Datenübermittlung in Drittländer: Was müssen Unternehmen beachten?

Das Wichtigste in Kürze

  • Sobald Daten in Drittländer übermittelt werden, sind diverse datenschutzrechtliche Vorschriften zu beachten.
  • Ob und wie eine Übermittlung zulässig ist, hängt entscheidend vom Datenschutzniveau im Zielland ab.
  • Nur wenige Länder erkennt die EU im Datenschutz als gleichwertig an – die USA gehören nicht dazu.
  • Instrumente wie Standardvertragsklauseln oder Binding Corporate Rules können die Datenübermittlung dennoch ermöglichen.
  • Neben der aktiven Übermittlung ist auch der theoretische Zugriff auf Daten zu bedenken – etwa beim Serverstandort.
  • Es gibt eine Reihe von Ausnahmen bei diesen Regelungen.

In diesem Beitrag:

Daten können heute per Knopfdruck innerhalb von Sekunden um den gesamten Erdball geschickt werden. Das ist bequem und nützlich, doch die Kehrseite der Medaille ist: Mit diesem beiläufigen Knopfdruck können personenbezogene Daten in Drittländer gelangen, ohne dass wir eine Kontrolle darüber haben, was dort mit ihnen geschieht. In diesem Beitrag erfahren Sie, welche Regeln die EU aufgestellt hat, wenn Daten außerhalb des Geltungsbereiches der DS-GVO geschickt werden.

Wann kommt es zu einer Datenübermittlung in ein Drittland?

Sobald personenbezogene Daten von einer Stelle an eine andere gesendet werden, sprechen wir von Datenübermittlung. Eine Datenübermittlung in ein Drittland im Sinne der Datenschutz-Grundverordnung (DS-GVO) liegt dann vor, wenn der Empfänger der Daten sich außerhalb der Europäischen Union (EU) und des Europäischen Wirtschaftsraums (EWR) befindet. Je nach Datenschutzniveau vor Ort formuliert die DS-GVO hierfür unterschiedliche Anforderungen.

Was ist die Zwei-Stufen-Prüfung?

Doch bevor wir diese Anforderungen im Einzelnen betrachten, gehen wir einen Schritt zurück: In einer ersten Stufe muss vor jeder Datenübermittlung geprüft werden, ob diese grundsätzlich zulässig ist. Denn auch im Inland bzw. innerhalb von EU und EWR stellt die DS-GVO Spielregeln auf, die bei der Datenübermittlung beispielsweise innerhalb von Konzernen, in Praxen oder zwischen Unternehmen und Freelancern zu beachten sind.

Ist die geplante Datenübermittlung grundsätzlich DS-GVO-konform, kann der zweite Prüfungsschritt folgen. Hier geht es nun um die länderspezifischen Anforderungen, die eine Datenübermittlung ermöglichen oder an Auflagen binden. Die Zwei-Stufen-Prüfung zur Datenübermittlung in Drittländer besteht also aus den folgenden Etappen:

  1. Ist die Datenübermittlung grundsätzlich möglich?
  2. Wie ist sie im Einzelfall ins geplante Zielland möglich?

Auf die zweite Prüfstufe gibt es wiederum zwei Möglichkeiten:

  1. Die einfache Lösung: Die Europäische Kommission attestiert dem Drittland einen Datenschutz auf europäischem Niveau. Es gelten keine speziellen Anforderungen an die Datenübermittlung in diese Staaten außer denen, die auch innerhalb der EU gelten. Welche Staaten das sind, erfahren Sie im folgenden Abschnitt.
  • Die komplizierte Lösung: Hat die EU-Kommission das angemessene Datenschutzniveau für ein bestimmtes Land nicht bestätigt, muss näher betrachtet werden, wie im Einzelfall der Datenschutz dennoch gewährleistet werden kann – oder ob ein Ausnahmetatbestand den Datentransfer ermöglicht.

In welche Drittländer können Daten problemlos übermittelt werden?

Neben den 27 Staaten der EU (ohne Großbritannien nach dessen Austritt) und den weiteren EWR-Staaten Island, Liechtenstein und Norwegen hat die Europäische Kommission für folgende Staaten sogenannte Angemessenheitsbeschlüsse getroffen:

  • Andorra
  • Argentinien
  • Kanada (mit Einschränkungen)
  • Färöer-Inseln
  • Guernsey
  • Isle of Man
  • Israel
  • Japan
  • Jersey
  • Neuseeland
  • Schweiz
  • Uruguay

Südkorea kann nach Abschluss entsprechender Gespräche ebenfalls darauf hoffen, dass die EU das dortige Datenschutzniveau als gleichwertig anerkennt. Auch ein weiteres Land vermisst man auf dieser Liste: Welche Szenarien von Experten derzeit für das künftige Verhältnis zwischen EU und Vereinigtem Königreich durchgespielt werden, erfahren Sie in unserem Artikel zum Thema Brexit und Datenschutz.

Der Sonderfall USA

Als informelle Absprache zwischen Europäischer Union und Vereinigten Staaten sollte der EU-US Privacy Shield (auch EU-US-Datenschutzschild) amerikanischen Unternehmen eine Art Selbstverpflichtung zu europäischen Datenschutzstandards ermöglichen. Im Gegenzug betrachtete die EU eine Datenübermittlung in die USA als angemessen. Doch mit dem sogenannten Schrems-II-Urteil kippte der Europäische Gerichtshof (EuGH) diese Regelung im Jahr 2020.

Die europäischen Richter monierten in ihrem Urteil, dass umfassende Befugnisse amerikanischer Geheimdienste einen wirksamen Schutz personenbezogener Daten, der den DS-GVO-Standards entsprechen würde, unmöglich machten. Somit entspricht der Status der USA bis auf Weiteres dem anderer Drittländer, denen die EU bisher kein angemessenes Datenschutzniveau bescheinigt hat. Als Grundlage für Datentransfers kommen die unten genannten Instrumente wie BCR oder SCC infrage.

Wie ist die Datenübermittlung mit Garantien möglich?

Nun wird es zunehmend komplizierter: Wenn der Empfänger personenbezogener Daten seinen Sitz weder in der EU oder dem EWR noch in einem der als sicher eingestuften Drittstaaten hat, müssen in der Regel andere Garantien für eine DS-GVO-konforme Verarbeitung der Daten im Ausland bürgen. Welche können dies sein? Hier führen zahlreiche Wege nach Rom, denn die DS-GVO sieht eine ganze Reihe von Möglichkeiten vor. In der Praxis lassen sich zwei große Gruppen unterscheiden:

  • Genehmigungsfreie Möglichkeiten: Hier existieren beispielsweise von der Europäischen Kommission beschlossene Standardklauseln für Verträge. Werden diese von den Vertragsparteien unverändert akzeptiert, ist keine Genehmigung durch die Behörden nötig.
  • Genehmigungspflichtige Möglichkeiten: Eine internationale Konzerngruppe etwa hat die Möglichkeit, verbindliche interne Datenschutzvorschriften zu formulieren. Diese sogenannten Binding Corporate Rules, kurz BCR, müssen allerdings behördlich genehmigt werden.

Wie können Standardvertragsklauseln helfen?

Die von der Europäischen Kommission formulierten Standardvertragsklauseln (SCC) zur Datenübermittlung in Drittländer sind in der Praxis aus einem einfachen Grund beliebt: Sie lassen sich online herunterladen und einfach ausfüllen. Akzeptiert und befolgt der Vertragspartner sie, ist die Datenübermittlung ins Drittland an diesen Vertragspartner zulässig, obwohl dieses Drittland nicht von der Kommission als ein Staat mit einem angemessenen Datenschutzniveau eingestuft wird

Aber Achtung: Werden die Standardformulierungen auch nur geringfügig zum Nachteil des Datenschutzniveaus abgeändert, können sie nicht mehr ohne weitere behördliche Genehmigung als Grundlage für die Datenübermittlung in Drittländer gelten. Jederzeit zulässig sind hingegen solche Ergänzungen, die den Datenschutzstandard über die Vorgaben hinaus verbessern.

Was sind Binding Corporate Rules?

Möchte ein international agierender Konzern seine Datenschutzbestimmungen flexibler gestalten, als es die von der EU-Kommission vorgegebenen Standardformulierungen zulassen, können die sogenannten Binding Corporate Rules (BCR) das Mittel der Wahl sein. Sie sind, wie der Name bereits sagt, „verbindliche interne Datenschutzvorschriften“ und keine bloße Absichtserklärung für den Datenschutz.

Als solche müssen die BCR von den zuständigen Aufsichtsbehörden genehmigt werden. Die Flexibilität bei den einzelnen Bestimmungen wird also durch ein komplizierteres Verfahren zur Genehmigung erkauft. In der Praxis sind wohl aus diesem Grund die Standardklauseln bei vielen Unternehmen beliebter, die Datenschutzbehörden melden nur verhältnismäßig wenige Anfragen zur Genehmigung von BCR.

Datenexport per Einwilligung?

Artikel 49 der DS-GVO nennt eine Reihe von Ausnahmen, die eine Datenübermittlung in Drittländer auch ohne sonstige Garantien möglich machen. Die vielleicht interessanteste Ausnahme lautet im Gesetz wie folgt:


„Die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde.“

Es wäre tatsächlich fast zu einfach, um wahr zu sein: Per Vordruck eine Einwilligung einholen, und alle Hindernisse für die Datenübermittlung wären beiseite geräumt. Doch diese Ausnahmeregelung ist mit Vorsicht zu genießen, denn sie scheitert in der Praxis an der geforderten Aufklärung über die Risiken, die gar nicht einfach alle zu erfassen sind. Daher spielt diese Möglichkeit tatsächlich eine eher untergeordnete Rolle.

Praktische Fragen: Was passiert, wenn sich die Cloud im Drittland befindet?

Wer einen altmodischen Brief verschickt, bringt ihn zur Post und weiß ganz genau, an welche Adresse und in welches Land er gesendet wird. Im IT-Zeitalter ist es nicht immer so einfach, den Standort eines Servers zu identifizieren. Das Problem des „theoretischen Zugriffs“ fängt mit der unternehmenseigenen Cloud an: Möglicherweise stehen deren Server außerhalb der EU – und ein Upload kommt einem Datentransfer in ein Drittland gleich.

An dieser Stelle wird deutlich: Datentransfers in Drittländer sind nicht auf Fälle aktiver Übermittlung beschränkt. Auch die reine Möglichkeit, dass Tools personenbezogene Daten ins Ausland senden, stellt ein datenschutzrechtliches Problem dar. Hier gilt es, von dem Dienstleister (also z. B. dem Cloudanbieter) entsprechende Garantien zu fordern.

Dass ein namhafter Konzern keine Garantie ist, mit dem Datenschutz auf der sicheren Seite zu sein, zeigt das Beispiel Facebook: Dessen Fanpages stufen Datenschutzbehörden derzeit für Unternehmen als unzulässig ein. Hier ist schlicht unklar, was mit Nutzerdaten nach einer Übermittlung ins Ausland geschieht.

Ein bewährter Tipp ist es, in der unternehmerischen Praxis auf neuere IT-Lösungen zu setzen, die die Prinzipien „Privacy by Design“ und „Privacy by Default“ bereits integriert haben. Mit einer solchen Softwareunterstützung sowie einem erfahrenen Datenschutzbeauftragten an der Seite ist der erste Schritt getan, um Datentransfers innerhalb des Unternehmens wie auch in Drittländer überhaupt systematisch zu erfassen.

Was passiert bei unzulässiger Datenübermittlung in Drittländer?

Was aber passiert, wenn eine Datenübermittlung bereits unzulässig erfolgt ist? Behörden können im Falle von Verstößen Bußgelder verhängen. Ein milderes Mittel besteht zunächst darin, die Einstellung des Transfers anzuordnen. Aus Unternehmenssicht empfiehlt es sich, einen kühlen Kopf zu bewahren, die Ursache für unzulässige Transfers zu ermitteln und abzustellen – ein ähnliches Vorgehen, wie es sich auch für Datenpannen empfiehlt.

Fazit

Die Europäische Union verfügt mit der DS-GVO über ein Instrument, welches weltweit Standards im Datenschutz setzt. Entsprechend mahnt die DS-GVO zur Vorsicht beim Export von Daten in Drittländer, die diesen Standards nicht entsprechen. Lösungen gibt es im Einzelfall viele – ein erfahrener Berater kann Ihnen helfen, die Datenschutzvorgaben auch grenzüberschreitend sicher umzusetzen.


Über den Autor

Boris Otterbach

Mit dem Thema Datenschutz kam der Jurist Boris Otterbach schon während seines Studiums in Berührung, wo er sich intensiv mit Europarecht und Menschrechtsschutz befasste: „Datenschutz ist ein Menschenrecht. Die DSGVO hilft dabei, dass wir gemeinsame europäische Rahmenbedingungen schaffen, damit wir alle den gleichen Schutz erfahren. Diese gesetzlichen Rahmen müssen mit pragmatischen, alltagsfähigen Lösungen befüllt werden.“ Der Einstieg in den Datenschutz war für ihn der nächste logische Schritt: Heute unterstützt er KMUs aus den Bereichen Personalwesen, Hotel und Gastronomie dabei, Datenschutz im Alltag umzusetzen – und räumt nebenbei mit Mythen rund um das Thema DSGVO auf. Auch privat stellt er sich gern neuen Herausforderungen – zum Beispiel beim Bouldern, wo er mit Konzentration, Geschick und Körperbeherrschung die Kletterwand erklimmt.

Weitere Beiträge von Boris Otterbach

Über den Autor

Marine Serebrjakova

Wie hochbrisant das Thema Datenschutz ist, wurde der Rechtsanwältin Marine Serebrjakova schon früh in ihrer beruflichen Laufbahn bewusst. Mit wachsender Skepsis beobachtete sie, wie Verbraucher und Unternehmen sorglos ihre sensiblen Daten über soziale Medien teilen. Deshalb beschloss Marine, sich voll und ganz dem Datenschutz zu verschreiben. Bei DataGuard entwickelt sie pragmatische Datenschutzlösungen für ihre Kunden und leistet gleichzeitig Aufklärungsarbeit. Denn: „Aktuell werden im Zuge der DSGVO die Weichen dafür gelegt, wie zukünftige Generationen und somit Recht, Politik und Gesellschaft mit dem Datenschutz umgehen werden.“ Dieser Leitsatz bestimmt auch ihren Arbeitsalltag und ihr Handeln. Mit einer klitzekleinen Ausnahme: „Für DataGuard habe ich mit meinem Kodex gebrochen und mich zu einem Fun-Post in Social Media hinreißen lassen.“

Weitere Beiträge von Marine Serebrjakova

Keine Beiträge mehr verpassen!

Möchten Sie zu Datenschutz und Datensicherheit auf dem Laufenden bleiben? Praktische Tipps und Einladungen zu Webinaren und Online-Fragestunden erhalten Sie über unser monatliches E-Mailing.

Weitere Informationen finden Sie in unserer Datenschutzerklärung.

close

Vielen Dank

für Ihre Anfrage.

Wir setzen uns zeitnah mit Ihnen in Verbindung, um Ihr persönliches Erstgespräch zu terminieren.

01

Sie erhalten innerhalb weniger Minuten eine Bestätigungs-E-Mail mit allen wichtigen Informationen. Sie sind nur noch einen Klick von Ihrem Erstgespräch entfernt.

02

Wir rufen Sie zu der vereinbarten Zeit unter der angegebenen Telefonnummer an. Alle Fragen die Sie haben sollten, beantworten wir dann gerne. Wir freuen uns auf das Gespräch mit Ihnen!

Wir machen Ihnen umgehend ein passendes Angebot. Gerne können Sie uns auch einfach anrufen:
089 442 550 - 62649 (wir arbeiten bundesweit)

Buchen sie hier direkt einen Termin mit einem unserer Experten.

Jetzt direkt Termin buchen

Oder senden Sie dieses Formular ab und erhalten erste Informationen. Einer unserer Experten wird Sie daraufhin kontaktieren.

Buchen sie hier direkt einen Termin mit einem unserer Experten.

Jetzt direkt Termin buchen

Oder senden Sie dieses Formular ab und erhalten erste Informationen. Einer unserer Experten wird Sie daraufhin kontaktieren.






Sie können der Verwendung Ihrer E-Mail-Adresse jederzeit widersprechen. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

[honeypot fc_website_h]


































Angebot erhalten
49 (89) 442 55062 - 000 bundesweiter Service