Durch die Datenschutzgrundverordnung (DSGVO) gilt in Frankreich wie in Deutschland ein einheitliches allgemeines Datenschutzrecht, ergänzt durch die nationalen Datenschutzgesetze.
Wenn ein französisches Unternehmen eine Niederlassung in Deutschland hat oder grenzüberschreitende Dienstleistungen anbietet, kann ein deutscher Kunde Auskunft über die über ihn beim Unternehmen gespeicherten Daten verlangen. Erhält er diese nicht oder nicht zu seiner Zufriedenheit, könnte er die Datenschutzaufsicht befassen, nach seiner Wahl entweder die französische Commission nationale de l’Informatique et des Libertés (CNIL) oder, beispielsweise im Saarland, das Unabhängige Datenschutzzentrum Saarland.
Zwar müssten die angerufenen Behörden zunächst prüfen, welche die eigentlich zuständige ist. Jedoch ist es ratsam, im grenzüberschreitenden Geschäft möglichst die Vorschriften beider Länder zu erfüllen, falls sie überhaupt noch voneinander abweichen.
In Deutschland wurden im ersten Jahr der Anwendbarkeit [ii] 70 Bußgelder verhängt, davon 3 im Saarland. Das höchste deutsche Einzelbußgeld betrug 80.000 € für die Veröffentlichung von sensiblen Gesundheitsdaten im Internet. In Frankreich verhängte die CNIL gegenüber Google ein Bußgeld von 50 Mio. €, das jedoch noch nicht bestandskräftig ist.
Als Rechtsgrundlage für eine Datenverarbeitung kommen alternativ Gesetz, Erfüllung eines (Vor-)Vertrags, berechtigtes Interesse oder eine Einwilligung des Betroffenen nach Art. 6 Abs. 1 DSGVO in Frage. Interessant ist, dass das einheitliche europäische Recht, die DSGVO, in Frankreich und Deutschland durchaus unterschiedlich praktisch angewendet wird. Hier ist z.B. ein bemerkenswerter Unterschied, dass die Einwilligung in Deutschland wesentlich häufiger herangezogen wird als in Frankreich und den übrigen EU-Ländern. Zum Beispiel: In Frankreich würde man nur in Ausnahmefällen eine Datenweitergabe in die USA mit einer Einwilligung der Betroffenen absichern. Daran ist vorteilhaft, dass der datenverarbeitende Verantwortliche nicht mit den Folgen eines Widerrufs der Einwilligung zu kämpfen hat, die ja jederzeit geschehen kann und die zukünftige Datenübertragung in die USA unzulässig macht.
Übrigens, eine Datenübertragung in die USA ist formell für deutsche wie französische Unternehmer wegen der Entscheidung der Europäischen Kommission[iii] über den sog. EU-U.S.-Privacy Shield rechtmäßig, vorausgesetzt, das empfangende U.S.-Unternehmen besitzt eine gültige Privacy-Shield-Zertifizierung.
Das U.S.-Handelsministerium führt dazu die offizielle Liste (https://www.privacyshield.gov/list). Das U.S.-Unternehmen, an das die Daten übermittelt werden sollen, muss auch tatsächlich darin eingetragen sein. Ferner muss das datenexportierende (europäische) Unternehmen anhand des Listeneintrags auch überprüfen, ob die Zertifizierung diejenige Kategorie von Daten umfasst, die übermittelt werden sollen. Kategorien sind Beschäftigtendaten = „HR“ oder andere = „Non HR“.[iv]
[I] z.B. Loi informatique et libertés (Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, Version consolidée au 29 juillet 2019) und Bundesdatenschutzgesetz 2018 (Bundesdatenschutzgesetz vom 30. Juni 2017, BGBl. I S. 2097)
[II] Quelle: Handelsblatt vom 15.05.2019, S. 8
[III] (2016/1250) vom 12. Juli 2016
[IV] Quelle: www.baden-wuerttemberg.datenschutz.de/ueberblick-eu-u-s-privacy-shield
Autor: Claudia Lemmer, SaarLB
© shutterstock.com
