Vorsicht bei der Datenübermittlung in Drittländer

Dank der Globalisierung rückt die Welt zusammen. Wirtschaftliche Betätigung und auch die Datenflüsse verlaufen stetig globaler. Ziel der Datenschutzgrundverordnung ist die Gewährleistung eines einheitlichen europäischen Schutzniveaus für die Datenverarbeitung europäischer Bürger im Drittland und die Datenverarbeitung in Europa.

Bis Sommer 2020 bestand mit den USA das sogenannte EU-US-Privacy-Shield-Abkommen. Dieses war aus Sicht der Europäischen Kommission ein Angemessenheitsbeschluss, vorbehaltlich der Tatsache, dass sich der Empfänger (z.B. ein Dienstleister) in den USA auf dieses Abkommen verpflichtet hat. Somit war die Datenübermittlung an Unternehmen in die USA, die sich verpflichtet hatten, bis dahin zulässig.

Nach „Safe Harbor“ nun auch „Privacy Shield“ gekippt!

Im Juli dieses Jahres erklärte der Europäische Gerichtshof (EuGH) nach dem Vorgänger nun auch den Privacy-Shield für unwirksam. Behörden in den USA können auf der Basis ihres Rechtssystems viele Daten, auf die US-amerikanische Unternehmen Zugriff haben einsehen. Das gilt unabhängig davon, wo diese Daten gespeichert sind – also ggf. auch Betriebsgeheimnisse und personenbezogene Daten – ohne dass EU-Unternehmen und EU-Bürger dagegen Rechtsmittel einlegen können.

Ein adäquates Datenschutzniveau kann so pauschal nicht sichergestellt werden. Wer allein auf der Basis des Privacy Shield weiterhin Daten in die USA übermittelt, handelt damit rechtswidrig. Die Kriterien, die an einen Datentransfer ins Drittland gestellt werden, gelten für alle sogenannten Drittländer ohne Angemessenheitsbeschluss. Dies sind bspw. auch China und Indien und zahlreiche andere Staaten außerhalb der EU. Auch die von der Kommission beschlossenen Standardvertragsklauseln müssen ein Schutzniveau für die personenbezogenen Daten sicherstellen, das dem in der EU entspricht.

Diese Kriterien gelten zukünftig insbesondere auch für Großbritannien. Noch ist das Land Teil der EU – doch nach vollzogenem Brexit wird auch Großbritannien ein Drittland sein.

Was können Unternehmen jetzt tun, um ihr Risiko zu senken?

1. Zunächst sollte für alle Prozesse analysiert werden, welche personenbezogenen Daten an welche Drittländer übermittelt werden. Für die festgestellten Datenübermittlungen an Empfänger im Drittland ist zu prüfen, ob ein Angemessenheitsbeschluss oder geeignete Garantien wie Standardvertragsklauseln vorliegen.
2. Für die Empfänger mit Standardvertragsklauseln kann z. B. durch eine fragenbogengestützte Analyse ermittelt werden, ob im Rechtssystem oder in der Praxis des Drittlands Anhaltspunkte dafür bestehen, dass allein durch die Standardvertragsklauseln das Datenschutzniveau nicht eingehalten werden kann.
3. Im nächsten Schritt sollte geprüft werden, ob zusätzliche technische und organisatorische Maßnahmen ergriffen werden können, um ein im Wesentlichen gleichwertiges Schutzniveau trotz dieser Risiken herzustellen. Eine derartige Maßnahme könnte insbesondere die Verschlüsselung der Daten darstellen.
4. In den Fällen, in denen keine zusätzlichen Maßnahmen geeignet sind, ein angemessenes Schutzniveau zu gewährleisten, sollte die Übermittlung beendet – zumindest aber deren Ablösung durch eine sichere und zulässige Verarbeitung strukturiert und dokumentiert betrieben werden.

Es empfiehlt sich unbedingt, die Vorgehensweise und die getroffenen Bewertungen zu dokumentieren, sodass im Zweifel nachgewiesen werden kann, dass sich das Unternehmen mit der gebotenen Sorgfalt mit diesem Thema auseinandergesetzt hat.

Wie geht es weiter?

Die EU-Kommission hat eine Arbeitsgruppe installiert, die sich mit der Entwicklung neuer EU-Standardvertragsklauseln befasst, um hier schnell Abhilfe zu schaffen. Diese hat Mitte November erste Ergebnisse vorgelegt, mit dem Ziel, bis zum Jahresende 2020 ein neues Verfahren zu etablieren. Wenn das gelingt, müssen diese neuen Standardvertragsklauseln mit den Empfängern in Drittstaaten vereinbart werden. Der qualifizierte betriebliche Datenschutzbeauftragte ist zu diesem Thema eine erste Anlaufstelle.

Es bleibt zu hoffen, dass die neuen Regelungen schnell zum Einsatz kommen – und sich die Vertragspartner auch daran halten. Langfristig ist es stets der sicherste Weg, einen Empfänger innerhalb der EU oder aus einem Staat, der mit der EU einen Angemessenheitsbeschluss erwirkt hat, zu wählen. Dies sind beispielsweise Kanada, Japan, Singapur, Schweiz und eine Reihe weiterer Staaten.

Wenn Sie mehr zu diesem Thema wissen wollen, wenden Sie sich bitte direkt an die Autorin oder den Autor. Wir freuen uns auf Ihren Anruf!

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.