14. Oktober 2021

Die neuesten Entwicklungen zu Datentransfers in Drittländer

Beim internationalen Datentransfer handelt es sich um eine komplexe Situation, die Unternehmen regelmäßig vor Herausforderungen stellt. Dazu trägt bei, dass die Rechtslage in stetiger Bewegung ist und sich auch jüngst noch einmal grundlegend verändert hat. Seitdem der Europäische Gerichtshof (EuGH) in der Rechtssache Schrems-II das Datenschutzniveau in den USA im Jahr 2020 für nicht angemessen beurteilt und kürzlich die EU-Kommission neue Standardvertragsklauseln (SCC) beschlossen hat, besteht für Unternehmen dringender Handlungsbedarf. In diesem Lichte fasst der Beitrag für Sie die neuesten Entwicklungen für Unternehmen zu Datentransfers in Drittländer zusammen.

Ausgangslage

Datenübermittlungen in Länder außerhalb der EU – sogenannte Drittländer – benötigen eine rechtliche Grundlage. Dafür sieht die Datenschutzgrundverordnung (DSGVO) in Artikel 44 – 49 besondere Regeln vor, die neben den sonstigen Regeln der DSGVO betrachtet werden. Es muss geprüft werden, ob bei dem Empfänger im Drittland ein angemessenes Schutzniveau für die Daten besteht. Dafür hat die Europäische Kommission nach Art. 45 DSGVO vorrangig die Möglichkeit einen Angemessenheitsbeschluss zu fassen. Mit einem solchen Beschluss stellt sie fest, dass die Rechtslage im Drittland ein Datenschutzniveau aufweist, das mit dem der EU vergleichbar ist. Liegt kein Angemessenheitsbeschluss vor, besteht die Möglichkeit des Abschlusses von Standardvertragsklauseln bzw. Standard Contractual Clauses (SCC) oder verbindlichen Datenschutzvorschriften bzw. Binding Corporate Rules (BCR), Art. 46 Abs. 2 lit. c, b DSGVO. Zuletzt ist auch die Rechtgrundlage der Einwilligung und der Vertragserfüllung, Art. 49 DSGVO, möglich – stellt aber eher die Ausnahme dar.

Die neusten Entwicklungen

Angemessenheitsbeschluss

Die Europäische Kommission trifft regelmäßig Angemessenheitsentscheidungen, mit denen sie befindet, dass personenbezogene Daten von EU-Mitgliedstaaten und den Mitgliedstaaten des Europäischen Wirtschaftsraums ohne weitere Anforderungen an dieses Drittland übermittelt werden können. Die Europäische Kommission veröffentlicht eine Liste ihrer Angemessenheitsbeschlüsse auf ihrer Website. Solche Beschlüsse liegen aktuell vor für Andorra, Argentinien, Kanada, die Färöer-Inseln, Guernsey, Israel, die Isle of Man, Japan, Jersey, die Schweiz und Uruguay.

Am 28. Juni 2021 hat die Europäische Kommission nun auch Großbritannien als sicheres Drittland anerkannt. Fraglich ist allerdings, wie lange dieser Status als sicheres Drittland gelten wird: Die britische Regierung plant eine eigenständige Datenschutzpolitik und verkündete am 26. August 2021 wesentliche gesetzliche Änderungen im Datenschutz. So sollen zum Beispiel die bislang ins nationale Recht übernommenen Regelungen der DSGVO durch eigene Vorschriften abgelöst werden. Der konkrete Entwurf wird alsbald erwartet – sodann wird dieser von der EU-Kommission geprüft werden. Ist eine Vereinbarkeit nicht gegeben, ist wohl die Aussetzung oder die Beendigung des Angemessenheitsbeschlusses zu erwarten.

Darüber hinaus hat die Europäische Kommission jüngst bekannt gegeben, dass Südkorea nun als sicheres Datenschutzland gemäß Angemessenheitsbeschluss der EU-Kommission gilt.
Die USA gehören seit dem am 16.07.2020 ergangenen Schrems-II Urteil (C-311-18) nicht mehr zu den sicheren Drittländern. Details zu der Entscheidung finden Sie hier.


Mehr Informationen zum Thema:


Standardvertragsklauseln

Im Juni 2021 hat die Europäische Kommission im Beschluss 2021/914/EU neue Standardvertragsklauseln angenommen. Diese schaffen seit dem 27. Juni 2021 eine neue Rechtsgrundlage, welche bei EU-weiten sowie internationalen Datentransfers angewendet werden können. Dabei hat die Europäische Kommission auch die neuen Anforderungen der DSGVO sowie Vorgaben aus dem Schrems-II Urteil berücksichtigt. Die Klauseln berücksichtigen auch die gemeinsame Stellungnahme des Europäischen Datenschutzausschusses und des Europäischen Datenschutzbeauftragten, die Rückmeldungen der Interessenträger im Rahmen einer breit angelegten öffentlichen Konsultation sowie die Stellungnahme der Vertreter der Mitgliedstaaten.

Die wichtigsten Änderungen sind:

  • Ein neuer modularer Aufbau ermöglicht eine flexible Vertragsgestaltung in verschiedenen Konstellationen;
  • Begrifflichkeiten von Datenexporteur:in und Datenimporteur:in sind jetzt offener gestaltet;
  • Prüfung des Datenschutzniveaus für Datenexporteure ist eine explizite Verpflichtung;
  • Ausweitung der Anwendungsfälle: Vier unterschiedliche Module, von denen eines ausgewählt werden muss;
  • optionale Kopplungsmöglichkeit (Klausel 7): Beitritt zu den Standardvertragsklauseln durch weitere Parteien;
  • Haftung für Verletzung von Betroffenenrechten (Klausel 12 lit. b);
  • Umsetzung des EuGH-Urteils Schrems-II in Klauseln 14 und 15.

Zu beachten ist, dass die neuen Klauseln Datenübermittler:innen nicht von der Verpflichtung entbinden, das Schutzniveau im Drittland – insbesondere mit Blick auf Datenzugriffsmöglichkeiten der Behörden im Drittland – zu überprüfen.

Nunmehr (seit dem 27.09.2021) müssen bei allen neu geschlossenen Verträgen die neuen Standardvertragsklauseln berücksichtigt werden; bis zum 27.12.2022 müssen Datenübermittlungsverträge, die unter Verwendung der Vorgänger-Standardvertragsklauseln abgeschlossen worden sind, durch die Neuen ersetzt werden.

Fragebögen von Datenschutzbehörden

Seit dem 1. Juni 2021 verschicken Datenschutzbehörden länderübergreifend Fragebögen an Unternehmen, um Datenübermittlungen durch Unternehmen in Drittstaaten zu überprüfen. Ziel ist die breite Durchsetzung der vom EuGH in seiner Schrems-II Entscheidung festgelegten Anforderungen.

Unternehmen werden durch an der Kontrolle teilnehmende Behörden auf der Basis eines gemeinsamen Fragenkatalogs angeschrieben. Es gibt unterschiedliche Fragebögen für die relevantesten Dienstleistungen wie zum Einsatz von Dienstleistern zum E-Mail-Versand, zum Einsatz von Dienstleistern zum Hosting von Internet-Seiten, zum Einsatz von Webtracking, zum Einsatz von Dienstleistern zur Verwaltung von Bewerberdaten sowie zum konzerninternen Austausch von Kundendaten und Daten der Beschäftigten. Die einzelnen Fragebögen finden Sie hier.

Der EuGH hat in seiner Schrems-II Entscheidung klar formuliert, dass die Behörden unzulässige Transfers „aussetzen oder verbieten“ sollen. Doch gleichzeitig sind sich die Aufsichtsbehörden der besonderen Herausforderungen, die das EuGH-Urteil zu Schrems-II für die Unternehmen in Deutschland und Europa mit sich bringt, bewusst. Laut eigenen Angaben stehen sie deshalb auch im weiteren Verlauf des Prüfungsverfahrens zur Verfügung, soweit dies nach Maßgabe der vorhandenen Kapazitäten möglich ist. Trotzdem sollten Unternehmen sich nicht darauf verlassen und die entsprechenden Vorgaben bestmöglich umsetzen.

Fazit

Abschließend ist festzuhalten, dass die stetigen Entwicklungen im internationalen Datentransfer neben mehr Klarheit auch immer neuen Handlungsbedarf für Unternehmen schaffen.

Unternehmen sollten stets einen Blick auf aktuelle Entwicklungen haben, etwa auf die Liste der Angemessenheitsbeschlüsse der Europäischen Kommission, weitere Reaktionen der Aufsichtsbehörden oder möglichen gerichtlichen Entscheidungen bezüglich Datentransfers.

Newsletter

Bleiben Sie immer up to date in Sachen Datenschutz!