Daten können heute per Knopfdruck innerhalb von Sekunden um den gesamten Erdball geschickt werden. Das ist bequem und nützlich, doch die Kehrseite der Medaille ist: Mit diesem beiläufigen Knopfdruck können personenbezogene Daten in Drittländer gelangen, ohne dass wir eine Kontrolle darüber haben, was dort mit ihnen geschieht. In diesem Beitrag erfahren Sie, welche Regeln die EU aufgestellt hat, wenn Daten außerhalb des Geltungsbereiches der DS-GVO geschickt werden.
Das Wichtigste in Kürze
- Sobald Daten in Drittländer übermittelt werden, sind diverse datenschutzrechtliche Vorschriften zu beachten.
- Ob und wie eine Übermittlung zulässig ist, hängt entscheidend vom Datenschutzniveau im Zielland ab.
- Nur wenige Länder erkennt die EU im Datenschutz als gleichwertig an – die USA gehören nicht dazu.
- Instrumente wie Standardvertragsklauseln oder Binding Corporate Rules können die Datenübermittlung dennoch ermöglichen.
- Neben der aktiven Übermittlung ist auch der theoretische Zugriff auf Daten zu bedenken – etwa beim Serverstandort.
- Es gibt eine Reihe von Ausnahmen bei diesen Regelungen.
In diesem Beitrag:
- Wann liegt überhaupt eine Datenübermittlung in ein Drittland vor?
- Was ist die Zwei-Stufen-Prüfung?
- In welche Drittländer können Daten problemlos übermittelt werden?
- Der Sonderfall USA
- Wie ist die Datenübermittlung mit Garantien möglich?
- Wie können Standardvertragsklauseln helfen?
- Was sind Binding Corporate Rules?
- Datenexport per Einwilligung?
- Praktische Fragen: Was passiert, wenn die Cloud im Drittland ist?
- Was passiert bei unzulässiger Datenübermittlung?
- Fazit
Wann kommt es zu einer Datenübermittlung in ein Drittland?
Sobald personenbezogene Daten von einer Stelle an eine andere gesendet werden, sprechen wir von Datenübermittlung. Eine Datenübermittlung in ein Drittland im Sinne der Datenschutz-Grundverordnung (DS-GVO) liegt dann vor, wenn der Empfänger der Daten sich außerhalb der Europäischen Union (EU) und des Europäischen Wirtschaftsraums (EWR) befindet. Je nach Datenschutzniveau vor Ort formuliert die DS-GVO hierfür unterschiedliche Anforderungen.
Was ist die Zwei-Stufen-Prüfung?
Doch bevor wir diese Anforderungen im Einzelnen betrachten, gehen wir einen Schritt zurück: In einer ersten Stufe muss vor jeder Datenübermittlung geprüft werden, ob diese grundsätzlich zulässig ist. Denn auch im Inland bzw. innerhalb von EU und EWR stellt die DS-GVO Spielregeln auf, die bei der Datenübermittlung beispielsweise innerhalb von Konzernen, in Praxen oder zwischen Unternehmen und Freelancern zu beachten sind.
Ist die geplante Datenübermittlung grundsätzlich DS-GVO-konform, kann der zweite Prüfungsschritt folgen. Hier geht es nun um die länderspezifischen Anforderungen, die eine Datenübermittlung ermöglichen oder an Auflagen binden. Die Zwei-Stufen-Prüfung zur Datenübermittlung in Drittländer besteht also aus den folgenden Etappen:
- Ist die Datenübermittlung grundsätzlich möglich?
- Wie ist sie im Einzelfall ins geplante Zielland möglich?
Auf die zweite Prüfstufe gibt es wiederum zwei Möglichkeiten:
- Die einfache Lösung: Die Europäische Kommission attestiert dem Drittland einen Datenschutz auf europäischem Niveau. Es gelten keine speziellen Anforderungen an die Datenübermittlung in diese Staaten außer denen, die auch innerhalb der EU gelten. Welche Staaten das sind, erfahren Sie im folgenden Abschnitt.
- Die komplizierte Lösung: Hat die EU-Kommission das angemessene Datenschutzniveau für ein bestimmtes Land nicht bestätigt, muss näher betrachtet werden, wie im Einzelfall der Datenschutz dennoch gewährleistet werden kann – oder ob ein Ausnahmetatbestand den Datentransfer ermöglicht.
In welche Drittländer können Daten problemlos übermittelt werden?
Neben den 27 Staaten der EU (ohne Großbritannien nach dessen Austritt) und den weiteren EWR-Staaten Island, Liechtenstein und Norwegen hat die Europäische Kommission für folgende Staaten sogenannte Angemessenheitsbeschlüsse getroffen:
- Andorra
- Argentinien
- Kanada (mit Einschränkungen)
- Färöer-Inseln
- Guernsey
- Isle of Man
- Israel
- Japan
- Jersey
- Neuseeland
- Schweiz
- Uruguay
Südkorea kann nach Abschluss entsprechender Gespräche ebenfalls darauf hoffen, dass die EU das dortige Datenschutzniveau als gleichwertig anerkennt. Auch ein weiteres Land vermisst man auf dieser Liste: Welche Szenarien von Experten derzeit für das künftige Verhältnis zwischen EU und Vereinigtem Königreich durchgespielt werden, erfahren Sie in unserem Artikel zum Thema Brexit und Datenschutz.
Der Sonderfall USA
Als informelle Absprache zwischen Europäischer Union und Vereinigten Staaten sollte der EU-US Privacy Shield (auch EU-US-Datenschutzschild) amerikanischen Unternehmen eine Art Selbstverpflichtung zu europäischen Datenschutzstandards ermöglichen. Im Gegenzug betrachtete die EU eine Datenübermittlung in die USA als angemessen. Doch mit dem sogenannten Schrems-II-Urteil kippte der Europäische Gerichtshof (EuGH) diese Regelung im Jahr 2020.
Die europäischen Richter monierten in ihrem Urteil, dass umfassende Befugnisse amerikanischer Geheimdienste einen wirksamen Schutz personenbezogener Daten, der den DS-GVO-Standards entsprechen würde, unmöglich machten. Somit entspricht der Status der USA bis auf Weiteres dem anderer Drittländer, denen die EU bisher kein angemessenes Datenschutzniveau bescheinigt hat. Als Grundlage für Datentransfers kommen die unten genannten Instrumente wie BCR oder SCC infrage.
Wie ist die Datenübermittlung mit Garantien möglich?
Nun wird es zunehmend komplizierter: Wenn der Empfänger personenbezogener Daten seinen Sitz weder in der EU oder dem EWR noch in einem der als sicher eingestuften Drittstaaten hat, müssen in der Regel andere Garantien für eine DS-GVO-konforme Verarbeitung der Daten im Ausland bürgen. Welche können dies sein? Hier führen zahlreiche Wege nach Rom, denn die DS-GVO sieht eine ganze Reihe von Möglichkeiten vor. In der Praxis lassen sich zwei große Gruppen unterscheiden:
- Genehmigungsfreie Möglichkeiten: Hier existieren beispielsweise von der Europäischen Kommission beschlossene Standardklauseln für Verträge. Werden diese von den Vertragsparteien unverändert akzeptiert, ist keine Genehmigung durch die Behörden nötig.
- Genehmigungspflichtige Möglichkeiten: Eine internationale Konzerngruppe etwa hat die Möglichkeit, verbindliche interne Datenschutzvorschriften zu formulieren. Diese sogenannten Binding Corporate Rules, kurz BCR, müssen allerdings behördlich genehmigt werden.
Wie können Standardvertragsklauseln helfen?
Die von der Europäischen Kommission formulierten Standardvertragsklauseln (SCC) zur Datenübermittlung in Drittländer sind in der Praxis aus einem einfachen Grund beliebt: Sie lassen sich online herunterladen und einfach ausfüllen. Akzeptiert und befolgt der Vertragspartner sie, ist die Datenübermittlung ins Drittland an diesen Vertragspartner zulässig, obwohl dieses Drittland nicht von der Kommission als ein Staat mit einem angemessenen Datenschutzniveau eingestuft wird
Aber Achtung: Werden die Standardformulierungen auch nur geringfügig zum Nachteil des Datenschutzniveaus abgeändert, können sie nicht mehr ohne weitere behördliche Genehmigung als Grundlage für die Datenübermittlung in Drittländer gelten. Jederzeit zulässig sind hingegen solche Ergänzungen, die den Datenschutzstandard über die Vorgaben hinaus verbessern.
Was sind Binding Corporate Rules?
Möchte ein international agierender Konzern seine Datenschutzbestimmungen flexibler gestalten, als es die von der EU-Kommission vorgegebenen Standardformulierungen zulassen, können die sogenannten Binding Corporate Rules (BCR) das Mittel der Wahl sein. Sie sind, wie der Name bereits sagt, „verbindliche interne Datenschutzvorschriften“ und keine bloße Absichtserklärung für den Datenschutz.
Als solche müssen die BCR von den zuständigen Aufsichtsbehörden genehmigt werden. Die Flexibilität bei den einzelnen Bestimmungen wird also durch ein komplizierteres Verfahren zur Genehmigung erkauft. In der Praxis sind wohl aus diesem Grund die Standardklauseln bei vielen Unternehmen beliebter, die Datenschutzbehörden melden nur verhältnismäßig wenige Anfragen zur Genehmigung von BCR.
Datenexport per Einwilligung?
Artikel 49 der DS-GVO nennt eine Reihe von Ausnahmen, die eine Datenübermittlung in Drittländer auch ohne sonstige Garantien möglich machen. Die vielleicht interessanteste Ausnahme lautet im Gesetz wie folgt:
„Die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde.“
Es wäre tatsächlich fast zu einfach, um wahr zu sein: Per Vordruck eine Einwilligung einholen, und alle Hindernisse für die Datenübermittlung wären beiseite geräumt. Doch diese Ausnahmeregelung ist mit Vorsicht zu genießen, denn sie scheitert in der Praxis an der geforderten Aufklärung über die Risiken, die gar nicht einfach alle zu erfassen sind. Daher spielt diese Möglichkeit tatsächlich eine eher untergeordnete Rolle.
Praktische Fragen: Was passiert, wenn sich die Cloud im Drittland befindet?
Wer einen altmodischen Brief verschickt, bringt ihn zur Post und weiß ganz genau, an welche Adresse und in welches Land er gesendet wird. Im IT-Zeitalter ist es nicht immer so einfach, den Standort eines Servers zu identifizieren. Das Problem des „theoretischen Zugriffs“ fängt mit der unternehmenseigenen Cloud an: Möglicherweise stehen deren Server außerhalb der EU – und ein Upload kommt einem Datentransfer in ein Drittland gleich.
An dieser Stelle wird deutlich: Datentransfers in Drittländer sind nicht auf Fälle aktiver Übermittlung beschränkt. Auch die reine Möglichkeit, dass Tools personenbezogene Daten ins Ausland senden, stellt ein datenschutzrechtliches Problem dar. Hier gilt es, von dem Dienstleister (also z. B. dem Cloudanbieter) entsprechende Garantien zu fordern.
Dass ein namhafter Konzern keine Garantie ist, mit dem Datenschutz auf der sicheren Seite zu sein, zeigt das Beispiel Facebook: Dessen Fanpages stufen Datenschutzbehörden derzeit für Unternehmen als unzulässig ein. Hier ist schlicht unklar, was mit Nutzerdaten nach einer Übermittlung ins Ausland geschieht.
Ein bewährter Tipp ist es, in der unternehmerischen Praxis auf neuere IT-Lösungen zu setzen, die die Prinzipien „Privacy by Design“ und „Privacy by Default“ bereits integriert haben. Mit einer solchen Softwareunterstützung sowie einem erfahrenen Datenschutzbeauftragten an der Seite ist der erste Schritt getan, um Datentransfers innerhalb des Unternehmens wie auch in Drittländer überhaupt systematisch zu erfassen.
Was passiert bei unzulässiger Datenübermittlung in Drittländer?
Was aber passiert, wenn eine Datenübermittlung bereits unzulässig erfolgt ist? Behörden können im Falle von Verstößen Bußgelder verhängen. Ein milderes Mittel besteht zunächst darin, die Einstellung des Transfers anzuordnen. Aus Unternehmenssicht empfiehlt es sich, einen kühlen Kopf zu bewahren, die Ursache für unzulässige Transfers zu ermitteln und abzustellen – ein ähnliches Vorgehen, wie es sich auch für Datenpannen empfiehlt.
Fazit
Die Europäische Union verfügt mit der DS-GVO über ein Instrument, welches weltweit Standards im Datenschutz setzt. Entsprechend mahnt die DS-GVO zur Vorsicht beim Export von Daten in Drittländer, die diesen Standards nicht entsprechen. Lösungen gibt es im Einzelfall viele – ein erfahrener Berater kann Ihnen helfen, die Datenschutzvorgaben auch grenzüberschreitend sicher umzusetzen.
Sie haben Fragen zur Einhaltung der DS-GVO oder suchen nach einem externen Datenschutzbeauftragten?
Bei DataGuard sind zertifizierte Experten auf Augenhöhe für Sie da. Buchen Sie Ihr persönliches Gespräch mit einem Branchenexperten und lernen Sie uns persönlich kennen: