Transfer von Daten in Drittländer und ihre Vereinbarkeit mit der DSGVO

veröffentlicht am 18. Mai 2022 | Lesedauer ca. 5 Minuten

Die Übertragung von personenbezogenen Daten in Drittländer steht für viele mittel­stän­dische Unternehmen auf der Tagesordnung. Die Probleme bei Datenübertra­gungen in die USA sind durch Gerichtsurteile wie „Schrems II“ auch einer breiteren Öffentlichkeit bekannt geworden. Die Rechtfertigung, Bewertung und Abbildung von Drittlandtransfers bereiten in der Praxis vielfältige Probleme. Was sind die wesen­t­lichen Herausforderungen und Lösungsmöglichkeiten? Ein Überblick über ein kom­plexes Thema.

• Worum geht es? »

• Grundlagen: Zwei Stufen für die Erlaubnis der Datenverarbeitung und Übermittlung »

• Wann ist die Übermittlung von Daten in ein Drittland erlaubt? »

• Datentransfer in die USA »

• Datentransfer nach China und in weitere wichtige Drittländer »

• Internationale Datentransfers in mittelständischen Unternehmensgruppen »

Worum geht es?

Weltweit sind erhebliche Unterschiede im Datenschutz zu sehen. So gibt es etwa in der EU mit der DSGVO oder in Großbritannien mit dem „Data Protection Act” einen strikten Schutz von personenbezogenen Daten. In an­deren Ländern gelten jedoch weniger strenge oder teilweise auch gar keine gesetzlichen Vorgaben zum Schutz von Daten.

Die DSGVO versucht diese Unterschiede im Datenschutzniveau durch bestimmte Vorgaben auszugleichen. Ziel ist es dabei, die Daten eines Betroffenen in der EU auch außerhalb der EU zu schützen. Der EU-Gesetzgeber versucht also, das hohe Datenschutzniveau über die Unionsgrenzen hinaus aufrechtzuerhalten. Dazu hat er in der DSGVO bestimmte Instrumente vorgesehen, mit deren Hilfe auch die Datenübertragung in ein Drittland mit geringerem Datenschutzniveau ermöglicht werden kann.

Grundlagen: Zwei Stufen für die Erlaubnis der Datenverarbeitung und Übermittlung

Die Übertragung von Daten in Drittländer bedarf gemäß der DSGVO grundsätzlich einer Erlaubnis. Diese Er­laub­nis für die Übermittlung in ein Drittland ergänzt die generell (d.h. auch innerhalb der EU bestehende) Erlaubnispflicht für die Verarbeitung von Daten. Daher spricht man von zwei Stufen: Jede Datenverarbeitung bedarf einer Rechtfertigung (erste Stufe). Das kann bspw. die Erfüllung eines Vertrags sein (Art. 6 Abs. 1 lit. b DSGVO). Sollen die Daten dafür in ein Drittland übertragen werden, muss zusätzlich eine Erlaubnis für die Drittlandsübermittlung vorliegen (zweite Stufe).

Eine Ausnahme gilt für solche Drittländer, deren Datenschutzniveau jenem der EU entspricht. In diese Länder dürfen Daten auch ohne die Erlaubnis auf der „zweiten Stufe“ übermittelt werden – letztlich werden diese Län­der also behandelt wie EU-Länder. Ob das Datenschutzniveau in einem Land oder Gebiet dem EU-Niveau entspricht, legt die EU-Kommission durch einen sog. Angemessenheitsbeschluss fest. Als angemessen aner­kannt sind u.a. Andorra, Argentinien, Großbritannien, Japan und die Schweiz. Werden z.B. Daten für eine Ver­trags­erfüllung nach Japan übermittelt, gelten keine weiteren Erlaubnispflichten.

Wann ist die Übermittlung von Daten in ein Drittland erlaubt?

Die DSGVO sieht in einem eigenen Kapitel besondere Erlaubnistatbestände für eine Übermittlung in Drittländer (d.h. auf der „zweiten Stufe“) vor. Die in der Praxis relevantesten Erlaubnistatbestände sind:

Standarddatenschutzklauseln

Bei den Standarddatenschutzklauseln handelt es sich um vorformulierte Vertragsbedingungen, die die EU-Kommission erlassen hat. Sie müssen mit dem Empfänger von Daten in einem Drittland vertraglich vereinbart werden. In der Praxis kann das durch einen Vertragszusatz (etwa als Anhang zu einem Vertrag mit einem Cloud-Anbieter) geschehen. Diese auch „EU-Datenschutzklauseln“ genannten Vertragsbedingungen legen dem Empfänger der Daten eine Reihe von Pflichten auf, etwa Auskunftspflichten und die Unterwerfung unter einen Gerichtsstand in der EU. Das EU-Datenschutzniveau soll also auf vertraglichem Wege erreicht werden. Voraus­setzung für diesen erlaubten Datentransfer ist natürlich die Akzeptanz der Klauseln durch den ausländischen Vertragspartner. Dennoch handelt es sich bei den Standardvertragsklauseln um die für Unternehmen mit Ab­stand relevanteste Form der Erlaubnis für einen Drittlandsdatentransfer.

„Binding Corporate Rules“

Eine Unternehmensgruppe kann sich sog. verbindlichen internen Datenschutzvorschriften unterwerfen. Ist das der Fall, können innerhalb der Unternehmensgruppe ohne weitere Voraussetzungen Daten an teilnehmende Standorte in Drittländern übermittelt werden. Diese „Binding Corporate Rules“ sind allerdings nur dann ver­bind­lich, wenn sie von der zuständigen Aufsichtsbehörde genehmigt werden. Weil es sich um ein vergleichs­weise aufwändiges Verfahren handelt, werden Binding Corporate Rules in der Praxis bislang v.a. von sehr großen MNCs genutzt.

Ausnahmen für bestimmte Fälle

In Einzelfällen können Drittlandtransfers auch aufgrund von ausdrücklichen Einwilligungen des Betroffenen, oder zur Erfüllung eines Interesses des Betroffenen erlaubt sein. Für die regelmäßige Datenübermittlung zwi­schen Unternehmen bzw. innerhalb von Unternehmensgruppen sind diese Erlaubnistatbestände in der Praxis aber ungeeignet.

Datentransfer in die USA

Die vorgenannten Grundsätze gelten auch für die Übermittlung von personenbezogenen Daten in die USA. Für die USA gibt es keinen Angemessenheitsbeschluss, d.h. das Datenschutzniveau in den USA wird von der EU nicht als gleichwertig und angemessen anerkannt.

Weil die USA allerdings schon mit Blick auf die dortige Digitalindustrie (Google, Facebook, Salesforce, etc.) der mit Abstand wichtigste Empfänger von Daten aus der EU ist, gab und gibt es Bestrebungen, den Daten­aus­tausch zu vereinfachten. Zuletzt gab es hierzu ein Abkommen zwischen der EU und den USA, den sog. „Privacy Shield“. Dieser erlaubte die Datenübermittlung an solche US-Unternehmen, die sich einem bestimmten Zerti­fizierungsverfahren unterzogen hatten und kraft der Zertifizierung als „angemessene“ Empfänger galten. Das Abkommen wurde 2020 vom Europäischen Gerichtshof (EuGH) in der sog. „Schrems II-Entscheidung“ für un­gültig erklärt.

Damit bedarf ein Transfer von Daten in die USA wieder grundsätzlich einer Erlaubnis für den Drittlandstransfer („zweite Stufe“), wie der Vereinbarung von Standarddatenschutzklauseln oder Binding Corporate Rules.

Die Schrems-II-Entscheidung hat allerdings zusätzliche Schwierigkeiten geschaffen: Der EuGH hat fest­ge­hal­ten, dass allein die Implementierung von Standarddatenschutzklauseln oder anderen vertraglichen Garantien (z.B. Binding Corporate Rules) nicht ausreicht, um sicher zu sein, dass die Anforderungen der DSGVO für den Drittlandstransfer vollständig eingehalten werden. Es sei vielmehr in jedem konkreten Transferszenario zu un­tersuchen, ob der Empfänger der Daten auch in der Lage ist, seinen vertraglichen Pflichten nachzu­kommen. Ist das nicht der Fall, müssten zusätzliche Maßnahmen getroffen werden, die sicherstellen, dass das vereinbarte Datenschutzniveau auch tatsächlich eingehalten werden kann. Ist das auch durch zusätzliche Maßnahmen nicht zu erreichen, muss der Transfer unterbleiben.

In Bezug auf die USA wird dabei insbesondere kritisiert, dass bestimmte US-Geheimdienste auf gesetzlicher Grundlage Zugriff auf die Daten von EU-Bürgern erlangen können, die von US-Unternehmen in den USA ge­speichert werden. Große US-Anbieter bieten in der Praxis daher zusätzliche vertragliche Regelungen an („Additional Safeguard Addendums“ o.ä.), in denen sie sich z.B. weiteren Auskunftspflichten unterwerfen. Ob diese weiteren Verpflichtungen den Anforderungen aus dem Schrems-II-Urteils genügen, ist aber im Einzelfall oftmals unklar.

Datentransfer nach China und in weitere wichtige Drittländer

Während die Rechtlage in Bezug auf die USA Gegenstand zahlreicher Veröffentlichungen und behördlicher Handreichungen ist, ist etwa die Lage in Bezug auf China – ein in der Praxis sehr bedeutender Empfänger von Daten – weitgehend ungeklärt. Anders als in den USA ist insbesondere der Zugriff auf Daten durch chinesische Nachrichtendienste regulatorisch kaum nachzuvollziehen. Wie an der Stelle der Nachweis gelingen soll, dass ein Vertragspartner in China durch Standardvertragsklauseln oder durch andere Maßnahmen im Einzelfall die Anforderungen der DSGVO an den Drittlandstransfer erfüllt, muss wohl als offen gelten.

Ähnliches gilt für viele Drittländer, in denen zahlreiche Unternehmen präsent sind, in denen aber Außen­steh­ende die regulatorischen Rahmenbedingungen nicht ohne weiteres nachvollziehen können. Auch hier dürften die erforderlichen Nachweise im konkreten Fall nur mit erheblichem Aufwand zu erbringen sein.

Internationale Datentransfers in mittelständischen Unternehmensgruppen

Viele mittelständische Unternehmen haben heute Tochterunternehmen oder Niederlassungen in Ländern außerhalb Europas, etwa den USA, China, Indien oder Brasilien. Innerhalb der Unternehmensgruppen findet regelmäßig ein vielfältiger Austausch von personenbezogenen Daten – sowohl von Mitarbeitern als auch Kunden – statt. Neben der Kommunikation per E-Mail geschieht dies insbesondere durch gemeinsam genutzte IT-Systeme, wie ERP- oder CRM-Systeme, Corporate Directories oder HR-Tools (z.B. Bewerbungspools.)

Die Herausforderung für mittelständische Unternehmen besteht darin, ihre internationalen Datentransfers gleichzeitig rechtsicher und ohne übermäßigen Verwaltungsaufwand zu erfüllen. Weil die Einführung von ver­bindlichen internen Datenschutzvorschriften (Binding Corporate Rules) für mittelständische Unternehmen häufig mit zu hohem Aufwand verbunden ist, kann sich der Abschluss eines gruppeninternen Rahmenvertrags zur internationalen Datenübermittlung empfehlen. Mit dieser Gestaltung können alle Gruppenunternehmen durch Standarddatenschutzklauseln verpflichtet werden, ohne dass es zu einem – pflegeintensiven – Geflecht aus zweiseitigen Verträgen kommt. Die jeweiligen Datenkategorien und die weiteren erforderlichen Informa­tio­nen können durch zentral verwaltete Vertragszusätze (Addendums) geregelt werden. Auf die Weise lassen sich die Anforderungen an den internationalen Datentransfer mit vergleichsweise geringem Aufwand erfüllen.