22.04.2022
Die neuesten Entwicklungen zu Datentransfers in Drittländer
Der Beitrag fasst für Sie die neuesten Entwicklungen für Unternehmen zu Datentransfers in Drittländer zusammen. Was gibt es zu beachten?
Dr. Philipp Siedenburg
Director Datenschutz
Beim internationalen Datentransfer handelt es sich um eine komplexe Situation, die Unternehmen regelmäßig vor Herausforderungen stellt. Dazu trägt bei, dass die Rechtslage in stetiger Bewegung ist und sich auch jüngst noch einmal grundlegend verändert hat. Seitdem der Europäische Gerichtshof (EuGH) in der Rechtssache Schrems-II das Datenschutzniveau in den USA im Jahr 2020 für nicht angemessen beurteilt und kürzlich die EU-Kommission neue Standardvertragsklauseln (SCC) beschlossen hat, besteht für Unternehmen dringender Handlungsbedarf. In diesem Lichte fasst der Beitrag für Sie die neuesten Entwicklungen für Unternehmen zu Datentransfers in Drittländer zusammen.
Ausgangslage
Datenübermittlungen in Länder außerhalb der EU – sogenannte Drittländer – benötigen eine rechtliche Grundlage. Dafür sieht die Datenschutz-Grundverordnung (DSGVO) in Artikel 44 – 49 besondere Regeln vor, die neben den sonstigen Regeln der DSGVO betrachtet werden. Es muss geprüft werden, ob bei dem Empfänger im Drittland ein angemessenes Schutzniveau für die Daten besteht. Dafür hat die Europäische Kommission nach Art. 45 DSGVO vorrangig die Möglichkeit einen Angemessenheitsbeschluss zu fassen. Mit einem solchen Beschluss stellt sie fest, dass die Rechtslage im Drittland ein Datenschutzniveau aufweist, das mit dem der EU vergleichbar ist. Liegt kein Angemessenheitsbeschluss vor, besteht die Möglichkeit des Abschlusses von Standardvertragsklauseln bzw. Standard Contractual Clauses (SCC) oder verbindlichen Datenschutzvorschriften bzw. Binding Corporate Rules (BCR), Art. 46 Abs. 2 lit. c, b DSGVO. Zuletzt ist auch die Rechtgrundlage der Einwilligung und der Vertragserfüllung, Art. 49 DSGVO, möglich – stellt aber eher die Ausnahme dar.
Kostenfreie Expertise im E-Mail-Postfach
Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.
Die neusten Entwicklungen
Angemessenheitsbeschluss
Die Europäische Kommission trifft regelmäßig Angemessenheitsentscheidungen, mit denen sie befindet, dass personenbezogene Daten von EU-Mitgliedstaaten und den Mitgliedstaaten des Europäischen Wirtschaftsraums ohne weitere Anforderungen an dieses Drittland übermittelt werden können. Die Europäische Kommission veröffentlicht eine Liste ihrer Angemessenheitsbeschlüsse auf ihrer Website. Solche Beschlüsse liegen aktuell vor für Andorra, Argentinien, Kanada, die Färöer-Inseln, Guernsey, Israel, die Isle of Man, Japan, Jersey, die Schweiz und Uruguay.
Am 28. Juni 2021 hat die Europäische Kommission nun auch Großbritannien als sicheres Drittland anerkannt. Fraglich ist allerdings, wie lange dieser Status als sicheres Drittland gelten wird: Die britische Regierung plant eine eigenständige Datenschutzpolitik und verkündete am 26. August 2021 wesentliche gesetzliche Änderungen im Datenschutz. So sollen zum Beispiel die bislang ins nationale Recht übernommenen Regelungen der DSGVO durch eigene Vorschriften abgelöst werden. Der konkrete Entwurf wird alsbald erwartet – sodann wird dieser von der EU-Kommission geprüft werden. Ist eine Vereinbarkeit nicht gegeben, ist wohl die Aussetzung oder die Beendigung des Angemessenheitsbeschlusses zu erwarten.
Darüber hinaus hat die Europäische Kommission jüngst bekannt gegeben, dass Südkorea nun als sicheres Datenschutzland gemäß Angemessenheitsbeschluss der EU-Kommission gilt.
Die USA gehören seit dem am 16.07.2020 ergangenen Schrems-II Urteil (C-311-18) nicht mehr zu den sicheren Drittländern. Details zu der Entscheidung finden Sie hier.
Ihre Strategie für den besten Schutz
Die Grundlage jeder guten Geschäftsbeziehung ist Vertrauen. Stärken Sie die Beziehung zu Ihren Kunden mit unserer Expertise im Datenschutz und der Informationssicherheit. Damit sichern Sie Ihrer Unternehmung einen starken Wettbewerbsvorteil und können sich voll auf Ihr Geschäft konzentrieren.
Standardvertragsklauseln
Im Juni 2021 hat die Europäische Kommission im Beschluss 2021/914/EU neue Standardvertragsklauseln angenommen. Diese schaffen seit dem 27. Juni 2021 eine neue Rechtsgrundlage, welche bei EU-weiten sowie internationalen Datentransfers angewendet werden können. Dabei hat die Europäische Kommission auch die neuen Anforderungen der DSGVO sowie Vorgaben aus dem Schrems-II Urteil berücksichtigt. Die Klauseln berücksichtigen auch die gemeinsame Stellungnahme des Europäischen Datenschutzausschusses und des Europäischen Datenschutzbeauftragten, die Rückmeldungen der Interessenträger im Rahmen einer breit angelegten öffentlichen Konsultation sowie die Stellungnahme der Vertreter der Mitgliedstaaten.
Die wichtigsten Änderungen sind:
- Ein neuer modularer Aufbau ermöglicht eine flexible Vertragsgestaltung in verschiedenen Konstellationen;
- Begrifflichkeiten von Datenexporteur:in und Datenimporteur:in sind jetzt offener gestaltet;
- Prüfung des Datenschutzniveaus für Datenexporteure ist eine explizite Verpflichtung;
- Ausweitung der Anwendungsfälle: Vier unterschiedliche Module, von denen eines ausgewählt werden muss;
- optionale Kopplungsmöglichkeit (Klausel 7): Beitritt zu den Standardvertragsklauseln durch weitere Parteien;
- Haftung für Verletzung von Betroffenenrechten (Klausel 12 lit. b);
- Umsetzung des EuGH-Urteils Schrems-II in Klauseln 14 und 15.
Zu beachten ist, dass die neuen Klauseln Datenübermittler:innen nicht von der Verpflichtung entbinden, das Schutzniveau im Drittland – insbesondere mit Blick auf Datenzugriffsmöglichkeiten der Behörden im Drittland – zu überprüfen.
Nunmehr (seit dem 27.09.2021) müssen bei allen neu geschlossenen Verträgen die neuen Standardvertragsklauseln berücksichtigt werden; bis zum 27.12.2022 müssen Datenübermittlungsverträge, die unter Verwendung der Vorgänger-Standardvertragsklauseln abgeschlossen worden sind, durch die Neuen ersetzt werden.
Fragebögen von Datenschutzbehörden
Seit dem 1. Juni 2021 verschicken Datenschutzbehörden länderübergreifend Fragebögen an Unternehmen, um Datenübermittlungen durch Unternehmen in Drittstaaten zu überprüfen. Ziel ist die breite Durchsetzung der vom EuGH in seiner Schrems-II Entscheidung festgelegten Anforderungen.
Unternehmen werden durch an der Kontrolle teilnehmende Behörden auf der Basis eines gemeinsamen Fragenkatalogs angeschrieben. Es gibt unterschiedliche Fragebögen für die relevantesten Dienstleistungen wie zum Einsatz von Dienstleistern zum E-Mail-Versand, zum Einsatz von Dienstleistern zum Hosting von Internet-Seiten, zum Einsatz von Webtracking, zum Einsatz von Dienstleistern zur Verwaltung von Bewerberdaten sowie zum konzerninternen Austausch von Kundendaten und Daten der Beschäftigten.
Der EuGH hat in seiner Schrems-II Entscheidung klar formuliert, dass die Behörden unzulässige Transfers „aussetzen oder verbieten“ sollen. Doch gleichzeitig sind sich die Aufsichtsbehörden der besonderen Herausforderungen, die das EuGH-Urteil zu Schrems-II für die Unternehmen in Deutschland und Europa mit sich bringt, bewusst. Laut eigenen Angaben stehen sie deshalb auch im weiteren Verlauf des Prüfungsverfahrens zur Verfügung, soweit dies nach Maßgabe der vorhandenen Kapazitäten möglich ist. Trotzdem sollten Unternehmen sich nicht darauf verlassen und die entsprechenden Vorgaben bestmöglich umsetzen.
Neuer „Transatlantischer Datenschutzrahmen“
Die Europäische Kommission gab gemeinsam mit den Vereinigten Staaten von Amerika am 25.03.2022 in einer Pressemitteilung bekannt, dass nach über einem Jahr intensiver Verhandlungen eine Einigung über einen sogenannten „Transatlantischen Datenschutzrahmen“ (Trans-Atlantic Data Privacy Framework) erzielt werden konnte.
Bislang handelt es sich hierbei allerdings lediglich um die politische Ankündigung, ein entsprechendes Abkommen fassen zu wollen. Es fehlt aktuell noch an der tatsächlichen Umsetzung in Rechtstexte, die anschließend auch von beiden Seiten angenommen werden müssten. So sollen die USA die Selbstverpflichtungen aus dem Abkommen in „Executive Orders“ bzw. Durchführungsverordnungen überführen, die anschließend der Europäischen Kommission bei der Bewertung bzw. Fassung eines eines Angemessenheitsbeschlusses i.S.d. Art. 45 DSGVO dienen soll.
Das neue Abkommen soll seitens der USA den, insbesondere auch im Rahmen des Schrems-II-Urteils des EuGH kritisierten, Zugriff der amerikanischen Nachrichtendienste auf personenbezogene Daten von Betroffenen im Europäischen Wirtschaftstraum (EWR) adressieren. So sollen seitens der USA folgende konkrete Maßnahmen ergriffen werden:
- Stärkung der Privatsphäre und der Freiheitsrechte bei Aktivitäten der sog. signalerfassenden Aufklärung (Gewinn von Erkenntnissen aus elektromagnetischen Ausstrahlungen mit und ohne Kommunikationsinhalt, i.d.R. durch Nachrichtendienste)
- Neuer, unabhängiger Rechtmittelmechanismus bzgl. unrechtmäßiger Aktivitäten der Nachrichtendienste für Betroffene im EWR
- Strenge, mehrstufige Aufsicht bzgl. signalerfassender Aufklärung
Das neue Abkommen könnte den rechtlichen Rahmen für die Übermittlung von personenbezogenen Daten in die USA erheblich vereinfachen. Es bleibt allerdings auch bei einem tatsächlichen Zustandekommen eines neuen Rechtsrahmens abzuwarten, wie sich der EuGH in den wohl zwangsläufig zu erwartenden Verfahren gegen einen neuen Angemessenheitsbeschluss positionieren wird.
Fazit
Abschließend ist festzuhalten, dass die stetigen Entwicklungen im internationalen Datentransfer neben mehr Klarheit auch immer neuen Handlungsbedarf für Unternehmen schaffen.
Unternehmen sollten stets einen Blick auf aktuelle Entwicklungen haben, etwa auf die Liste der Angemessenheitsbeschlüsse der Europäischen Kommission, weitere Reaktionen der Aufsichtsbehörden oder möglichen gerichtlichen Entscheidungen bezüglich Datentransfers.
Weitere Neuigkeiten
13.11.2024
IT Risikomanagement: Risiken identifizieren, bewerten und steuern
Datenverlust, Cyberangriffe oder Systemausfälle können den Geschäftsbetrieb massiv beeinträchtigen und Vertrauen zerstören. Wenn Sie als Unternehmensinhaber Verantwortung für IT-Infrastrukturen tragen, wissen Sie: Die richtige Strategie zur Absicherung Ihrer IT-Systeme ist entscheidend. Unser Beitrag führt Sie durch alle Fragen zum IT Risikomanagement und erklärt welche Rolle das für Ihre IT-Sicherheit spielt.
Weiterlesen … IT Risikomanagement: Risiken identifizieren, bewerten und steuern
22.10.2024
Verzeichnis von Verarbeitungstätigkeiten (VVT) einfach erklärt – mit Leitfaden & Checkliste
Wer muss ein Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellen? Wie wird er aufgebaut? Wie oft muss das VVT aktualisiert und überprüft werden? In welcher Form und Sprache muss das VVT geführt werden? Eine Übersicht mit Checklisten und Tipps.
08.10.2024
Externer Informationssicherheitsbeauftragte (ISB): Aufgaben, Vorteile & Leistungen
- Ein externer Informationssicherheitsbeauftragter (ISB) kann dabei helfen, Bedrohungen zu kontrollieren und Sicherheitsstrategien zu optimieren.
- Er bietet unabhängige Expertise und nimmt vielfältige Aufgaben wahr, um die Einhaltung der Informationssicherheit zu gewährleisten.
- In unserem Beitrag erklären wir, welche Vorteile die Bestellung eines externen ISB hat.
Weiterlesen … Externer Informationssicherheitsbeauftragte (ISB): Aufgaben, Vorteile & Leistungen