Datenübermittlung in Drittländer nach DSGVO

 

Viele Unternehmen müssen personenbezogene Daten in andere Länder übermitteln. Doch unter welchen Voraussetzungen ist dies unter der DSGVO eigentlich zulässig? Hier soll ein grober Überblick über die vorhandenen Möglichkeiten nach der DSGVO gegeben werden.

Die alles entscheidende Frage ist hier, in weches Land die Datenübermittlung erfolgen soll. Soweit es sich um einen Mitgliedsstaat der EU bzw. EWR handelt, ist eine Datenübermittlung unproblematisch. Dies ist gem. Art. 1 Abs. 3 DSGVO im Rahmen des freien Datenverkehrs innerhalb der EU/EWR zulässig.

Bei Ländern, welche nicht Mitglied in der EU bzw. des EWR sind, handelt es sich um einen sogenannten Drittstaat. Hier sind gem. der DSGVO einige Vorschriften zu beachten.

 

Datenübermittlung in Drittländer

 

Angemessenheitsbeschluss der EU-Kommission

 

Bei einer beabsichtigten Datenübermittlung in ein Drittland sollte zuerst überprüft werden, ob ggf. ein Angemessenheitsbeschluss der EU-Kommission vorliegt. Dies bedeutet, dass die Kommission die hier aufgeführten Länder in Hinblick auf das dortige Datenschutzniveau überprüft hat und eine Vergleichbarkeit mit dem Datenschutzniveau der EU/EWR festgestellt hat.

Eine Datenübermittlung in ein Drittland für welches ein EU-Angemessenheitsbeschluss besteht ist somit ohne weitere Genehmigung zulässig.

 

Standardvertragsklauseln

 

Für den Fall, dass kein EU-Angemessenheitsbeschluss vorliegt muss eine andere Möglichkeit für die Datenübermittlung gefunden werden. Eine sehr wichtige Rolle spielen hier die Standarddatenschutzklauseln bzw. Standardvertragsklauseln gem. Art. 46 DSGVO.

Dieses sind von der EU-Kommisssion festgelegte Regeln für die Datenübermittlung in Drittländer. Die entsprechenden Regelungen bzw. Verträge sind direkt von der Seite der EU-Kommission herunterzuladen. Eine Änderung an den Verträgen ist NICHT zulässig.

Die entsprechenden Verträge sind direkt mit dem Unternehmen im Drittland zu schließen.

Die EU-Kommission hat aufgrund des unten aufgeführten Urteils des EuGH im Juni 2021 neue Standardvertragsklauseln veröffentlicht.

Diese können hier in verschiedenen Sprachen heruntergeladen werden: EUStandardvertragsklauseln

Auch bei Verwendung der neuen EUStandardvertragsklauseln ist eine Prüfung der Rechtslage im Drittland nötig und ggf. sind zusätzliche ergänzende Maßnahmen erforderlich. Dies kann man u.a. in einer Pressemitteilung der Datenschutzaufsichtsbehörden vom 21.06.2021 nachlesen.

 

Ergänzende Maßnahmen zu den EUStandardvertragsklauseln

 

Wie können nun die genannten ergänzenden Maßnahmen in der Praxis aussehen? Hier gibt es bislang keine bestimmten Vorgaben oder Muster. Es erscheint allerdings sinnvoll, wenn auch hier ein risikobasierter Ansatz erfolgt. Je nach dem Schutzbedarf der zu übertragenden Daten müssen hier ergänzende technische und organisatorische Maßnahmen erfolgen.

Diese könnten beispielsweise wie folgt aussehen:

  • Sichere Verschlüsselung der Daten (keine externen Schlüssel vorhanden)
  • Transportverschlüsselung (Ende zu Ende) bei Übertragung über Drittländer
  • Vertragliche organisatorische Schutzmaßnahmen beim Datenempfänger
  • Umfassende Dokumentation des Empfängers bei Zugriffen durch Dritte (Staat bzw. Behörden) sowie Information des Datenexporteurs
  • Technische Sicherungsmaßnahmen beim Empfänger im Drittland (vertraglich regeln)

Dies sind jedoch nur wenige Beispiele für mögliche Maßnahmen. Es ist zu empfehlen, dass entsprechende Maßnahmen im Voraus im Unternehmen geplant werden (je nach Schutzbedarf), wenn absehbar ist, dass Übertragungen in Drittländer regelmäßig stattfinden werden. Man könnte z.B. einen „Maßnahmenkatalog“ erstellen, damit im Bedarfsfall nur die entsprechenden Maßnahmen (risikobasiert) ausgewählt und vereinbart werden müssen. Dies macht zwar einmalig etwas Aufwand, aber im Bedarfsfall muss „das Rad nicht immer neu erfunden werden“.

 

Datenübermittlung USA nach DSGVO

 

Datenübermittlung in die USA

 

Für die Datenübermittlung in die USA gilt es eine Besonderheit zu beachten. Eine Übermittlung von personenbezogenen Daten in die USA ist zulässig, wenn das jeweilige US-Unternehmen im Privacy-Shield gelistet ist. Dies ist eine Selbstverpflichtung der gelisteten Unternehmen, die Daten entsprechend den Vereinbarungen mit der EU zu verarbeiten. Das Privacy-Shield ist derzeit jedoch umstritten und es wird eine Überprüfung durch den EuGH erfolgen.

Für Übermittlungen an US-Unternehmen, welche nicht im Privacy-Shield gelistet sind, sind entsprechende andere Zulässigkeitsvoraussetzungen wie die Standardvertragsklauseln zu nutzen.

Der EuGH hat mit seinem Urteil vom 16.07.2020 den Privacy-Shield für unwirksam erklärt. Damit sind alle Datenübertragungen in die USA, welche sich allein auf den Privacy-Shield bezogen, neu zu bewerten.

Derzeit sind hierfür als einziger Ausweg die Standardvertragsklauseln nutzbar. Aber auch für die Datenübermittlungen in die USA sehen die Aufsichtsbehörden eine zusätzliche Prüfung der Rechtslage und ggf. weitere Maßnahmen vor.

 

Binding Corporate Rules (BCR)

 

Für die Datenübermittlung zwischen multinationalen Unternehmensgruppen können BCR eine interessante Alternative sein. Hierbei handelt es sich um  verbindliche interne Datenschutzvorschriften zwischen den einzelnen Unternehmen einer Unternehmensgruppe. Dies sieht Art. 46 Abs. 2 lit. b) i.V.m. Art. 47 DSGVO nunmehr ausdrücklich vor. Einen guten Hinweis hierzu findet man beim Hessische Beauftragten für Datenschutz und Informationsfreiheit.

Eine solche Vereinbarung ist jedoch durch die zuständige Aufsichtsbehörde zu genehmigen. Da dies eventuell mit einem erheblichen Zeitaufwand verbunden ist, sollte man vorher alle anderen Alternativen prüfen.

 

Fazit

 

Bei einer Datenübermittlung in ein Drittland sind die oben genannten Alternativen zu rüfen. Soweit keine der genannten Möglichkeiten (Art. 44 DSGVO ff.) gegeben sind, ist eine Übermittlung von personenbezogen Daten in ein Drittland NICHT zulässig.

Übermittlung in Drittländer nach DSGVO
Datenschutz Übermittling in Drittländer
Thomas Mecke - Datenschutz