mittleres-schussmadchen-das-mit-laptop-studiert.jpg

Datentransfer in Drittländer (USA & Co.): Die aktuelle Rechtslage und was Unternehmen wissen müssen

VonJanko Williams

Was Sie in diesem Artikel erfahren

Der internationale Datenaustausch ist für moderne Unternehmen unerlässlich. Doch der Transfer von personenbezogenen Daten in sogenannte Drittländer, wie die USA, birgt erhebliche rechtliche Herausforderungen. Dieser Artikel beleuchtet die aktuelle Rechtslage nach dem Wegfall des “Privacy Shield”-Abkommens und der Einführung des “EU-US Data Privacy Framework”. Sie erhalten einen detaillierten Überblick über die Grundlagen der Datenschutz-Grundverordnung (DSGVO), die Risiken bei der Datenübermittlung und die rechtlichen Instrumente, die Ihnen zur Verfügung stehen. Wir gehen auf die Rolle der Standardvertragsklauseln (SCCs), verbindliche interne Datenschutzvorschriften (BCRs) und die Notwendigkeit von Transfer-Impact-Assessments (TIAs) ein. Ziel ist es, Ihnen ein fundiertes Verständnis zu vermitteln, wie Sie rechtssicheren Datentransfer in Drittländer gestalten können.

Die Grundlagen: Wann ist ein Datentransfer in Drittländer überhaupt zulässig?

Die Datenschutz-Grundverordnung (DSGVO) sieht strenge Regeln für die Übermittlung personenbezogener Daten aus der EU in Drittländer vor. Ein Drittland ist jedes Land außerhalb des Europäischen Wirtschaftsraums (EWR). Das Grundprinzip ist klar: Ein Datentransfer ist nur erlaubt, wenn das Schutzniveau für die Daten in diesem Drittland dem der EU entspricht.

Artikel 44 der DSGVO gibt den Rahmen vor. Er legt fest, dass eine Übermittlung nur stattfinden darf, wenn die DSGVO-Vorschriften eingehalten werden. Dies ist der Fall, wenn die Europäische Kommission ein Angemessenheitsbeschluss für das jeweilige Land erlassen hat. Ein solcher Beschluss bescheinigt, dass das Rechtssystem des Drittlandes ein vergleichbares Schutzniveau bietet. Laender wie die Schweiz, Kanada oder Japan haben solche Beschlüsse erhalten.

Fehlt ein solcher Beschluss, müssen geeignete Garantien (Artikel 46 DSGVO) ergriffen werden, um den Datenschutz zu gewährleisten. Hierzu gehören die Standardvertragsklauseln (SCCs), verbindliche interne Datenschutzvorschriften (BCRs) oder ein von der Kommission anerkanntes Abkommen wie das neue EU-US Data Privacy Framework.

Eine dritte Option sind die Ausnahmen für bestimmte Situationen (Artikel 49 DSGVO). Dazu gehören die ausdrückliche Einwilligung der betroffenen Person, die Erfüllung eines Vertrags oder die Wahrnehmung eines öffentlichen Interesses. Diese Ausnahmen sind jedoch nur für Einzelfälle gedacht und nicht für regelmäßige Datentransfers.

Der “Schrems II”-Schock: Das Ende des “Privacy Shield”

Bis Juli 2020 war der Datentransfer in die USA relativ unkompliziert. Das “Privacy Shield”-Abkommen diente als eine der wichtigsten Rechtsgrundlagen für die Übermittlung von Daten an US-Unternehmen. Es basierte auf der Annahme, dass die beteiligten Unternehmen in den USA einen ausreichenden Datenschutz garantieren.

Doch der Europäische Gerichtshof (EuGH) hat das Abkommen in seinem berühmten “Schrems II”-Urteil für ungültig erklärt. Der EuGH argumentierte, dass die US-Gesetze, insbesondere der Foreign Intelligence Surveillance Act (FISA) und der Cloud Act, den US-Behörden zu weitreichende Zugriffsrechte auf personenbezogene Daten von EU-Bürgern einräumen. Die Datenschutzrechte der EU-Bürger könnten daher nicht angemessen geschützt werden. Dieses Urteil löste eine große Unsicherheit bei Tausenden von Unternehmen aus, die auf US-Dienstleister wie Google, Microsoft oder Amazon angewiesen sind.

Das Urteil betonte, dass auch bei der Verwendung von Standardvertragsklauseln Unternehmen eine eigene Risikobewertung (ein sogenanntes Transfer-Impact-Assessment) durchführen müssen. Dabei muss geprüft werden, ob die Gesetzgebung des Drittlandes das Schutzniveau der EU untergraben könnte.

Das neue Abkommen: Das EU-US Data Privacy Framework

Nach jahrelangen Verhandlungen wurde im Juli 2023 ein neues Abkommen, das EU-US Data Privacy Framework (DPF), verabschiedet. Es soll eine neue Grundlage fuer den rechtssicheren Datentransfer in die USA schaffen. Das DPF fuehrt verbesserte Schutzmassnahmen auf US-Seite ein, darunter neue Regeln fuer den Zugang von US-Geheimdiensten zu Daten. Es wird ein unabhaengiges Gericht (Data Protection Review Court) geschaffen, das Beschwerden von EU-Buergern pruefen und bindende Entscheidungen treffen kann.

Unternehmen, die am DPF teilnehmen moechten, muessen sich beim US-Handelsministerium zertifizieren lassen und eine Reihe von Datenschutzprinzipien einhalten. Diese Zertifizierung muss jaehrlich erneuert werden. Fuer viele Unternehmen, die stark auf US-Cloud-Anbieter oder andere Dienstleister angewiesen sind, stellt das DPF eine grosse Erleichterung dar, da es einen Angemessenheitsbeschluss darstellt und somit die Notwendigkeit von individuellen Risikobewertungen reduziert.

Es ist jedoch wichtig zu beachten, dass das DPF von einigen Datenschutzaktivisten, darunter Max Schrems, bereits wieder kritisiert wird. Sie argumentieren, dass es inhaltlich aehnliche Mangel wie das “Privacy Shield” aufweise. Moegliche Klagen vor dem EuGH sind nicht ausgeschlossen.

Die Instrumente für den Datentransfer ohne Angemessenheitsbeschluss

Wenn ein Unternehmen Daten in ein Drittland ohne Angemessenheitsbeschluss transferieren möchte, muss es auf alternative Instrumente zurückgreifen.

Standardvertragsklauseln (SCCs)

Die Standardvertragsklauseln (SCCs) sind von der Europäischen Kommission vorformulierte Verträge. Sie legen fest, welche Datenschutzpflichten der Datenexporteur (das Unternehmen in der EU) und der Datenimporteur (das Unternehmen im Drittland) einhalten müssen. Es ist verboten, die Klauseln zu ändern, da sie ihre rechtliche Gültigkeit verlieren würden.

Nach dem “Schrems II”-Urteil müssen Unternehmen bei der Verwendung von SCCs zusätzliche Maßnahmen ergreifen. Dazu gehört das Transfer-Impact-Assessment (TIA), eine Analyse des Rechtsumfelds im Drittland. Nur wenn das TIA zeigt, dass keine Gesetze das Schutzniveau der DSGVO untergraben, ist die Verwendung der SCCs zulässig. Gegebenenfalls müssen zusätzliche technische oder organisatorische Maßnahmen (wie starke Verschlüsselung) ergriffen werden, um die Daten zu schützen.

Verbindliche interne Datenschutzvorschriften (BCRs)

Binding Corporate Rules (BCRs) sind ein Instrument für multinationale Konzerne, um den internen Datentransfer zwischen ihren Niederlassungen weltweit zu regeln. BCRs müssen von den zuständigen Datenschutzbehörden genehmigt werden und gelten als anerkannte Garantie fuer Datentransfers innerhalb des Konzerns.

Die Erstellung und Genehmigung von BCRs ist ein sehr aufwändiger und langwieriger Prozess, weshalb sie sich in der Regel nur für große, international tätige Unternehmen lohnen. Sie bieten jedoch den Vorteil, dass sie eine einheitliche und langfristige Lösung für den Datenaustausch innerhalb der Unternehmensgruppe darstellen.

Die praktische Umsetzung: So gehen Sie vor

Um den Datentransfer in Drittlaender rechtssicher zu gestalten, sollten Unternehmen einen systematischen Ansatz verfolgen:

  1. Dateninventarisierung: Ermitteln Sie, welche Daten Sie in welche Drittlaender uebermitteln.
  2. Rechtsgrundlage pruefen: Pruefen Sie, ob ein Angemessenheitsbeschluss oder eine andere Rechtsgrundlage fuer den Transfer vorliegt.
  3. Transfer-Impact-Assessment (TIA) durchfuehren: Wenn Sie SCCs verwenden, bewerten Sie das Rechtsumfeld des Drittlandes und das Risiko eines Zugriffs durch staatliche Behoerden. Dokumentieren Sie Ihre Analyse gruendlich.
  4. Zusaetzliche Massnahmen ergreifen: Sollte das TIA Risiken aufzeigen, muessen Sie zusaetzliche Massnahmen ergreifen, um das Schutzniveau zu erhoehen. Dazu koennen technische Massnahmen (z.B. Verschluesselung, Pseudonymisierung) oder organisatorische Massnahmen (z.B. Anpassung der Vertragsbeziehungen) gehoeren.
  5. Dokumentation und Ueberwachung: Halten Sie den gesamten Prozess schriftlich fest und ueberwachen Sie kontinuierlich die rechtlichen Entwicklungen im Drittland sowie Aenderungen der Rechtslage in der EU.

Fazit

Der Datentransfer in Drittlaender ist ein komplexes und sich staendig veraenderndes Rechtsgebiet. Das “Schrems II”-Urteil hat die rechtlichen Anforderungen drastisch verschaerft und die Verantwortung fuer die Einhaltung der Vorschriften direkt auf die Unternehmen verlagert. Waehrend das neue EU-US Data Privacy Framework eine wichtige Erleichterung fuer den Datenaustausch mit den USA darstellt, sollten Unternehmen sich nicht blind darauf verlassen. Es ist entscheidend, dass Unternehmen ihre Datentransfers genau analysieren, die passende Rechtsgrundlage waehlen und die notwendigen Risikobewertungen sorgfaeltig durchfuehren. Die Einhaltung der DSGVO ist nicht nur eine gesetzliche Pflicht, sondern auch ein wichtiger Vertrauensfaktor fuer Kunden und Partner. Eine proaktive und informierte Herangehensweise ist der Schluessel, um rechtssicher und erfolgreich im internationalen Geschaeft agieren zu koennen.

Ähnliche Beiträge