Der Düsseldorfer Kreis, also das Gremium, in dem alle 16 Datenschutzaufsichtsbehörden vertreten sind, hat noch einmal den nachfolgenden Grundsatz betont:
Bei Datenübermittlungen in einen Drittstaat, also einen Staat außerhalb der EU bzw. des Europäischen Wirtschaftsraums (z.B. Norwegen), sind Datenschutzfragen auf zwei Stufen zu prüfen. Typische Drittstaaten sind China, die USA oder Indien:

1. Stufe: Die Datenübermittlung muss durch eine Einwilligung der betroffenen Person oder eine Rechtsvorschrift gerechtfertigt sein (z.B. §§ 28 und 32 Bundesdatenschutzgesetz (BDSG))

2. Stufe: Im Ausland muss ein angemessenes Datenschutzniveau bestehen oder es müssen die Ausnahmen nach § 4c BDSG vorliegen.

Achtung: Die Datenübermittlung ist nur zulässig, wenn auf beiden Stufen ein positives Prüfungsergebnis vorliegt!

Die Aufsichtsbehörden weisen noch darauf hin, dass trotz Vorliegens einer Auftragsdatenverarbeitung auf der 1. Stufe die Datenübermittlung nach § 4 Abs. 1 BDSG zulässig sein muss (vgl. § 3 Abs. 8 BDSG). Bei einer Auftragsdatenverarbeitung in einer Drittstaatenkonstellation ist der Prüfungsmaßstab in der Regel dann § 28 Abs. 1 Satz 1 Nr. 2 BDSG (Wahrung berechtigter Interessen der verantwortlichen Stelle), bei sensitiven Daten sind § 28 Abs. 6 ff. BDSG zu beachten.

Der Beschluss des Düsseldorfer Kreises kann hier abgerufen werden.

Wenn Sie Fragen zum Thema Internationale Datenverarbeitung haben oder eine Beratung im Zusammenhang mit der Übermittlung von Daten in Drittstaaten haben, hilft Ihnen Rechtsanwalt Nikolaus Ehlenz gerne weiter.

Das Landgericht Düsseldorf (vgl. Urteil vom 19.7.2013 – 38 O 49/12) machte unlängst noch einmal deutlich , dass Unternehmen, die einen Verbraucher ohne dessen ausdrückliche vorherige Einwilligung zu Werbezwecken anrufen, unlauter handeln.

Logischerweise kann sich ein Unternehmen auch nicht aus der Verantwortung entfliehen, indem es einen Dienstleister mit der Werbung beauftragt. Wird ein Werber auftragsgemäß für ein Unternehmen tätig, dann muss dieses sich gemäß § 8 Absatz 2 UWG das Verhalten der für sie tätigen Werber zurechnen lassen.

Die hohen Anforderungen des § 7 UWG gelten auch in laufenden Dauerschuldverhältnissen. Das bedeutet, dass immer dann wenn ein Verbraucher zu Werbezwecken telefonisch angesprochen werden soll, eine ausdrückliche vorherige Einwilligung dafür erforderlich ist. Mutmaßliche Einwilligungen oder die Einwilligungen während des Gesprächs einzuholen ist daher nicht vorgesehen und kann für das Unternehmen teuer werden. Das LG Düsseldorf setzte im vorliegenden Fall den Streitwert auf 15.000 Euro fest.

Die Datenschutzbeauftragten von Bund und Ländern haben am 24.07.2013 beschlossen und mitgeteilt, dass sie vorerst keine neuen Genehmigungen für die Übermittlung von personenbezogenen Daten in die USA mehr erteilen werden.

In der Pressemitteilung wird mitgeteilt:

„Die Europäische Kommission hat in mehreren Entscheidungen Grundsätze des „sicheren Hafens“ (Safe Harbor) zum Datentransfer in die USA (2000) und Standardvertragsklauseln zum Datentransfer auch in andere Drittstaaten (2004 und 2010) festgelegt. Die Beachtung dieser Vorgaben soll gewährleisten, dass personenbezogene Daten, die in die USA oder andere Drittstaaten übermittelt werden, dort einem angemessenen Datenschutzniveau unterliegen. Allerdings hat die Kommission stets betont, dass die nationalen Aufsichtsbehörden die Datenübermittlung dorthin aussetzen können, wenn eine „hohe Wahrscheinlichkeit“ besteht, dass die Safe-Harbor-Grundsätze oder Standardvertragsklauseln verletzt sind. Dieser Fall ist jetzt eingetreten. Die Grundsätze in den Kommissionsentscheidungen sind mit hoher Wahrscheinlichkeit verletzt, weil die NSA und andere ausländische Geheimdienste nach den gegenwärtigen Erkenntnissen umfassend und anlasslos ohne Einhaltung der Grundsätze der Erforderlichkeit, Verhältnismäßigkeit und Zweckbindung auf personenbezogene Daten zugreifen, die von Unternehmen in Deutschland an Stellen in den USA übermittelt werden.“

Die Stiftung Datenschutz nimmt – trotz der anhaltenden Kritik an ihrer mangelhaften wirtschaftlichen Ausstattung – langsam Formen an. Die Internetseite bietet bisher erste Informationen über die Stiftung, jedoch auch erste Praxistipps, wie Nutzer ihre eigenen Daten schützen können. Es bleibt zu hoffen, dass die Verantwortlichen bei der Stiftung zukünftig noch stärker herausstellen, dass Datenschutz mehr ist, als die Gewährleistung von IT-Sicherheit. Erfahrungsgemäß ist der Mensch der größte Risikofaktor in Bezug auf unbefugte Datenumgänge.

Link auf Webseite der Stiftung Datenschutz