Standarddatenschutzklauseln: Die Lösung beim Drittlanddatentransfer?

Standarddatenschutzklauseln: Die Lösung beim Drittlanddatentransfer?

Am 16.07.2020 kippte der EuGH durch sein Urteil (C-311/18) die Gültigkeit des EU-US Privacy Shields. Selbst jetzt – fast ein Jahr später – erzeugt dieses Thema noch immer Unsicherheit bei Verantwortlichen. Der Grund dieser Unsicherheit ist, dass die Datenschutzaufsichtsbehörden das EU-US Privacy Shield nicht mehr als Mittel für ein angemessenes Schutzniveau in den USA ansehen. Als Folge dessen erschienen die Standarddatenschutzklauseln als rettender Strohhalm. Aber: Sind die Standarddatenschutzklauseln die Lösung beim Drittlanddatentransfer?

Transfer von Daten in ein Drittland

Wenn ein Verantwortlicher Daten in ein anderes Land übermittelt, muss er auch dabei beachten, dass der Datenschutz gewährleistet ist. Vor allem braucht er auch eine Rechtsgrundlage für diese Verarbeitung! (Mehr dazu in einem unserer kommenden Beiträge.) Des Weiteren muss der Verantwortliche beachten, um welche „Art“ von Land es sich handelt. Dabei stellt sich die Frage, ob es sich um ein Land handelt, welches sich in der EU befindet oder außerhalb der EU und des EWR. Befindet sich das Unternehmen, an welches der Verantwortliche die Daten übermittelt – also beispielsweise im Fall einer Auftragsverarbeitung oder einer gemeinsamen Verantwortlichkeit -, in der EU, ist es vom Standort her schon verpflichtet, der Regelungen der DSGVO einzuhalten. Befindet sich dieses Unternehmen aber außerhalb der EU, sind weitere Grundsätze für die Datenübermittlung gemäß Art. 44 DSGVO zu beachten.

Datenübermittlung aufgrund eines Angemessenheitsbeschlusses (Art. 45 Abs. 1 DSGVO)

Hierbei ist eine Übermittlung von personenbezogenen Daten in ein Drittland erlaubt, wenn die Europäische Kommission einen Angemessenheitsbeschluss erlassen hat. – Eine Liste der Länder mit einem Angemessenheitsbeschluss können Interessierte hier finden. – In solch einem Fall hat die Europäische Kommission nach entsprechender Prüfung beschlossen, dass das jeweilige Land ein angemessenes Schutzniveau für die Verarbeitung personenbezogener Daten bietet.

Datenübermittlung aufgrund geeigneter Garantien (Art. 46 Abs. 1 DSGVO)

Gemäß diesem Artikel kann ein Verantwortlicher bei der Übermittlung personenbezogener Daten geeignete Garantien in Form

1) eines „[…] rechtlich bindenden und durchsetzbaren Dokuments [sic] zwischen den Behörden oder öffentlichen Stellen,

2) verbindlicher [sic] interner [sic] Datenschutzvorschriften gemäß Artikel 47 DSGVO […]“,

3) – der viel diskutierten – Standarddatenschutzklauseln,

4) genehmigten Verhaltensregeln,

5) eines Zertifizierungsmechanismus‘ gemäß Art. 42 DSGVO,

6) Vertragsklauseln oder

7) anderer in Verwaltungsvereinbarungen eingeschlossener Bestimmungen.

Verbindliche interne Datenschutzvorschriften (Art. 47 DSGVO)

In diesem Fall hat ein Unternehmen interne Datenschutzvorschriften erarbeitet. Demnach gelten diese als verbindlich. Um eine Gültigkeit zu besitzen, prüft die Datenschutzaufsichtsbehörde diese nach verschiedenen Aspekten (Art. 47 Abs. 2 DSGVO) und genehmigt sie gegebenenfalls.

Ausnahmen (Art. 49 Abs. 1 DSGVO)

Wenn ein Verantwortlicher eine Übermittlung von Daten in ein Drittland nicht aufgrund einer der vorhergehend genannten Verfahren und Garantien durchführen kann, kann er dies mit Einschränkungen unter folgenden Bedingungen dennoch machen:

1) mit Einwilligung der betroffenen Person (Art. 49 Abs. 1 lit. a) DSGVO),

2) zur Erfüllung (vor-)vertraglicher Maßnahmen (Art. 49 Abs. 1 lit. b) DSGVO),

3) zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen geschlossenen Vertrages (Art. 49 Abs. 1 lit. c) DSGVO),

4) aus wichtigen Gründen des öffentlichen Interesses (Art. 49 Abs. 1 lit. d) DSGVO),

5) zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (Art. 49 Abs. 1 lit. e) DSGVO),

6) zum Schutz lebenswichtiger Interessen (Art. 49 Abs. 1 lit. f) DSGVO) oder

7) aufgrund eines Registers „[…], das gemäß dem Recht der Union oder der Mitgliedstaaten zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offensteht […]“ (Art. 49 Abs. 1 lit g) DSGVO).

Warum sind die Standarddatenschutzklauseln so populär?

Bei Betrachtung all der Bedingungen, die gegeben sein müssen, um einen Datentransfer in ein unsicheres Drittland ausführen zu dürfen, erscheint die Variante der Standarddatenschutzklauseln als die einfachste. Hierzu gibt es bereits von den Datenschutzaufsichtsbehörden genehmigte Vorlagen (Link zum Dokument für die Übermittlung an Empfänger, die die Daten als Verantwortliche erhalten; Link zum Zweck der Auftragsverarbeitung). – Zu betonen ist allerdings, dass die Europäische Kommission in Kürze eine überarbeitete Version der Standardvertragsklauseln veröffentlichen wird. – Diese Vorlage können Vertragsparteien verwenden. Veränderungen bedürfen wiederum einer Genehmigung durch die Aufsichtsbehörden. Dabei bedenken die Verantwortlichen, die personenbezogene Daten in ein unsicheres Drittland exportieren jedoch nicht, dass die Standarddatenschutzklauseln nicht als einzige Garantie verwendet werden können. Dazu kommt, dass sie das tatsächliche Schutzniveau überprüfen müssen. Dabei sind auch die Rechtsvorschriften im jeweiligen Land näher zu untersuchen.

Landesspezifische Rechtsvorschriften

Die DSGVO ist kein Gesetz, sondern sie ist eine Verordnung. Sie als EU-Verordnung wirkt aber wie ein Gesetz. Nicht selten kommt es bei der Durchsetzung der DSGVO und einem Gesetz eines Landes zu Widersprüchen. Das passiert nicht nur bei Anwendung der DSGVO und den Gesetzen in der EU selbst. Um wieder zum Thema des Drittlanddatentransfers zurückzukehren, zeigt sich nicht selten, wie sehr die DSGVO mit Gesetzen des jeweiligen Drittlandes im Widerspruch steht. Hierbei nehmen wir uns dem – inzwischen wahrscheinlich berühmten – Beispiel der Vereinigten Staaten an, jedoch ohne in die Tiefe der Gesetze der Vereinigten Staaten einzutauchen.

Der Datenschutz und die Vereinigten Staaten

Wie seit dem Schrems II-Urteil vom letzten Jahr und dessen Erklärung der Unwirksamkeit des Privacy Shield bekannt sein dürfte, hat der Datenschutz nicht den gleichen Stellenwert in den Vereinigten Staaten wie in der EU. Da auch das Datenschutzniveau rechtlicher Vorschriften nicht dem der EU entspricht, kam es unter anderem zu dem Urteil. Durch den USA PATRIOT Act, der am 26. Oktober 2001 in den Vereinigten Staaten verabschiedet wurde und den in März 2018 verabschiedeten CLOUD Act, erhielten die amerikanischen Behörden sehr ausgeweitete Befugnisse. Folglich ermöglichten ihnen eben diese Befugnisse, ohne richterliche Anordnung auf personenbezogene Daten zugreifen zu können. Dabei erhalten die betroffenen Personen unter anderem keinen ausreichenden Rechtsschutz gegen die möglichen Überwachungsmaßnahmen.

Zurück zu den Standarddatenschutzklauseln

Die Standarddatenschutzklauseln allein garantieren also kein Datenschutzniveau, welches dem der EU gleichkommt. Auch ist es einem Unternehmen mit Sitz in den Vereinigten Staaten vom Gesetz her nicht möglich, den Behörden den Zugriff auf die personenbezogenen Daten von in der EU ansässigen Bürgern zu verwehren. So wie die Europäische Kommission die Vereinigten Staaten demnach als unsicheres Drittland bewertet, verhält es sich übrigens auch mit anderen Ländern, für die es bisher keinen Angemessenheitsbeschluss gibt.

Lösungsansätze für den Datentransfer in ein unsicheres Drittland

Nun stellt sich bei Verantwortlichen die Frage, was sie unternehmen können, um den Datenschutz trotz Datentransfer in ein unsicheres Drittland zu gewährleisten. Zum einen bietet unser Beitrag „Standardvertragsklauseln und die DSGVO“ Anhaltspunkte zum weiteren Vorgehen, zum anderen kann ein Datenexporteur die unrechtmäßige Verarbeitung personenbezogener Daten in einem unsicheren Drittland durch eine vorherige Verschlüsselung dieser unterbinden. Weitere Handlungsempfehlungen von Aufsichtsbehörden, Institutionen und Organisationen können Interessenten auch hier einsehen.

Weitere Folgen für Verantwortliche

Ein Unternehmen, eine Arztpraxis, ein Verein oder eine sonstige Einrichtung sollte folglich unbedingt prüfen, welche Anbieter bei der Verarbeitung personenbezogener Daten zum Einsatz kommen. Befinden sich diese Anbieter nämlich in einem unsicheren Drittland – und hierbei sprechen wir nicht ausschließlich von den Vereinigten Staaten – sind weitere Maßnahmen zu ergreifen, um den Schutz und die Sicherheit der verarbeiteten personenbezogenen Daten zu gewährleisten. Stellt sich dies als nicht möglich heraus, empfehlen wir Verantwortlichen, einen Anbieter zu suchen, der sich in der EU befindet und damit der DSGVO unterliegt.

Bei so mancher Verarbeitungstätigkeit lässt sich allerdings kein geeigneter Anbieter in der EU finden ist, dessen Dienstleistung der eines Anbieters in einem unsicheren Drittland gleichkommt. Folglich ist abzuwägen, ob man den Status Quo beibehält. Bei dieser Abwägung ist das Risiko für die Rechte und Freiheiten der Betroffenen dem Interesse des Verantwortlichen an der Durchführung der Verarbeitungstätigkeit mittels dieses Dienstleisters gegenüberzustellen. Natürlich ist diese Abwägung für eine eventuelle Anfrage der Datenschutzaufsichtsbehörde zu dokumentieren.

Fazit

Die Übermittlung personenbezogener Daten in ein Drittland ist bei der Analyse des Standes des Datenschutzes in einem Unternehmen wichtig. Dabei – und auch bei der generellen Einführung des Datenschutzes in Ihrem Unternehmen – können wir von der dpc Data Protection Consulting GmbH auf sowohl technischer als auch juristischer Ebene helfen. Kontaktieren Sie uns dafür.

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.