Datenschutz – Dieser Artikel nutzt Cookies

Mit dem europäischen Datenschutzstandard kennen sich deutsche Unternehmen inzwischen bestens aus. Doch worauf müssen sie achten, wenn sie im Ausland Geschäfte machen?

August 2022
Autor:innen: Katrin Grünewald, Nadine Bauer, Marcelina Nowak, Julia Merle, Jan Sebisch und Yevgeniya Rozhyna

Hier werden Gesetze gemacht, so auch die DSGVO: das EU-Parlament in Straßburg © picture alliance/SZ Photo/Manfred Neubauer

Der Exportverantwortliche eines deutschen Schreibwarenhändlers staunte nicht schlecht: Ein Rechtsanwalt aus Südafrika hatte ihm geschrieben. Wo er denn bitte die Daten seines Mandanten her habe, wollte der Jurist wissen. Das Unternehmen hatte potenzielle Kunden in Südafrika angeschrieben – darunter auch den Mandanten des Anwalts. Nun machte sich der Mittelständler Sorgen: Womöglich hatte er Datenschutzregeln verletzt.

Die Wahrscheinlichkeit ist nicht gerade klein. Denn viele Länder haben in den vergangenen Jahren ihre Datenschutzgesetze aktualisiert oder zum ersten Mal überhaupt Datenschutzgesetze verabschiedet. Für Unternehmen bedeutet das: Bei Auslandsgeschäften gibt es jetzt ein weiteres Thema, das Beachtung erfordert.

Durch die fortschreitende Digitalisierung ist es immer einfacher geworden, Daten auch über Grenzen hinweg und vom Betroffenen unbemerkt zu übermitteln. Das Verhalten großer Tech-Unternehmen hat vielen Regierungen gezeigt, dass sie den Datenschutz besser ­regulieren müssen.

Datenschutzgesetze sollen dabei verhindern, dass Unternehmen unbefugt personenbezogene Daten von Bürgern sammeln, speichern und weitergeben: Name und E-Mail-Adresse zum Beispiel. Oder die IP-Adresse, etwa beim Webseitentracking. Im Rahmen von Informationspflichten müssen Unternehmen die Personen, deren Daten sie verarbeiten, über bestimmte Hintergründe der Datenverarbeitung informieren – und zwar noch bevor die Datenverarbeitung stattfindet.

746

Millionen Euro musste Versandhändler Amazon wegen eines DSGVO-Verstoßes zahlen. Es ist das höchste bekannte Bußgeld dieser Art.

Quelle: Bundesbeauftragter für den Datenschutz und die Informationsfreiheit

Viele Datenschutzgesetze ähneln sich zwar. Es gibt aber auch Unterschiede. So sind manche Datenschutzgesetze extraterritorial anwendbar. Das bedeutet, dass sie nicht nur bei Datenverarbeitungen im Inland gelten, sondern auch, wenn Daten von Bürgern aus diesem Land verarbeitet werden. Dadurch müssen sich auch Unternehmen an die Gesetze halten, die in diesem Land lediglich Waren oder Dienstleistungen anbieten, ohne selbst eine Niederlassung zu haben.

Verkauft zum Beispiel ein türkisches Unternehmen Waren in Europa, muss es die europäische Datenschutz-Grundverordnung (DSGVO) einhalten. Ähnliches gilt für die Datenschutzgesetze Chinas, Japans oder Kaliforniens. ­Unternehmen müssen also bei ihren Geschäften darauf achten, woher die personenbezogenen Daten kommen und im Zweifel prüfen, ob das Datenschutzgesetz eines anderen Landes anwendbar sein könnte.

Immerhin haben europäische Unternehmen gegenüber den Exporteuren aus anderen Ländern eine Art Startvorteil: Denn sie haben sich bereits an die DSGVO gewöhnt, die in der EU im Mai 2018 in Kraft getreten ist. Sie hat dazu beigetragen, dass viele Länder ähnliche Standards erarbeitet haben. Dennoch existierten schon weit vor der DSGVO Datenschutzgesetze. Das weltweit erste soll 1970 in Hessen entstanden sein. Auch in Australien, Frankreich, Kanada oder Serbien gab es schon vor der DSGVO Datenschutzgesetze.

Innerhalb der EU und des Europäischen Wirtschaftsraums (EWR) müssen Unternehmen einen Verantwortlichen für das Thema Datenschutz festlegen, die Kontaktdaten des Datenschutzbeauftragten veröffentlichen, erklären, welchen Zweck und welche Rechtsgrundlage die Verarbeitung der Daten hat, wer der Empfänger ist und ob die Daten in einen Drittstaat übermittelt werden. Betroffene können außerdem verlangen, dass Unternehmen ihnen Auskunft über die verarbeiteten Daten erteilen oder ihre Daten berichtigen, löschen oder an ein anderes Unternehmen übertragen, wie bei einem Anbieterwechsel. Sie können auch Widerspruch einlegen oder die Einschränkung der Verarbeitung verlangen. Dann dürfen die Daten zwar nicht gelöscht, aber auch nicht mehr verarbeitet werden, zum Beispiel wenn die Löschung länger dauert.