Das müssen Sie beim Datentransfer ins Ausland beachten
Andere Länder, andere Datenschutzgesetze. Internationaler Datenschutz ist ein Thema, das nicht nur global agierende Konzerne betrifft. Im Gegenteil: Jede Firma, die eine Website betreibt oder Softwarelösungen amerikanischer Anbieter verwendet, ist damit konfrontiert.
Jedoch, so beobachtet Arnd Fackeldey, Geschäftsführer der Digital Compliance Consulting GmbH und langjähriger Datenschutzbeauftragter im internationalen Konzernumfeld, fällt das Bewusstsein für die damit verbundenen Herausforderungen umso geringer aus, je kleiner ein Unternehmen ist. Das kann sich rächen. Schließlich drohen seit Einführung der DSGVO hohe Bußgelder bei Datenschutzverstößen. Viele Betriebe aber wissen gar nicht, dass sie gegen den Datenschutz verstoßen.
Rechtliche Grundlagen für den Datentransfer in andere Länder
Die gesetzlichen Vorgaben für den internationalen Datenschutz unterscheiden sich danach, zwischen welchen Ländern Daten transferiert werden. Im Folgenden erhalten Sie einen Überblick darüber, welche Vorgaben beim Datenaustausch innterhalb der EU, der Datenübermittlung in Drittländer sowie dem Datentransfer in die USA gelten.
Datenaustausch innerhalb der EU
Innerhalb der EU schafft die seit 2018 geltende EU-Datenschutzgrundverordnung (DSGVO) einen einheitlichen Rahmen.
Allerdings gibt es auch in diesem Fall die berühmten Ausnahmen von der Regel. Im Falle einiger Länder war das Resultat in der Vergangenheit, so Arnd Fackeldey, eine „weichere Auslegung der DSGVO“, die als „Tür“ für den Datentransfer in Drittstaaten verwendet wurde, eine Praxis, die in der jüngsten Vergangenheit zu Konflikten führte.
Datenübermittlung in Drittländer
Staaten außerhalb der EU lassen sich in zwei Gruppen einteilen:
- Sichere Drittländer:
Sichere Drittländer laut DSGVO sind Staaten, denen die Europäische Kommission ein angemessenes Datenschutzniveau bescheinigt. Das heißt, dass nationale Gesetze ein Datenschutzniveau gewährleisten, das mit dem innerhalb der EU vergleichbar ist. Zu den sicheren Drittstaaten gehören aktuell zum Beispiel Japan, die Schweiz, Neuseeland, Argentinien und Kanada.
- Unsichere Drittländer:
Ein Datentransfer in unsichere Drittländer ist nur unter bestimmten Sicherheitsvorkehrungen erlaubt. Unternehmen können dabei zum Beispiel auf die Standardvertragsklauseln zurückgreifen, Musterverträge der EU für die Datenübermittlung an Auftragsverarbeiter im Drittland und die Übermittlung zwischen zwei selbstständigen verantwortlichen Stellen. Mit diesen Verträgen verpflichtet sich der Auftragsverarbeiter oder Geschäftspartner, ein Datenschutzniveau einzuhalten, das den Ansprüchen der DSGVO entspricht. Allerdings sorgen auch Standardvertragsklauseln allein nicht immer für Rechtssicherheit bei der Datenübertragung in Drittländer.
Datentransfer nach UK (Brexit)
Infolge des Brexit und mit Wirkung vom 01. Januar 2021 schied das Vereinigte Königreich (UK) aus der EU aus. Daher gilt seitdem in dem Vereinigten Königreich die "EU-DSGVO" nicht mehr zum Schutz der Rechte und Freiheiten von EU-Bürgerinnen und -Bürgern. Am 28. Juni 2021 verabschiedete die EU-Kommission deshalb einen Angemessenheitsbeschluss für Transfers personenbezogener Daten nach UK auf Basis der in UK geltenden UK GDPR 2018. Allerdings hat die britische Regierung eine Aktualisierung dieses Gesetzes zum Datenschutz mit dem Titel "Data Protection, Privacy and Electronic Communication" veröffentlicht, welches einige Änderungen zum aktuellen Regelwerk vorsieht. Dass diese Änderungen Auswirkungen auf den bestehenden Angemessenheitsbeschluss haben, ist zu vermuten. Offen bleibt die Frage, wie es zukünftig mit dem Datentransfer nach UK weitergeht.
Datentransfer in die USA
Eine besondere Rolle für den internationalen Datenaustausch spielen die USA. Schließlich handelt es sich bei großen IT- und Internetkonzernen wie Google oder Microsoft um US-amerikanische Unternehmen. Das gleiche gilt für viele einschlägige Newsletter-Dienste oder gar Cloud-Anbieter. Datentransfers zwischen Deutschland und den USA sind damit gang und gäbe.
Der Haken daran: Auch die USA stellen aus europäischer Sicht ein unsicheres Drittland dar. Um dieses Problem zu lösen, gab es in der Vergangenheit zunächst das Safe-Harbor-Abkommen und dann EU-US Privacy Shield. Diese Regelungen zwischen der EU und den USA ermöglichten die Übermittlung personenbezogener Daten, bis der Europäische Gerichtshof jüngst urteilte, dass sie nicht ausreichen („Schremms I“ und „Schremms II“).
Auch die erwähnten EU-Standardvertragsklauseln bieten keine Absicherung für den Datentransfer in die USA, denn deutsche Unternehmen müssen davon ausgehen, dass amerikanische Unternehmen sie gar nicht einhalten können, auch wenn sie wollen.
Als neue Lösung für das Problem gilt nun die "Executive Order to Implement the EU-US Data Privacy Framework" die der US-Präsident Biden am 7. Oktober 2022 unterzeichnete. Dieses Dekret liegt nun der EU-Kommission zur Prüfung vor, ob hierdurch ein der DSGVO angemessenes Datenschutzniveau gewährleistet werden kann. Während einige Datenschützer:innen durchaus positiv auf den Erlass reagieren und es für einen hoffnungsvollen Nachfolger des Privacy Shields halten, zeigen sich andere, unter anderem der österreichische Datenschutzaktivist Max Schrems skeptisch.
Somit stellt sich jedoch für Unternehmen die Frage: Wie lassen sich Datenschutzverstöße bei aktuellen Transfers in die USA und zukünftig weiterhin in alle anderen Drittländer vermeiden?
Tipps für internationalen Datenschutz
Für Arnd Fackeldey steht fest: „Wenn klar ist, dass Rechtssysteme beim Datenschutz aufeinanderprallen, sollten Unternehmen so viel tun wie möglich.“ Das heißt zum Beispiel:
- Verschlüsselung: Eine Verschlüsselung schützt personenbezogene Daten auf dem Transportweg und bei der Speicherung.
- Server in Europa: Daten sollten nach Möglichkeit nur in Rechenzentren in Europa gespeichert werden. Hundertprozentige Sicherheit bietet dies allein nach Arnd Fackeldey allerdings nicht: „Das Problem ist, dass Daten dann vielleicht in Datenzentren in Europa liegen, aber der Administrator oder die Administratorin aus einem unsicheren Drittland darauf zugreifen kann, der Back-up-Server in einem unsicheren Drittstaat liegt oder Teilmengen von Daten ausgelagert werden.“ Deshalb sei es zusätzlich wichtig, dass sich der Administrationsservice in einem Land mit anerkanntem Datenschutzniveau befinde.
- Rechtsmittel ausschöpfen: Deutsche Unternehmen sollten sich vergewissern, dass Auftragsverarbeiter in einem unsicheren Drittstaat wie den USA alle Rechtsmittel ausschöpfen, um die Herausgabe personenbezogener Daten an Behörden ihres Heimatlandes abzuwenden.
- Alternativen suchen: In einigen Fällen besteht die beste Lösung darin, auf andere Dienste auszuweichen. Vielleicht gibt es eine Alternative zu dem aktuell genutzten Internetdienst, die mehr kostet, dafür aber Rechenzentren in Europa einsetzt.
Fast alle Unternehmen übermitteln über ihre eingesetzte Software unbemerkt Daten in Drittländer. Handelt es sich um personenbezogene Daten, bedeutet das häufig einen Verstoß gegen die Datenschutzverordnung. Eine Patentlösung gibt es nicht, doch Unternehmen können die Datennutzung zumindest so sicher wie möglich gestalten.
Große Konzerne mit Tochtergesellschaften in anderen Ländern haben eine weitere Option: Sie können interne Unternehmensregeln (Binding Corporate Rules, kurz: BCR) aufstellen, die festhalten, dass ausländische Tochtergesellschaften das europäische Datenschutzrecht einhalten. Arnd Fackeldey spricht in diesem Zusammenhang von einem „Datenschutz-Schutzschirm“. Auch dieser stoße aber an seine Grenzen, wenn die unternehmensinterne Regelung mit Regelungen in anderen Ländern in Konflikt gerate.
Entscheidend ist, auf dem Laufenden zu bleiben
Letztendlich gilt: Wenn Unternehmen alle Möglichkeiten ausschöpfen, um für maximale Sicherheit zu sorgen, haben sie gute Chancen, den Missbrauch personenbezogener Daten zu vermeiden und nicht ins Visier von Aufsichtsbehörden zu gelangen.
Das setzt voraus, am Ball zu bleiben. Arnd Fackeldey betont: „Das Thema internationaler Datenschutz ist nichts, was ich heute abschließen kann. Das muss ich kontinuierlich beobachten. Denn es gibt immer wieder neue Entwicklungen und Änderungen. Dazu zählen beispielsweise auch die vom EU-Gerichtshof (EuGH) gefällten Urteile zu den sogenannten Schrems I und II Fällen und die Empfehlungen des Europäischen Datenschutzrates (EDPB)." So oder so gibt es keine hundertprozentige Sicherheit im internationalen Datenschutz, heute nicht und vermutlich in Zukunft genauso wenig.
Auswirkungen des Schrems II Urteil auf die Praxis
Bis zum 16.7.2020 galt für Unternehmen bei der Übermittlung von personenbezogenen Daten in die USA das „EU-US Privacy Shield“-Abkommen. Dann kam das sogenannte „Schrems-II-Urteil“, durch die der EuGH dieses Abkommen für ungültig erklärt hat.
Damit liegt es in der Verantwortung des Datenexporteurs, zu prüfen, ob die Rechte der betroffenen Personen im Drittland ein gleichwertiges Schutzniveau wie in der EU genießen. Gegebenenfalls muss man mit zusätzlichen Maßnahmen sicherstellen, dass das Schutzniveau dort dem der EU gleichwertig ist. Ist dies nicht möglich, darf die Datenübermittlung nicht erfolgen. Details erfahren Sie in unserem Webinar: Internationaler Datentransfer gem. Art.44 ff. DSGVO – Datenschutz bei der Übermittelung personenbezogener Daten in Drittländer.
Unsere Empfehlungen für Sie
Ihre Ansprechpartnerin
Produktmanagerin Datenschutz und Informationsmanagement
II. Hagen 7, 45127 Essen
Tel.: +49 201 31955-42
Fax: +49 201 31955-70
mbraunschweig@tuev-nord.de