Nach dem „Schrems II“-Urteil des Europäischen Gerichtshofs vom 16.07.2020 haben sich die Anforderungen an Unternehmen, die personenbezogene Daten in Länder außerhalb des EWR übermitteln, grundlegend geändert. Auch die neuen Standardvertragsklauseln, die die EU-Kommission Anfang Juni angenommen hat, orientieren sich an vielen Stellen an der Entscheidung vom vergangenen Jahr. In diesem Beitrag informieren wir Sie über diese und weitere aktuelle Entwicklungen zum Thema internationale Datentransfers, welche Rechtsgrundlagen Unternehmen nutzen können und welche Vorgaben erfüllt werden müssen.
I. Erster Schritt: Die Wahl der Rechtsgrundlage
Welche Rechtsgrundlage jeweils einschlägig ist, hängt von verschiedenen Faktoren wie dem Drittstaat, in den Daten übermittelt werden sollen, oder dem Zweck der Datentransfers ab. Anschließend haben die verschiedenen Rechtsgrundlagen unterschiedliche Anforderungen zur Folge. Hier bietet es sich an, die Rechtsgrundlagen, die die Datenschutz-Grundverordnung (DSGVO) zur Verfügung stellt, nacheinander zu überprüfen.
1. Angemessenheitsbeschluss
Die erste Rechtsgrundlage für Datentransfers in Drittstaaten, die überprüft werden sollte, ist der Angemessenheitsbeschluss nach Art. 45 DSGVO. Die Kommission bescheinigt mit einem solchen Beschluss nach einer Bewertung der Rechtslage einem bestimmten Drittland ein sicheres, dem europäischen Standard entsprechendes Datenschutzniveau. Verantwortliche Unternehmen können in diesem Fall unkompliziert personenbezogene Daten in das jeweilige Land übermitteln – neben Staaten wie unter anderem Kanada (für private Unternehmen), die Schweiz, Argentinien, Israel, Japan, Neuseeland, in Kürze Südkorea und aller Wahrscheinlichkeit nach das Vereinigte Königreich. Liegt kein Angemessenheitsbeschluss vor, muss auf andere geeignete Garantien zurückgegriffen werden.
2. Standardvertragsklauseln
Sollte ein Angemessenheitsbeschluss fehlen, sind das wichtigste Instrument für Datentransfers in Drittstaaten die sogenannten Standardvertragsklauseln bzw. Standard Contractual Clauses (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO, die ebenfalls von der EU-Kommission ausgearbeitet werden. Sie können als Vertragsvorlagen für Vereinbarungen verwendet werden, die den Datenempfänger im Drittland zur Einhaltung des erforderlichen Datenschutzniveaus verpflichten. Während im „Schrems II“-Urteil der Angemessenheitsbeschluss für die USA, der sog. Privacy Shield, für ungültig erklärt worden ist, blieben die SCC ausdrücklich weiterhin wirksam. Im konkreten Fall sollte das allerdings nur dann gelten, wenn die durch die SCC festgelegten Mechanismen tatsächlich zu einem angemessenen Datenschutzniveau für die jeweiligen Datenübermittlungen führen. Dazu bedarf es einer Reihe von Maßnahmen, abhängig von den Umständen des jeweiligen Einzelfalls. Beispielsweise sollte die Aussetzung von Datenübermittlungen ermöglicht werden, wenn manche Vereinbarungen aus den SCC einmal nicht erfüllt werden können.
Unternehmen sollten insbesondere beachten, dass sie die Prüfung des Datenschutzniveaus in eigener Verantwortung vornehmen müssen. Es ist nicht möglich, ohne weitere Prüfung die SCC einfach zu übernehmen. Stattdessen sollten sich die Rechtslage im Drittland sowie die Vertragsvereinbarungen genau angesehen und diese gegebenenfalls ergänzt werden. Für die Beurteilung der Rechtslage im Drittland sind vor allem die Rechte staatlicher Behörden, auf personenbezogene Daten zuzugreifen, relevant. In den USA etwa ist das aufgrund von Sicherheitsgesetzen wie dem CLOUD ACT, FISA 702 oder E.O. 13222 möglich.
In die am 4. Juni angenommenen SCC sind die Vorgaben des „Schrems II“-Urteils bereits mit aufgenommen worden. Nun ist die Prüfung des Datenschutzniveaus für den Datenexporteur eine explizite Verpflichtung. Darüber hinaus ermöglicht ihr modularer Aufbau eine flexible Vertragsgestaltung: Zusätzlich zu den allgemeinen, für alle Datenverarbeitungen umzusetzenden Vorgaben sind unterschiedliche Module vorhanden, die für bestimmte Verarbeitungskonstellationen zwischen Verantwortlichen, Auftrags- und Unterauftragsverarbeitern gelten. Darüber hinaus ermöglichen die SCC die Abbildung unterschiedlicher Verarbeitungsketten und den nachträglichen Beitritt weiterer Verantwortlicher/Auftragsverarbeiter. Schließlich sind die Begrifflichkeiten von Datenexporteur und Datenimporteuer jetzt offener gestaltet.
3. Verbindliche interne Datenschutzvorschriften
Ebenfalls eine wichtige Rechtsgrundlage sind die verbindlichen internen Datenschutzvorschriften oder Binding Corporate Rules (BCR) nach Art. 46 Abs. 2 lit. b DSGVO. Genau wie die SCC wird mit ihnen das Ziel verfolgt, für die geplanten Datenübermittlungen ein ausreichendes Datenschutzniveau zu erreichen. Allerdings legt die BCR nicht die Kommission fest, sondern selbstständig das Unternehmen, das personenbezogene Daten exportieren möchte. Nach der Erstellung von BCR müssen sie von der Aufsichtsbehörde genehmigt werden. Anschließend können sie als Rechtsgrundlage verwendet werden. Da sie nur intern zwischen den Parteien gelten, können sie zum Beispiel für Datenübermittlungen an ein Tochterunternehmen herangezogen werden, das seinen Sitz in einem Drittstaat und die BCR unterzeichnet hat.
4. Einwilligung und Vertragserfüllung
Im Rahmen internationaler Datentransfers stellen die Rechtsgrundlagen der Einwilligung und der Vertragserfüllung (Art. 49 DSGVO) eher Ausnahmen dar. Empfehlenswert ist die Einwilligung für den Betrieb von Webseiten oder Apps, bei welchen die Einwilligungen über Cookie-Banner eingeholt werden können. Hier gelten zudem die allgemeinen Anforderungen der DSGVO für Einwilligungen. Sie müssen ausdrücklich, informiert und freiwillig erklärt werden sowie jederzeit widerruflich sein. Bezüglich der Information der einwilligenden Personen müssen insbesondere die mit der Auslandsübermittlung verbundenen Risiken erläutert werden. Schließlich ist es möglich, einzelne (nicht dauerhafte) Datenübermittlungen auf die objektive Erforderlichkeit für die Anbahnung oder die Erfüllung eines Vertrags zu stützen. Beispiele sind die Durchführung einmaliger grenzüberschreitender Meetings oder die Abwicklung von Zahlungsverkehr.
II. Zusätzliche Maßnahmen ergreifen!
In vielen Fällen wird es dazu kommen, dass Unternehmen eigenverantwortlich zusätzliche Maßnahmen ermitteln und umsetzen müssen, da SCC und BCR die fragliche Rechtslage im Drittland nicht einfach außer Kraft setzen können. Zu den technischen Maßnahmen, die hier ergriffen werden können, gehören in erster Linie Verschlüsselungstechniken wie Transport- und Inhaltsverschlüsselung sowie die Pseudonymisierung personenbezogener Daten. Für die Pseudonymisierung sollte die Identifizierung der Personen ohne Zuhilfenahme von Zuordnungsdaten beim Verantwortlichen sicher ausgeschlossen sein. Darüber hinaus sollte der regelmäßige Datenspeicherort innerhalb der EU liegen und Support- und Wartungsleistungen von dort aus erbracht werden. Grundsätzlich empfiehlt es sich, vorab zu prüfen, welche Sicherheitsmaßnahmen der jeweilige Anbieter ermöglicht.
Des Weiteren sollten organisatorische Maßnahmen umgesetzt werden, die den behördlichen Zugriffen im Drittstaat entgegenwirken und die SCC oder BCR ergänzen. Zu diesem Zweck können Sonderkündigungsrechte vereinbart werden, die greifen, wenn die Vereinbarungen nicht erfüllt werden können. Zudem können Verpflichtungen zur Erstellung von Transparenzberichten oder der Einhaltung von Informationspflichten dazugehören. Auch sollten aktuelle Risikoprüfungen nach Art der Daten und der Wahrscheinlichkeit von Zugriffen erstellt werden. Es empfehlen sich weiterhin Vereinbarungen, dass personenbezogene Daten nur in der EU verarbeitet werden dürfen.
III. Fazit
Aufgrund der vielen und komplexen Vorgaben können internationale Datentransfers für Unternehmen einen erheblichen Mehraufwand bedeuten. Es kann hier eine Lösung sein, auf europäische Dienstleister umzusteigen. Wenn das nicht praktikabel ist, sollten Unternehmen bei der Wahl der richtigen Rechtsgrundlage, der Prüfung der Rechtslage im Drittstaat sowie den zusätzlichen Garantien und Maßnahmen sorgfältig vorgehen. Die neuen SCC schaffen zwar eine klarere Rechtslage, verringern den Aufwand aber kaum. Die alten SCC gelten zwar für bereits geschlossene Verträge noch 18 Monate fort, doch sollten Unternehmen sich schon jetzt auf den Wechsel vorbereiten. Abgeschlossene SCC sollten überprüft und alle Schutzmaßnahmen erfasst und dokumentiert werden. Es empfiehlt sich, die Rollen aller Akteure zu erfassen und am Ende einen Prozess zu definieren, der die neuen SCC umsetzt.
Nothing Found