Datentransfer ins Ausland: Wo DSGVO-Gefahren lauern

Brüssel. Der Datenschutz in Japan ist gleichwertig mit der DSGVO, das hat die EU jetzt amtlich anerkannt. In Australien, China und vielen anderen Staaten lauern dagegen Gefahren, so die Arge Daten.

Nach der jüngsten Entscheidung der EU-Kommission ist Japan das 16. Land außerhalb der EU, in das Unternehmen genehmigungsfrei persönliche Daten übermitteln dürfen.

Im Gegensatz zum „Privacy Shield“ – Abkommen mit den USA, dass nur unternehmensbezogen gilt und zahllose Sonderregeln und Ausnahmen enthalte, gilt die Vereinbarung mit Japan für alle Einrichtungen und alle persönlichen Daten, heißt es bei der Arge Daten.

Die Verhandlungen zwischen EU und Japan zogen sich freilich auch über fast zwei Jahre. Ein parallel verhandeltes Abkommen mit Südkorea steht noch aus.

Vorsicht bei China, Australien und anderen Staaten

Tatsächlich fehlen mit vielen Partnerländern Österreichs noch solche Abkommen, erinnert die Arge Daten: Darunter fallen vor allem China, Brasilien, Indien, Australien, Südafrika, Mexiko, Russland, die Ukraine, Hongkong und Taiwan.

In der Praxis sei damit für alle diese Länder die Übermittlung persönlicher Daten genehmigungspflichtig. Und das führe häufig zu Problemen für heimische Unternehmen. „Nach unseren Beobachtungen ist nicht genehmigter internationaler Datenverkehr die häufigste Datenschutz-Falle, in die Österreichs Betriebe tappen“, so Hans G. Zeger, Obmann der Arge Daten, in einer aktuellen Veröffentlichung.

So sei schon das Anzeigen von Personendaten in diesen Drittländern eine genehmigungspflichtige Datenübermittlung (die DSGVO lässt grüßen). Auch die Weiterleitung von Personallisten, Mitarbeiterverzeichnissen oder Kontaktlisten per E-Mail oder die Nutzung von Cloudservices mit Servern in einem dieser Drittstaaten fällt darunter.

Gerade bei vielen Billiganbietern von Cloudservices wisse der Kunde überhaupt nicht, wo seine Daten tatsächlich gespeichert werden. Auch wenn eine ausländische Tochter auf persönliche Daten in Österreich zugreift, drohe ein Verstoß gegen die DSGVO.

Zuwiderhandelnde Unternehmen haben nicht nur hohe Strafen gemäß Art 83 DSGVO zu gewärtigen. Es sei auch wahrscheinlich, dass etwa unterlegene Mitbewerber, die bei einem internationalen Projekt zu kurz gekommen sind, erfolgreich nach UWG klagen, fürchtet Zeger.