Die Digitalisierung geschäftlicher Prozesse ermöglicht vielen Unternehmen ein effektives Arbeiten auf internationaler Ebene. Damit geht nicht selten ein länderübergreifender Datenaustausch einher, wenn zum Beispiel Dienste von internationalen Software- oder Cloud-Anbietern genutzt werden. Während auf europäischer Ebene die Regelungen der DSGVO greifen, sind bei Drittlandübermittlungen zusätzliche Garantien erforderlich, um ein vergleichbares Datenschutzniveau zu gewährleisten. Rechtliche Entscheidungen wie das Schrems II Urteil verdeutlichen, dass die Einhaltung der Datenschutzgarantien einer ständigen Überprüfung bedarf.
DSGVO und Drittländer: Was gilt es zu beachten?
Innerhalb der EU gelten die Datenschutzbestimmungen der DSGVO und regeln damit die Erfassung und Verarbeitung von personenbezogenen Daten. In Unternehmen außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums (Drittländern) gelten wiederum andere Gesetze in Bezug auf Datenschutz, woraus sich aus europäischer Sicht zwei Tatbestände ergeben:
Bieten Länder ein gleichwertiges oder höheres Datenschutzniveau, erleichtern sie die Vereinbarkeit des internationalen Datentransfers für in Europa ansässige Unternehmen. Allerdings nur dann, wenn die Europäische Kommission darüber einen Angemessenheitsbeschluss verabschiedet. Darunter fallen beispielsweise Länder wie die Schweiz oder auch Neuseeland.
Ist das Datenschutzniveau in den Ländern außerhalb der EU dagegen niedriger, bedarf es andere geeignete Garantien, um eine Brücke schlagen zu können. Zum Einsatz kommen dann Standarddatenschutzklauseln, die in bestehende Vereinbarungen zum Datenschutz aufgenommen werden. Auch einzeln ausgehandelte Vertragsklauseln können Bestand haben, die jedoch vorab von der zuständigen Aufsichtsbehörde genehmigt werden müssen.
Welche Bedeutung hat das Schrems II Urteil vom EuGH für den internationalen Datentransfer?
Für den Datentransfers in die USA galt seit 2016 das EU-U.S. Privacy Shield Abkommen als Grundlage, um den internationalen Datenaustausch aus datenschutzrechtlicher Sicht zu legitimieren. Mit diesem Angemessenheitsbeschluss wurde festgelegt, dass die verabschiedeten Regelungen dem Datenschutzniveau der Europäischen Union entsprechen. Mit dem Schrems II Urteil jedoch kippte der EuGH das Privacy Shield Abkommen am 16. Juli 2020. Zugleich wurden die Anforderungen an einen rechtssicheren Datenaustausch angehoben. Die bislang verwendeten Standarddatenschutzklauseln reichen nun mitunter nicht mehr aus, um den internationalen Datentransfer rechtssicher auszuführen. Nach Ansicht der Behörden sind sie nicht ausreichend, um die Nutzerdaten vor Zugriffen der US-Sicherheitsbehörden zu schützen. Betroffene Unternehmen sollten das Schutzniveau explizit prüfen und gegebenenfalls durch zusätzliche Maßnahmen anheben.
Internationaler Datentransfer: Prüfung durch Aufsichtsbehörden
Die Umsetzung der Schrems II Entscheidung wird von den Datenschutzbehörden aus verschiedenen Bundesländern geprüft. So zumindest lautet eine Ankündigung vom 1. Juni 2021. Die Behörden haben sich hierbei darauf geeinigt, anhand von gemeinsam abgestimmten Fragebögen an Unternehmen heranzutreten, welche vermehrt Dienstleister aus Drittländern einsetzen. Die Prüfung der Datenübermittlung bezieht sich auf folgende Bereiche:
- E-Mail-Versand
- Hosting von Internetseiten
- Webtracking
- Verwaltung von Bewerberdaten
- Konzerninterner Datentransfer.
Die Aufsichtsbehörden entscheiden hierbei individuell, in welchem Umfang sie aktiv tätig werden. Das bezieht sich beispielsweise auch darauf, welche Fragebögen schwerpunktmäßig versendet werden.
Damit Ihr Unternehmen auf der sicheren Seite ist, empfehlen wir Ihnen, die Fragen proaktiv für Ihr Unternehmen zu beantworten. Sollten Sie Defizite feststellen, beheben Sie diese umgehend in Zusammenarbeit mit Ihrem Datenschutzbeauftragten oder Rechtsexperten.
Am 16. Juli 2020 wurde vom Europäischen Gerichtshof ein Urteil gefällt, welches unter Schrems II bekannt wurde. Als Folge ergeben sich daraus neue datenschutzrechtliche Anforderungen für den internationalen Datenaustausch mit Unternehmen außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums. Um die Einhaltung der Datenschutzrichtlinien zu prüfen, führen entsprechende Aufsichtsbehörden länderübergreifende Kontrollen durch.
Autor: Team datenschutzexperte.de
Artikel veröffentlicht am 16.03.2022