Datenübermittlung in Drittländer: Gute Idee oder "no-go"?

Leiten Sie personenbezogene Daten in Staaten, die nicht der Europäischen Union angehören? Dann ist dieser Artikel genau richtig für Sie, um die datenschutzrechtlichen Pflichten nicht zu vergessen.

Was sind Drittländer?

Sinn und Zweck der EU-Datenschutzgrundverordnung ist die Harmonisierung des datenschutzrechtlichen Schutzumfangs in allen Staaten der Europäischen Union. Transferieren Sie als deutsches Unternehmen beispielsweise personenbezogene Daten in die Vereinigten Staaten von Amerika zu einem Cloudanbieter, sind Sie dafür verantwortlich, dass die Daten auch dort von einem mit Europa vergleichbaren Datenschutz geschützt werden.

Physische Datenübertragung erforderlich?

Es ist übrigens nicht erforderlich, dass die Daten physisch zum Anbieter mit Sitz in einem Drittland übertragen werden. Es reicht auch aus, wenn der Anbieter mit Hauptsitz in einem Drittland Zugriff auf die Daten erhält, die sich physisch in seinem Machtbereich befinden (z.B. US-Anbieter betreibt ein Rechenzentrum in Deutschland und dort werden die Daten gespeichert und verarbeitet).

Die Angemessenheitsbeschlüsse

Der Europäischen Kommission wurde u.a. die Befugnis verliehen, sog. Angemessenheitsbeschlüsse für bestimmte Staaten auf der Welt (außerhalb der EU) zu fassen. In einem solchen Beschluss stellt sie fest, dass personenbezogene Daten in einem bestimmten Drittland (oder in einem bestimmten Gebiet oder Sektor) einen mit dem Europäischen Datenschutzrecht vergleichbaren adäquaten Schutz genießen. Welche Staaten derzeit davon profitieren, können Sie beispielsweise auf der Website des hessischen Landesdatenschutzbeauftragten nachlesen, abrufbar unter https://datenschutz.hessen.de/datenschutz/internationales/angemessenheitsbeschlüsse.

Dies bedeutet, dass Sie beispielsweise personenbezogene Daten an einen Auftragsverarbeiter in der Schweiz weiterleiten dürfen, ohne dass diese Datenübermittlung einer gesonderten Genehmigung bedarf. Dies ist eine zweifelsohne überaus bequeme Situation für Sie als Verantwortlichen der Datenverarbeitung.

Privacy-Shield

Eine fast ebenso bequeme “Garantie” für eine genehmigungsfreie Übermittlung war das sog. Privacy-Shield (Nachfolger des sog. “Safe Harbour). Es bestand aus informellen Absprachen zwischen der EU und den USA, die im Februar 2016 getroffen wurden und dem Beschluss der Europäischen Kommission vom 12. Juli 2016, dass die Vorgaben des Datenschutzschilds dem Datenschutzniveau der Europäischen Union entsprechen. Damit galt praktisch ein “Angemessenheitsbeschluss” hinsichtlich der Datenübertragung zu den US-Unternehmen, die die Anforderungen des Privacy-Shields erfüllten.

Bereits wenige Wochen nach dem Kommissionsbeschluss gab es heftige Kritik und beim Gericht der Europäischen Union wurde eine Nichtigkeitsklage eingereicht. Mit Urteil vom 16. Juli 2020 (Rechtssache C-311/18) erklärte der Europäische Gerichtshof den Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016 für ungültig. Damit war das Privacy-Shield beerdigt.

Standardvertragsklauseln

Möchten Sie aus Ihrem Unternehmen personenbezogene Daten an einen Auftragsverarbeiter mit Sitz z.B. in den USA weiterleiten, geht dies aktuell nur mit den sog. Standardvertagsklauseln. Diese wurden im Juni 2021 neu gefasst. Allerdings gibt es einen entscheidenden Haken an der Sache. Der EuGH entschied in dem o.g. Verfahren, dass es nicht allein ausreicht, diese Standardvertragsklauseln abzuschließen. Vielmehr müssten “zusätzliche Maßnahmen” mit dem Datenempfänger vereinbart werden. Das Urteil erfolgte noch zu den “alten” Standardvertragsklauseln, die bis zum Jahr 2021 gültig waren. Jedoch ist auch die Anwendung der neuen Fassung nicht trivial. Die Vertragspartner verpflichten sich u.a. zu einem sog. Transfer Impact Assessment (TIA). Dies stellt aktuell viele Unternehmen vor sehr große Herausforderungen.

Hilft das neue "Trans-Atlantic Data Privacy Framework"?

Im März 2022 teilten die Europäische Kommission und die USA mit, dass man gemeinsam an einer neuen Vereinbarung arbeite, um künftige Datenübermittlungen in die USA datenschutzrechtlich abzusichern. Die genauen Inhalte sind derzeit genauso unbekannt wie das Inkrafttreten. Einzig sicher dürfte sein, dass auch diese Vereinbarung wieder vom Europäischen Gerichtshof (EuGH) geprüft werden wird, um es den Anforderungen des europäischen Datenschutzes standhält oder nicht. Selbst wenn dieses Framework alsbald verabschiedet werden wird bleibt für die verantwortlichen Unternehmen in Deutschland und der EU vorerst weiterhin die Rechtsunsicherheit bis zur höchstrichterlichen Klärung. Das Privacy-Shield wurde 4 Jahre alt bis zum Exitus. Somit sollte spätestens 2026 eine neue Entscheidung vorliegen. 

Und die Moral von der Geschicht´ ?

Stehen Sie vor der Entscheidung, personenbezogene Daten entweder innerhalb der EU (bzw. in einem Land mit Angemessenheitsbeschluss - siehe oben) oder außerhalb der EU in einem sog. Drittstaat verarbeiten zu lassen, sollten Sie die datenschutzrechtlichen Implikationen nicht unterschätzen. Stellt der Dienstleister im Drittland beispielsweise gar keine Standardvertragsklauseln (in der neuen Fassung von Juni 2021) zur Verfügung, können Sie die Beauftragung sofort vergessen. Aber auch wenn der Dienstleister diese in aktuell geltender Fassung zur Verfügung stellt, haben Sie mit dem TIA (siehe oben) richtig dicke Bretter zu bohren.

Ihre Checkliste für Datenübertragungen in Drittländer

A. Sie haben noch keinen Dienstleister im Drittland beauftragt:

1. Prüfen Sie sorgfältig Alternativen in Deutschland, der EU und in Drittländern mit Angemessenheitsbeschluss. Der datenschutzrechtliche Onboardingprozess ist deutlich schlanker und finanziell günstiger.
2. Entscheiden Sie sich nach sorgfältiger Abwägung für eine Datenübertragung in ein Drittland, muss der Dienstleister zwingend die Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914) verwenden. Wichtig: Dieses Vertragswerk darf im Text nicht verändert werden. Andernfalls geht die Privilegierung verloren.
3. Spätestens nach Abschluss des Vertrags haben Sie mit Ihrem Dienstleister zusammen das Transfer Impact Assessment (TIA) durchzuführen und zu dokumentieren. Kommen Sie dort zu dem Ergebnis, dass die Daten im Drittland nicht sicher verarbeitet werden können, muss der gesamte Vorgang gestoppt werden. Das European Data Protection Board gab mittlerweile Empfehlungen zu “ergänzenden Maßnahmen” heraus, die hier abrufbar sind: https://edpb.europa.eu/system/files/2022-04/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_de.pdf Diese beziehen sich zwar nicht unmittelbar auf die TIA, können aber hierfür eine wertvolle Hilfestellung sein.

B. Sie haben bereits Dienstleister in Drittländern beauftragt:

1. Überprüfen Sie, ob der Dienstleister bereits die Standardvertragsklauseln von Juni 2021 verwendet.
2. Wenn nein, muss er sie bis Ende 2022 verwenden und gegen die alten “austauschen”. Andernfalls gilt die Datenverarbeitung als unzulässig.
3. Für diesen Fall müssen Sie für eine Rückführung der Daten bis Ende 2022 sorgen und diese zu einem sicheren Auftragsverarbeiter transferieren, der z.B. innerhalb der EU sitzt oder in einem Drittland mit Angemessenheitsbeschluss.
4. Wenn ja, fahren Sie mit Schritt 1c fort.

Kennen Sie schon meine anderen Beiträge zum Datenschutz?

Folgende Artikel sind auf anwalt.de bereits erschienen:

1. Wann benötige ich einen Datenschutzbeauftragten?
2. Cookies auf Webseiten: Alles gut oder teurer Spaß?
3. Datenschutzhinweis - Reicht der auf der Website?
4. IT-Sicherheit und Datenschutz -  best buddy`s?
5. Externe Dienstleister - Besonderheiten im Datenschutz
6. Schulung der Beschäftigten - Muss das sein?
7. Bußgeld für Datenschutzverstoß - zahlen oder kämpfen?
8. Datenschutz-Doku - warum so unbeliebt?