Database Reference
In-Depth Information
schen Praxis dem Privatsphärenschutz im Gegensatz zum kontinentaleuropäischen Ansatz
grundsätzlich weniger Gewicht zukommen lässt.
3
[
2
]
Bezogen auf dieses Beispiel müssen nach überwiegender Auffassung etwaige aus
Deutschland ausgehende Datenübermittlungen auf Grundlage von SOX hinter den
strengen Anforderungen des BDSG zurückstehen und damit im Zweifel unterbleiben.
Weiterhin ist zu beachten, dass die Anforderungen an die Unternehmen durch ent-
sprechende
Kundenforderungen
nochmals steigen können. Relevant wird dies, wenn
in B2B-Geschäften der Auftraggeber als Adressat von Spezialgesetzen selbige Anforde-
rungen an seine Auftragnehmer weitergibt. Dies ist beispielsweise der Fall, wenn die an
einer Auftragsdatenverarbeitung teilnehmenden Unternehmen in verschiedenen Ländern
oder Branchen tätig sind. So sind Unternehmen aus der Finanzbranche regelmäßigen
(Datenschutz-)Kontrollen der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin)
ausgesetzt (§ 44 KWG i. V. m. § 25a KWG) und müssen entsprechend sicherstellen,
dass alle ihre Auftragnehmer kapitalmarktspezifische Datenschutzregelungen umsetzen.
Weiterhin ist zu beachten, dass nicht nur formelle Gesetze Anforderungen aufstellen
können. So sind gerade in Staaten, in denen die Gesetzgeber bisher nur zurückhal-
tend aufgetreten sind,
alternative Normenwerke
in Anwendung bzw. in Entwicklung.
Beispielsweise hat das National Institute of Standards and Technology (NIST) des U.S.
Department of Commerce im Jahr 2013 Mindestanforderungen an den Privatsphären-
schutz für Informationssysteme von US-Behörden veröffentlicht [
12
]. Konkret diente dies
dazu, die Umsetzung des Federal Information Security and Management Act (FISMA)
zu befördern. Als Nebenzweck fordert auch die bekannte ISO 27001 für Informations-
sicherheitsmanagementsysteme die Sicherstellung des Datenschutzes. Hintergrund der
beschriebenen Entwicklungen ist die im Zuge der Globalisierung erforderliche Min-
destumsetzung von Privatsphärenstandards, auch ohne dass explizite Gesetze in diesem
Bereich vorliegen. Denn alleine aus der Tatsache, dass der Gesetzgeber nicht aktiv gewor-
den ist, lässt sich nicht schließen, dass Kunden und Betroffene keine Ansprüche an den
Datenschutz stellen. Vielmehr stellt gerade in einem solchen Fall die Sicherstellung des
Datenschutzes ein positives Alleinstellungsmerkmal für Unternehmen dar.
Nicht zuletzt kann das Unternehmen auch selbst zusätzlich Anforderungen an den un-
ternehmensinternen Datenschutz schaffen, indem es entsprechende
interne Richtlinien
festlegt. Relevant wird dies beispielsweise im Konzern über die sog. „Binding Corporate
Rules“, welche eine Möglichkeit zur Sicherstellung eines angemessenen Datenschutzni-
veaus bei einer Geschäftstätigkeit in mehreren Ländern darstellen. Dabei stehen dann die
Gesellschaften in Drittländern vor der Herausforderung der Umsetzung dieser Anforde-
rungen. Ebenfalls in diese Kategorie gehören die Datenschutz-Policy (Abschn. 5.2.1.3)
oder die Compliance-Richtlinien.
Auch können sich Unternehmen, die Datenschutzgütesiegel (Abschn. 3.2) für ihre Pro-
dukteanstreben, selbstdiejeweiligenAnforderungenfürdasGütesiegelauferlegen. Zudem
3
Zu Lösungsansätzen in diesem Bereich vgl. die Stellungnahme 01/2006 der Art. 29-
Datenschutzgruppe der Europäischen Kommission.
Search WWH ::
Custom Search