Orientierungshilfe des LfDI Baden-Württemberg zum Datentransfer in Drittländer

Wie kann ein Transfer personenbezogener Daten in die USA und andere Drittstaaten nach dem Aus des EU-U.S. Privacy Shields überhaupt noch stattfinden? Vor dieser Frage standen viele Unternehmen nach dem Urteil des EuGHs von jetzt auf gleich. Der Landesbeauftragte für den Datenschutz und die Informationssicherheit Baden-Württemberg (LfDI BW) veröffentlichte hierfür eine erste allgemeine Orientierungshilfe. Unsere Zusammenfassung erklärt die wichtigsten Fakten zum Drittlandtransfer.

Empfehlungen zum Drittlandtransfer für Unternehmen

Für den Transfer personenbezogener Daten in sogenannte Drittstaaten (also außerhalb der EU bzw. des EWR) bedarf es zusätzlicher Garantien, dass dort ein mit der EU vergleichbares bzw. angemessenes Datenschutzniveau gewährleistet wird. Dies kann zum Beispiel ein Angemessenheitsbeschluss der EU-Kommission sein oder aber ein Abkommen wie das EU-U.S. Privacy Shield, welches das bereits zuvor vom EuGH für ungültig erklärte Safe-Harbor-Abkommen ersetzte.

Mit dem Richterspruch des EuGHs zum EU-U.S. Privacy Shield besteht nun erneut Unsicherheit für Behörden, Gerichte und Unternehmen, wie Daten rechtskonform in die USA, aber auch grundsätzlich in Drittländer übermitteln werden können. Die Landesaufsichtsbehörde Baden-Württemberg hat hierfür eine erste Orientierungshilfe veröffentlicht (aktueller Stand vom 7. September 2020).

Der LfDI BW gibt in seiner Orientierungshilfe den Unternehmen eine Checkliste über die notwendigen Schritte zum Datentransfer in Drittländer an die Hand. Danach sollen die folgenden Punkte unverzüglich durchdacht und erledigt werden:

Als ersten Schritt sollten Sie prüfen, in welchen Fällen Sie personenbezogene Daten in Drittländer übermitteln. Zu beachten ist, dass auch bloße Zugriffsmöglichkeiten wie etwa Schnittstellen oder Fernwartungen dazuzählen.

Wichtig ist außerdem, dass Sie Ihre Dienstleister und Vertragspartner über die EuGH-Entscheidung informieren, insbesondere über die Konsequenzen des Urteils. Bedenken Sie hierbei, dass sich die Entscheidung des EuGH hauptsächlich mit dem EU-U.S. Privacy Shield auseinandersetzt, aber auch grundlegende Folgen für den Drittlandtransfer hat.

Prüfen Sie Ihre Datenschutzerklärung und passen Sie diese ggfs. an. Dieser Punkt ist vor allem im Hinblick auf die Informationspflicht gegenüber den Betroffenen notwendig. Dabei ist neben dem Datentransfer in ein Drittland auch die jeweilige Garantie nach Art. 44 ff. DSGVO anzugeben. Das bedeutet im Falle der USA, dass Angaben zum EU-U.S. Privacy Shield zu löschen und durch nunmehr gültige Hinweise zu ersetzen sind.

Prüfen Sie Ihr Verzeichnis von Verarbeitungstätigkeiten hinsichtlich des Datentransfers in Drittländer und passen Sie es ggfs. an. Auch hier kann das EU-U.S. Privacy Shield im Falle der Datenübermittlung in die Vereinigten Staaten nicht länger als geeignete Garantie dienen.

Im Rahmen der Auftragsverarbeitung gilt es, die jeweiligen Dienstleister, die die Übermittlung von Daten nach oder deren Verarbeitung in den Vereinigten Staaten auf das EU-U.S. Privacy Shield stützen, schriftlich anzuweisen, den Datentransfer mit sofortiger Wirkung auszusetzen. Die Aussetzung soll dabei solange andauern, bis der Auftragsverarbeiter im jeweiligen Drittland ein der DSGVO entsprechendes Datenschutzniveau sichergestellt hat.

Informieren Sie sich als Unternehmen über die datenschutzrechtlichen Regelungen im jeweiligen Drittland. Dabei sind auch die Zugriffsrechte staatlicher Stellen und Geheimdienste, Ihre Rechte als Unternehmen sowie die Rechte der Betroffenen samt den Rechtsschutzmöglichkeiten und das jeweilige Datenschutzniveau zu berücksichtigen. Hilfe bei der Einordnung und Recherche kann, so das LfDI BW, bei den Aufsichtsbehörden, dem Europäischen Datenschutzausschuss (EDSA), der EU-Kommission oder dem Auswärtigen Amt gesucht werden.

Das LfDI BW gibt daneben an, dass Unternehmen sich Alternativen zum Datentransfer in Drittländer überlegen sollen. Diese können darin bestehen, Dienste ohne Drittlandstransfer von Daten zu nutzen, vertragliche Vereinbarungen zu treffen, worin geregelt wird, dass keine Daten in Drittländer übertragen werden oder die Daten zu verschlüsseln, wobei nur die beteiligten Unternehmen auf die Schlüssel zugreifen können. Ob solche Alternativen möglich sind, ist individuell auf den Einzelfall bezogen zu prüfen.

Grundsätzlich gilt, dass vor dem Datentransfer in Drittländer zu prüfen ist, ob ein Angemessenheitsbeschluss nach Art. 45 DSGVO besteht. Für einige Länder wie z.B. die Schweiz, Israel oder Kanada liegt ein solcher vor, für die USA derzeit nicht. Eine vollständige und aktuelle Liste der bestehenden Angemessenheitsbeschlüsse ist auf der Seite der Europäischen Kommission zu finden.

Bei fehlendem Angemessenheitsbeschluss können Sie den Abschluss von EU-Standardvertragsklauseln (Standard Contractual Clauses – SCC) oder, im Fall von Konzernen, den Abschluss von Binding Corporate Rules (BCR) erwägen, sofern diese jeweils tatsächlich umzusetzen sind.

So hat der EuGH in seinem Urteil klargestellt, dass für den Datentransfer in die Vereinigten Staaten SCC nur angewendet werden können, wenn zusätzliche Garantien vereinbart und auch eingehalten werden können. Der LfDI BW schlägt hierfür mehrere vertraglich zu vereinbarende Ergänzungen vor. Dabei ist u.a. die Informationspflicht des Datenimporteurs gegenüber dem Datenexporteur und den Betroffenen über rechtlich bindende Aufforderungen von Vollstreckungsbehörden zur Weitergabe der personenbezogenen Daten zu regeln sowie die Informationspflicht des Datenimporteurs gegenüber ihm bekannten Betroffenen über eingesetzte Auftragsverarbeiter (die vollständige Auflistung finden Sie in der oben verlinkten Orientierungshilfe).

Daneben kann eine Vereinbarung von BCR, unter Umständen auch mit Zusatzvereinbarungen wie bei SCC, zum Tragen kommen. Um sich auf BCR stützen zu können, müssen diese von der jeweils zuständigen Aufsichtsbehörde vorab abgenommen worden sein. Auch jede Änderung oder Zusatzvereinbarung muss dabei der zuständigen Behörde zur Genehmigung vorgelegt werden. Welche Änderungen oder Zusatzvereinbarungen zu treffen sind, damit das Datenschutzniveau gewährleistet ist, ist im Einzelfall zu überprüfen.

Sofern SCC oder BCR auch mit Zusatzvereinbarungen keinen geeigneten Schutz für die übertragenen Daten erzeugen können, ist der Datentransfer zu beenden oder auszusetzen.

Sie sollten auch prüfen, ob ein Datentransfer unter die Ausnahmefälle des Art. 49 DSGVO zu fassen ist. Insbesondere bei Einzelvertragsbeziehungen kann diese Möglichkeit bestehen. Dabei ist jedoch zu beachten, dass Art. 49 DSGVO nur Ausnahmefälle regelt und daher kaum für regelmäßige und andauernde Datentransfers in Drittstaaten herangezogen werden kann. Ein gesonderter Ratgeber, der umfassend auf den Datentransfer nach Art. 49 DSGVO eingeht, befindet sich gerade in Arbeit und wird demnächst auf unserer Website zu finden sein.

Zu guter Letzt weist der LfDI BW auf die Pflicht zur Dokumentation der oben genannten Prüfschritte und Überlegungen sowie deren Ergebnisse hin. Die Dokumentation ist zwingend notwendig, damit Sie als Unternehmen Ihren gesetzlichen Nachweispflichten nach Art. 5 Abs. 2 DSGVO nachkommen und deutlich machen, dass Sie das Thema nicht unbeachtet lassen.

Fazit: Die Unsicherheit bei Drittlandtransfer bleibt

Der LfDI BW gibt Unternehmen, insbesondere mit Sitz in Baden-Württemberg, einen ersten guten Fahrplan an die Hand, was den Datentransfer in Drittländer und vor allem in die Vereinigten Staaten nach dem EuGH-Urteil betrifft. Die Orientierungshilfe ist aber auch vorsichtig als eben solche anzusehen. Weder die Datenschutzkonferenz (DSK)noch der EDSA haben sich den getroffenen Aussagen angeschlossen. Um jedoch eine europäische Lösung voranzutreiben, hat der EDSA bereits eine Taskforce zum Drittlandtransfer zusammengestellt.

Für Ihr Unternehmen können Sie zunächst die Orientierungshilfe des LfDI BW heranziehen, um sich einen Überblick der notwendigen Prüfungen und Handlungen den Datentransfer betreffend zu verschaffen. Involvieren Sie hierbei unbedingt Ihren Datenschutzbeauftragten. Abschließend ist das Thema aber vor allem auf europäischer Ebene noch nicht geklärt und ist daher weiter zu verfolgen. Abonnieren Sie dafür einfach unseren kostenlosen Datenschutz-Newsletter.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Netiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen. Informationen zu der Verarbeitung Ihrer personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.