschutzverstöße 

Letzte Woche wurde das höchste bisherige DSGVO-Bußgeld ausgesprochen, und zwar gegen Google aufgrund von fehlender Transparenz und ungültigen Einwilligungen. Die Strafe liegt bei 50 Millionen €, der rein theoretische Höchstbetrag wäre 4 Mrd. € gewesen. 

Selbstverständlich sind die wenigsten Bußgelder so hoch, wie die Herangehensweise verschiedener deutscher Behörden zeigt. In Thüringen beispielsweise ist das höchste bisher ausgesprochene Bußgeld 12.000 €, während es in Baden-Württemberg aktuell bei 80.000€ liegt. Ein Beispiel für die Berechnung des Bußgeldes zeigte sich ebenfalls in Baden-Württemberg, bei einem Bußgeld von 20.000€. In diesem Fall wäre deutlich mehr möglich gewesen, aber da das Unternehmen vollumfänglich mit der Behörde kooperierte und seine eigenen Fehler einsah und Verbesserungen umsetzte, wurde das Bußgeld geringgehalten. 

Es ist also immer sinnvoll, mit den Behörden zu kooperieren, da mit gutem Willen bereits viel vom Bußgeld gespart werden kann. Im erwähnten Fall war das Bußgeld sogar nur ein sehr kleiner Teil der Gesamtkosten für den Datenschutzverstoß des Unternehmens; die Kosten für den Noteinsatz von IT-Experten und Anwälte war eine Größenordnung mehr. 

So wie Vorsicht immer besser ist als Nachsicht, ist auch Vorbereitung günstiger als rasche Nachbereitung.  

3. Änderungen bei Google

Für die meisten Dienste von Google, ist seit dem 22. Januar nun nicht mehr Google Inc. in den USA tätig, sondern Google Ireland Ltd. Dies hängt unter anderem mit oben erwähntem Bußgeld zusammen, sorgt aber dafür, dass Sie ihre Datenschutzerklärung womöglich an diese neue Adresse anpassen müssen.

Wenn Ihre Webseite Google Analytics verwendet, Google Maps oder Youtube einbindet, der GoogleTagManager oder Sie Google Fonts einbinden, so ändern sie alle Erwähnungen von „Google Inc.“ bitte in „Google Ireland Ltd.“ und "Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA" in: "Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland”. 

4. Auswirkungen des Brexit auf den Datenschutz 

Im aktuellen noch nebligen Ausgang des Brexit wappnen sich bereits die ersten Unternehmen und Aufsichtsbehörden auf den „No-Deal“. Was also mit internationalen Datenübermittlungen geschieht, wenn zwischen dem Vereinigten Königreich und der Europäischen Union bis zum 29. März kein Abkommen unterzeichnet wird. Ein Szenario was immer wahrscheinlicher wirkt. 

Und auch wenn Datenschutz im Vergleich zu den möglichen gesellschaftlichen Problemen an der Grenze Irlands unwichtig wirkt, so müssen Unternehmen sich jetzt vorbereiten, um nicht gesetzeswidrig zu werden. 

Im Falle des No-Deal-Szenario gilt das Vereinigte Königreich wohl von einem Tag auf den Nächsten als „Drittland“. Dies bedeutet, dass Datenübermittlungen nach London, Edinborough, Cardiff oder Belfast dann nicht mehr ohne weiteres möglich sind. Die Eingangs erwähnten Standardvertragsklauseln, die jetzt nicht mehr mit Japan notwendig sind, müssten plötzlich für alle Geschäfte mit UK-basierten Unternehmen unterschrieben werden. Innerhalb von Unternehmensgruppen wären auch verbindliche interne Datenschutzregeln denkbar, diese sind aber vom Aufwand für KMUs nicht zu stemmen. Doch auch die Standardvertragsklauseln sind nicht ohne weiteres zu erstellen, auf die genaue Beschreibung der Übermittlung sollte stets geachtet werden. 

Auch hier gilt: Lieber gut vorbereitet als zu spät und dann in Zeitnot agieren zu müssen.