Datenschutzrisiken bei internationalen Transaktionsgeschäften
Bei der datenschutzkonformen Übermittlung von transaktionsrelevanten Daten während der Due Diligence spielen die Server-Standorte eine zentrale Rolle
Frankfurt, 1. August 2010 - Gemäß den europäischen Datenschutzbestimmungen dürfen personenbezogene Daten aus EG-Mitgliedsstaaten nicht in Drittländer, wie die USA, transferiert werden. Das Safe-Harbor-Abkommen als Lösung dieses Rechtsproblems wird vom Berliner Beauftragten für Datenschutz und Informationsfreiheit als kritisch erachtet. Er empfiehlt vielmehr die Zusammenarbeit mit Datenverarbeitern mit Serverstandorten innerhalb der EU. Data Room Services, die als virtueller Datenraumanbieter den Datenaustauch von unterschiedlichen Parteien während der Due Diligence begleiten, setzt aufgrund des vorherrschenden Datenschutzrechts auf Server-Standorte innerhalb der EU. Nur so können die Datenschutzanforderungen, die an ihre Kunden gestellt, erfüllt werden und drohende Maßnahmen der Aufsichtsbehörde sowie Bußgelder vermieden werden.
In Zeiten der wachsenden Bedeutung des Themas Datenschutz, müssen sich Unternehmen intensiv mit den rechtlichen Vorgaben zum Austausch von vertraulichen Informationen bei internationalen Transaktionen auseinandersetzen. Es sind die rechtlichen Feinheiten, der in Europa vorherrschenden komplexen Datenschutzbestimmungen, die in der Praxis den Unterschied machen.
Im Rahmen der Durchführung von Transaktionsprozessen, insbesondere bei der Due Diligence, werden häufig buchhalterische oder personenbezogene Daten an potentielle Käufer im In- und Ausland weitergegeben. Die Übermittlung der Daten erfolgt in der Regel digital mittels virtueller Datenräume. Die Speicherung der Daten erfolgt auf den lokalen Servern des jeweiligen Datenraum-Providers und obliegt strikten Vorgaben zur Einhaltung der national vorgegebenen Datenschutzbestimmungen.
Wenn ein Unternehmen in Deutschland beispielsweise vertrauliche Daten während der Due Diligence über den virtuellen Datenraum eines entsprechenden Dienstleisters mit Dritten austauscht, muss der Auftraggeber, als verantwortliche Stelle, dafür Sorge tragen, dass die Vorschriften des deutschen Bundesdatenschutzgesetzes sowie anderer Gesetze vom Dienstleister eingehalten werden. Die Auftragsdatenverarbeitung nach § 11 BDSG ist einschlägig, wenn der Sitz des Auftragsgebers, d.h. der verantwortlichen Stelle, und der Sitz des Vertragspartners (Auftragnehmer) in Deutschland oder einem anderen Mitgliedsstaat der europäischen Union (EU) ist. Wenn der virtuelle Datenraumanbieter seinen Sitz - inkl. der Serverstandorte - jedoch in Drittstatten hat, müssen besondere Regelungen des Datenschutzes beachtet werden.
Gemäß der Datenschutzrichtlinie 95/46/EG dürfen keine personenbezogene Daten aus EG-Mitgliedsstaaten in Staaten übertragen werden, die über kein dem EG-Recht vergleichbares Datenschutzniveau verfügen. Die Angemessenheit des Datenschutzniveaus wird anhand von unterschiedlichen Kriterien überprüft. Bisher haben jedoch nur wenige Länder, wie z.B. Kanada oder die Schweiz den sicheren Drittstaatenstatus zuerkannt bekommen. Die USA hingegen verfügt über kein vergleichbares Datenschutzniveau, da sie kein einheitliches Datenschutzrecht verfolgen und den Standards der EG nicht entsprechen.
Damit der transatlantische Daten- und damit verbundene Geschäftsverkehr nicht völlig zum Erliegen kommt, wurde das so genannte Safe-Harbor-Übereinkommen geschlossen; eine gesonderte Datenschutz-Vereinbarung zwischen der Europäischen Union und den Vereinigten Staaten, die es europäischen Unternehmen ermöglicht, personenbezogene Daten legal in die USA zu übermitteln. Dieses Abkommen wird in der rechtspolitischen Diskussion jedoch kritisch betrachtet, da es sich bei Safe-Harbor um einen vollkommen freiwilligen und selbstregulierenden Mechanismus handelt. Nach Ansicht des Berliner Beauftragten für Datenschutz und Informationsfreiheit sollten Unternehmer daher Sorge tragen, dass die Verarbeitung von personenbezogenen Daten nicht in einem Drittstaat, wie den USA, stattfindet. Da insbesondere bei Transaktionen hochsensible Unternehmensdaten ausgetauscht werden, die oftmals personenbezogene Daten in ungeschwärzter Form beinhalten, empfiehlt es sich aus Datenschutzsicht einen Anbieter zu wählen, der gewährleisten kann, dass die Daten auf Servern innerhalb der EU bleiben.
Diese Thematik ist insbesondere aus dem Grund relevant, weil das beauftragende Unternehmen als verantwortliche Stelle die Einhaltung der gesetzlichen Vorgaben garantieren muss. Im Falle, dass dennoch Daten ins Ausland übertragen werden, obwohl die Empfangsstelle über keine angemessenes Datenschutzniveau verfügt, stellt dies eine Ordnungswidrigkeit dar, die mit hohen Geldbußen verbunden sein können.
Insbesondere für Transaktionen bei denen hochsensible finanz- und personenbezogene Daten zwischen verschiedenen Parteien mit zum Teils unterschiedlichen Interessen mittels virtueller Datenräume ausgetauscht werden müssen, nimmt der Stellenwert dieser Thematik zu. Data Room Services, die als virtueller Datenraumanbieter den Datenaustauch von unterschiedlichen Parteien während der Due Diligence begleiten, hat sich aufgrund des vorherrschenden Datenschutzrechts für Server-Standorte in Deutschland entschieden.