(Dieser Beitrag wurde am 22.04.2022 aktualisiert)

Beim internationalen Datentransfer handelt es sich um eine komplexe Situation, die Unternehmen regelmäßig vor Herausforderungen stellt. Dazu trägt bei, dass die Rechtslage in stetiger Bewegung ist und sich auch jüngst noch einmal grundlegend verändert hat. Seitdem der Europäische Gerichtshof (EuGH) in der Rechtssache Schrems-II das Datenschutzniveau in den USA im Jahr 2020 für nicht angemessen beurteilt und kürzlich die EU-Kommission neue Standardvertragsklauseln (SCC) beschlossen hat, besteht für Unternehmen dringender Handlungsbedarf. In diesem Lichte fasst der Beitrag für Sie die neuesten Entwicklungen für Unternehmen zu Datentransfers in Drittländer zusammen.

Ausgangslage

Datenübermittlungen in Länder außerhalb der EU – sogenannte Drittländer – benötigen eine rechtliche Grundlage. Dafür sieht die Datenschutzgrundverordnung (DSGVO) in Artikel 44 – 49 besondere Regeln vor, die neben den sonstigen Regeln der DSGVO betrachtet werden. Es muss geprüft werden, ob bei dem Empfänger im Drittland ein angemessenes Schutzniveau für die Daten besteht. Dafür hat die Europäische Kommission nach Art. 45 DSGVO vorrangig die Möglichkeit einen Angemessenheitsbeschluss zu fassen. Mit einem solchen Beschluss stellt sie fest, dass die Rechtslage im Drittland ein Datenschutzniveau aufweist, das mit dem der EU vergleichbar ist. Liegt kein Angemessenheitsbeschluss vor, besteht die Möglichkeit des Abschlusses von Standardvertragsklauseln bzw. Standard Contractual Clauses (SCC) oder verbindlichen Datenschutzvorschriften bzw. Binding Corporate Rules (BCR), Art. 46 Abs. 2 lit. c, b DSGVO. Zuletzt ist auch die Rechtgrundlage der Einwilligung und der Vertragserfüllung, Art. 49 DSGVO, möglich – stellt aber eher die Ausnahme dar.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Die neusten Entwicklungen

Angemessenheitsbeschluss

Die Europäische Kommission trifft regelmäßig Angemessenheitsentscheidungen, mit denen sie befindet, dass personenbezogene Daten von EU-Mitgliedstaaten und den Mitgliedstaaten des Europäischen Wirtschaftsraums ohne weitere Anforderungen an dieses Drittland übermittelt werden können. Die Europäische Kommission veröffentlicht eine Liste ihrer Angemessenheitsbeschlüsse auf ihrer Website. Solche Beschlüsse liegen aktuell vor für Andorra, Argentinien, Kanada, die Färöer-Inseln, Guernsey, Israel, die Isle of Man, Japan, Jersey, die Schweiz und Uruguay.

Am 28. Juni 2021 hat die Europäische Kommission nun auch Großbritannien als sicheres Drittland anerkannt. Fraglich ist allerdings, wie lange dieser Status als sicheres Drittland gelten wird: Die britische Regierung plant eine eigenständige Datenschutzpolitik und verkündete am 26. August 2021 wesentliche gesetzliche Änderungen im Datenschutz. So sollen zum Beispiel die bislang ins nationale Recht übernommenen Regelungen der DSGVO durch eigene Vorschriften abgelöst werden. Der konkrete Entwurf wird alsbald erwartet – sodann wird dieser von der EU-Kommission geprüft werden. Ist eine Vereinbarkeit nicht gegeben, ist wohl die Aussetzung oder die Beendigung des Angemessenheitsbeschlusses zu erwarten.

Darüber hinaus hat die Europäische Kommission jüngst bekannt gegeben, dass Südkorea nun als sicheres Datenschutzland gemäß Angemessenheitsbeschluss der EU-Kommission gilt.
Die USA gehören seit dem am 16.07.2020 ergangenen Schrems-II Urteil (C-311-18) nicht mehr zu den sicheren Drittländern. Details zu der Entscheidung finden Sie hier.

Sie und Ihr Unternehmen benötigen unsere Expertise bei Datenübermittlungen in Drittstaaten? Dann sind Sie bei ISiCO genau richtig!

Standardvertragsklauseln

Im Juni 2021 hat die Europäische Kommission im Beschluss 2021/914/EU neue Standardvertragsklauseln angenommen. Diese schaffen seit dem 27. Juni 2021 eine neue Rechtsgrundlage, welche bei EU-weiten sowie internationalen Datentransfers angewendet werden können. Dabei hat die Europäische Kommission auch die neuen Anforderungen der DSGVO sowie Vorgaben aus dem Schrems-II Urteil berücksichtigt. Die Klauseln berücksichtigen auch die gemeinsame Stellungnahme des Europäischen Datenschutzausschusses und des Europäischen Datenschutzbeauftragten, die Rückmeldungen der Interessenträger im Rahmen einer breit angelegten öffentlichen Konsultation sowie die Stellungnahme der Vertreter der Mitgliedstaaten.

Die wichtigsten Änderungen sind:

  • Ein neuer modularer Aufbau ermöglicht eine flexible Vertragsgestaltung in verschiedenen Konstellationen;
  • Begrifflichkeiten von Datenexporteur:in und Datenimporteur:in sind jetzt offener gestaltet;
  • Prüfung des Datenschutzniveaus für Datenexporteure ist eine explizite Verpflichtung;
  • Ausweitung der Anwendungsfälle: Vier unterschiedliche Module, von denen eines ausgewählt werden muss;
  • optionale Kopplungsmöglichkeit (Klausel 7): Beitritt zu den Standardvertragsklauseln durch weitere Parteien;
  • Haftung für Verletzung von Betroffenenrechten (Klausel 12 lit. b);
  • Umsetzung des EuGH-Urteils Schrems-II in Klauseln 14 und 15.

Zu beachten ist, dass die neuen Klauseln Datenübermittler:innen nicht von der Verpflichtung entbinden, das Schutzniveau im Drittland – insbesondere mit Blick auf Datenzugriffsmöglichkeiten der Behörden im Drittland – zu überprüfen.

Nunmehr (seit dem 27.09.2021) müssen bei allen neu geschlossenen Verträgen die neuen Standardvertragsklauseln berücksichtigt werden; bis zum 27.12.2022 müssen Datenübermittlungsverträge, die unter Verwendung der Vorgänger-Standardvertragsklauseln abgeschlossen worden sind, durch die Neuen ersetzt werden.

Fragebögen von Datenschutzbehörden

Seit dem 1. Juni 2021 verschicken Datenschutzbehörden länderübergreifend Fragebögen an Unternehmen, um Datenübermittlungen durch Unternehmen in Drittstaaten zu überprüfen. Ziel ist die breite Durchsetzung der vom EuGH in seiner Schrems-II Entscheidung festgelegten Anforderungen.

Unternehmen werden durch an der Kontrolle teilnehmende Behörden auf der Basis eines gemeinsamen Fragenkatalogs angeschrieben. Es gibt unterschiedliche Fragebögen für die relevantesten Dienstleistungen wie zum Einsatz von Dienstleistern zum E-Mail-Versand, zum Einsatz von Dienstleistern zum Hosting von Internet-Seiten, zum Einsatz von Webtracking, zum Einsatz von Dienstleistern zur Verwaltung von Bewerberdaten sowie zum konzerninternen Austausch von Kundendaten und Daten der Beschäftigten.

Der EuGH hat in seiner Schrems-II Entscheidung klar formuliert, dass die Behörden unzulässige Transfers „aussetzen oder verbieten“ sollen. Doch gleichzeitig sind sich die Aufsichtsbehörden der besonderen Herausforderungen, die das EuGH-Urteil zu Schrems-II für die Unternehmen in Deutschland und Europa mit sich bringt, bewusst. Laut eigenen Angaben stehen sie deshalb auch im weiteren Verlauf des Prüfungsverfahrens zur Verfügung, soweit dies nach Maßgabe der vorhandenen Kapazitäten möglich ist. Trotzdem sollten Unternehmen sich nicht darauf verlassen und die entsprechenden Vorgaben bestmöglich umsetzen.

Neuer „Transatlantischer Datenschutzrahmen“

Die Europäische Kommission gab gemeinsam mit den Vereinigten Staaten von Amerika am 25.03.2022 in einer Pressemitteilung bekannt, dass nach über einem Jahr intensiver Verhandlungen eine Einigung über einen sogenannten „Transatlantischen Datenschutzrahmen“ (Trans-Atlantic Data Privacy Framework) erzielt werden konnte.

Bislang handelt es sich hierbei allerdings lediglich um die politische Ankündigung, ein entsprechendes Abkommen fassen zu wollen. Es fehlt aktuell noch an der tatsächlichen Umsetzung in Rechtstexte, die anschließend auch von beiden Seiten angenommen werden müssten. So sollen die USA die Selbstverpflichtungen aus dem Abkommen in „Executive Orders“ bzw. Durchführungsverordnungen überführen, die anschließend der Europäischen Kommission bei der Bewertung bzw. Fassung eines eines Angemessenheitsbeschlusses i.S.d. Art. 45 DSGVO dienen soll.

Das neue Abkommen soll seitens der USA den, insbesondere auch im Rahmen des Schrems-II-Urteils des EuGH kritisierten, Zugriff der amerikanischen Nachrichtendienste auf personenbezogene Daten von Betroffenen im Europäischen Wirtschaftstraum (EWR) adressieren. So sollen seitens der USA folgende konkrete Maßnahmen ergriffen werden:

  • Stärkung der Privatsphäre und der Freiheitsrechte bei Aktivitäten der sog. signalerfassenden Aufklärung (Gewinn von Erkenntnissen aus elektromagnetischen Ausstrahlungen mit und ohne Kommunikationsinhalt, i.d.R. durch Nachrichtendienste)
  • Neuer, unabhängiger Rechtmittelmechanismus bzgl. unrechtmäßiger Aktivitäten der Nachrichtendienste für Betroffene im EWR
  • Strenge, mehrstufige Aufsicht bzgl. signalerfassender Aufklärung

Das neue Abkommen könnte den rechtlichen Rahmen für die Übermittlung von personenbezogenen Daten in die USA erheblich vereinfachen. Es bleibt allerdings auch bei einem tatsächlichen Zustandekommen eines neuen Rechtsrahmens abzuwarten, wie sich der EuGH in den wohl zwangsläufig zu erwartenden Verfahren gegen einen neuen Angemessenheitsbeschluss positionieren wird.


Mehr Informationen zum Thema:

Unser Partnerunternehmen caralegal hat einen kostenlosen SCC-Generator entwickelt, mit dem Sie Ihr individuelles und DSGVO-konformes Vertragsmuster erstellen lassen können. Anhand eines benutzerfreundlichen Online-Fragebogens ermittelt der SCC-Generator alle für Sie relevanten Vertragsinhalte und Anforderungen, um das passende Vertragsmuster anzufertigen.


Fazit

Abschließend ist festzuhalten, dass die stetigen Entwicklungen im internationalen Datentransfer neben mehr Klarheit auch immer neuen Handlungsbedarf für Unternehmen schaffen.

Unternehmen sollten stets einen Blick auf aktuelle Entwicklungen haben, etwa auf die Liste der Angemessenheitsbeschlüsse der Europäischen Kommission, weitere Reaktionen der Aufsichtsbehörden oder möglichen gerichtlichen Entscheidungen bezüglich Datentransfers.

Mehr zum Thema

  • Digital Operational Resilience Act (DORA): Umsetzung der Anforderungen durch professionelle Beratung

    In einer Welt, in der Cyber-Attacken und IT-Pannen zu den größten Bedrohungen für den Finanzsektor geworden sind, ist proaktives Handeln keine Option mehr, sondern eine Notwendigkeit. Der europäische Gesetzgeber hat dies mit der Einführung des Digital Operational Resilience Act (DORA) klar zum Ausdruck gebracht. Wir unterstützen Sie bei der Umsetzung.

    Weiterlesen

  • Verzeichnis von Verarbeitungstätigkeiten (VVT) einfach erklärt – mit Checkliste zum Download

    Wer muss ein Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellen? Wie wird er aufgebaut? Wie oft muss das VVT aktualisiert und überprüft werden? In welcher Form und Sprache muss das VVT geführt werden? Eine Übersicht mit Checklisten und Tipps.

    Weiterlesen

  • Effektive Datenschutz-Risikoanalysen: Anwendungsbereiche und Vorteile des Threat Modeling

    In Zeiten zunehmender Cyberbedrohungen können Unternehmen durch die Mitigation von Datenschutzrisiken nicht nur sich selbst und ihre Beschäftigten vor Bedrohungen bewahren, sondern vor allem auch den Schutz ihrer Kund:innen effektiver gewährleisten. Ein Schlüsselelement der Risikoanalyse ist das sogenannte Threat Modeling. Wir erläutern, was Threat Modeling beinhaltet und wie es speziell in der Datenschutzberatung eingesetzt wird.

    Weiterlesen