Datenübermittlung in Drittländer nach DSGVO

 

Viele Unternehmen müssen personenbezogene Daten in andere Länder übermitteln. Doch unter welchen Voraussetzungen ist dies unter der DSGVO eigentlich zulässig? Hier soll ein grober Überblick über die vorhandenen Möglichkeiten nach der DSGVO gegeben werden.

Die alles entscheidende Frage ist hier, in weches Land die Datenübermittlung erfolgen soll. Soweit es sich um einen Mitgliedsstaat der EU bzw. EWR handelt, ist eine Datenübermittlung unproblematisch. Dies ist gem. Art. 1 Abs. 3 DSGVO im Rahmen des freien Datenverkehrs innerhalb der EU/EWR zulässig.

Bei Ländern, welche nicht Mitglied in der EU bzw. des EWR sind, handelt es sich um einen sogenannten Drittstaat. Hier sind gem. der DSGVO einige Vorschriften zu beachten.

 

Datenübermittlung in Drittländer

 

Angemessenheitsbeschluss der EU-Kommission

 

Bei einer beabsichtigten Datenübermittlung in ein Drittland sollte zuerst überprüft werden, ob ggf. ein Angemessenheitsbeschluss der EU-Kommission vorliegt. Dies bedeutet, dass die Kommission die hier aufgeführten Länder in Hinblick auf das dortige Datenschutzniveau überprüft hat und eine Vergleichbarkeit mit dem Datenschutzniveau der EU/EWR festgestellt hat.

Eine Datenübermittlung in ein Drittland für welches ein EU-Angemessenheitsbeschluss besteht ist somit ohne weitere Genehmigung zulässig.

 

Standardvertragsklauseln

 

Für den Fall, dass kein EU-Angemessenheitsbeschluss vorliegt muss eine andere Möglichkeit für die Datenübermittlung gefunden werden. Eine sehr wichtige Rolle spielen hier die Standarddatenschutzklauseln bzw. Standardvertragsklauseln gem. Art. 46 DSGVO.

Dieses sind von der EU-Kommisssion festgelegte Regeln für die Datenübermittlung in Drittländer. Die entsprechenden Regelungen bzw. Verträge sind direkt von der Seite der EU-Kommission herunterzuladen. Eine Änderung an den Verträgen ist NICHT zulässig.

Die entsprechenden Verträge sind direkt mit dem Unternehmen im Drittland zu schließen.

Die Standardvertragsklauseln liegen in 3 Versionen (sog. Sets) vor:

Die Sets I & II sind für die Datenübermittlung zwischen zwei Verantwortlichen bestimmt. Das Set III ist für eine Datenübermittlung an einen Auftragsverarbeiter bestimmt. Hier ist jedoch zu beachten, dass der dazugehörige Auftragsverarbeitungsvertrag nicht vergessen werden darf. Die Vorgaben gem. Art. 28 DSGVO müssen ebenso eingehalten werden.

Die Unterschiede zwischen den Sets I & II liegen in den zu beachtenden Richtlinien und in den Haftungsregelungen. Hier sollte man sich von einem Juristen bzw. einem entsprechenden Anwalt beraten lassen, um die passende Version für die jeweiligen Gegebenheiten auszuwählen.

 

Datenübermittlung USA nach DSGVO

 

Datenübermittlung in die USA

 

Für die Datenübermittlung in die USA gilt es eine Besonderheit zu beachten. Eine Übermittlung von personenbezogenen Daten in die USA ist zulässig, wenn das jeweilige US-Unternehmen im Privacy-Shield gelistet ist. Dies ist eine Selbstverpflichtung der gelisteten Unternehmen, die Daten entsprechend den Vereinbarungen mit der EU zu verarbeiten. Das Privacy-Shield ist derzeit jedoch umstritten und es wird eine Überprüfung durch den EuGH erfolgen.

Für Übermittlungen an US-Unternehmen, welche nicht im Privacy-Shield gelistet sind, sind entsprechende andere Zulässigkeitsvoraussetzungen wie die Standardvertragsklauseln zu nutzen.

Der EuGH hat mit seinem Urteil vom 16.07.2020 den Privacy-Shield für unwirksam erklärt. Damit sind alle Datenübertragungen in die USA, welche sich allein auf den Privacy-Shield bezogen, neu zu bewerten.

Derzeit sind hierfür als einziger Ausweg die Standardvertragsklauseln nutzbar. Aber auch dies ist ist wahrscheinlich eine sehr unsichere Alternative. Der Privacy-Shield wurde für unwirksam erklärt, da der Staat in den USA Zugriff auf viele Daten hat und dies oftmals nicht nach den vom EuGH verlangten rechtsstaatlichen Rahmenbedingungen erfolgt. Genau hier liegt das Problem der Standardvertragsklauseln. Auch hiermit kann der Zugriff durch Behörden nicht ausgeschlossen werden. Somit ist auch hier ggf. mit Problemen zu rechnen.

Der Europäische Datenschutzausschuss (EDSA) hat ein FAQ-Dokument zu den gerade drängenden Fragen in Sachen Datentransfer in Drittländer herausgegeben.

Da vom EuGH-Urteil tausende Unternehmen betroffen sind, ist anzunehmen, dass die Politik hier schnell eine Lösung schaffen muss.

Bis zu einer neuen Regelung, ist jedoch kein sicherer Weg für eine Datenübertragung in die USA zu empfehlen.

 

Binding Corporate Rules (BCR)

 

Für die Datenübermittlung zwischen multinationalen Unternehmensgruppen können BCR eine interessante Alternative sein. Hierbei handelt es sich um  verbindliche interne Datenschutzvorschriften zwischen den einzelnen Unternehmen einer Unternehmensgruppe. Dies sieht Art. 46 Abs. 2 lit. b) i.V.m. Art. 47 DSGVO nunmehr ausdrücklich vor. Einen guten Hinweis hierzu findet man beim Hessische Beauftragten für Datenschutz und Informationsfreiheit.

Eine solche Vereinbarung ist jedoch durch die zuständige Aufsichtsbehörde zu genehmigen. Da dies eventuell mit einem erheblichen Zeitaufwand verbunden ist, sollte man vorher alle anderen Alternativen prüfen.

 

Fazit

 

Bei einer Datenübermittlung in ein Drittland sind die oben genannten Alternativen zu rüfen. Soweit keine der genannten Möglichkeiten (Art. 44 DSGVO ff.) gegeben sind, ist eine Übermittlung von personenbezogen Daten in ein Drittland NICHT zulässig.

Übermittlung in Drittländer nach DSGVO

Thomas Mecke - Datenschutz