Categories: Workspace

Wie es mit Datenübermittlungen in Drittstaaten weitergeht

Neue Rechtsunsicherheit für internationalen Datenaustausch, meldete der Digitalverband Bitkom Anfang Oktober 2017. Anlass war, dass der Europäische Gerichtshof (EuGH) die sogenannten Standardvertragsklauseln prüfen wird. Dabei nutzt gegenwärtig die große Mehrheit der Unternehmen genau dieses Instrument der Standardvertragsklauseln bei Datentransfers in die USA.

Mit den Standardvertragsklauseln soll die Rechtsgrundlage für die Datenübermittlung geschaffen werden, denn die Übermittlung personenbezogener Daten in die USA und/oder in andere Drittstaaten ist nur zulässig, wenn das Unternehmen im Vorfeld geprüft hat, ob ein angemessener Schutz dieser Daten auch nach der Übermittlung im Zielland sichergestellt ist.

Die Datenschutz-Grundverordnung (DSGVO / GDPR) sieht bei Datenübermittlungen insbesondere folgende Möglichkeiten vor (abgesehen von den Ausnahmen für besondere Fälle, Artikel 49): Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses (Artikel 45 DSGVO) und Datenübermittlung vorbehaltlich geeigneter Garantien (Artikel 46 DSGVO). Als geeignete Garantien gelten nach DSGVO:

  1. a) ein rechtlich bindendes und durchsetzbares Dokument zwischen den Behörden oder öffentlichen Stellen,
  2. b) verbindliche interne Datenschutzvorschriften gemäß Artikel 47 DSGVO,
  3. c) Standarddatenschutzklauseln, die von der Kommission gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 erlassen werden,
  4. d) von einer Aufsichtsbehörde angenommenen Standarddatenschutzklauseln, die von der Kommission gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 genehmigt wurden,
  5. e) genehmigte Verhaltensregeln gemäß Artikel 40 zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters in dem Drittland zur Anwendung der geeigneten Garantien, einschließlich in Bezug auf die Rechte der betroffenen Personen, oder
  6. f) ein genehmigtes Zertifizierungsmechanismus gemäß Artikel 42 zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters in dem Drittland zur Anwendung der geeigneten Garantien, einschließlich in Bezug auf die Rechte der betroffenen Personen.

Nach der Unsicherheit bei Privacy Shield (im Sinne eines Angemessenheitsbeschlusses der EU-Kommission) sind nun die Standarddatenschutzklauseln als geeignete Garantie in Frage gestellt. Bei Privacy Shield gibt es laut EU-Kommission Verbesserungsbedarf, die Entscheidung des EuGH zu den Standardvertragsklauseln steht aus. Wie sollen sich Unternehmen in Deutschland nun verhalten?

Der Weg: Prüfen, Abwarten, neue Instrumente nutzen

Gegenwärtig und bis auf weiteres gilt: Personenbezogene Daten können an US-Unternehmen entweder bei bestehender EU-US-Privacy Shield-Zertifizierung oder auf Grundlage der EU-Standardvertragsklauseln übermittelt werden. Im Konzernverbund können BCRs (Binding Corporate Rules) zur Anwendung gebracht werden.

Die Aufsichtsbehörden für den Datenschutz haben Informationen für Unternehmen zusammengestellt, wie diese sich hinsichtlich Privacy Shield verhalten sollten. Hier gilt es, sich regelmäßig mit den Informationen dazu zu befassen, da die Aufsichtsbehörden noch eine Stellungnahme zum Stand von Privacy Shield veröffentlichen werden. [Update: Diese ist inzwischen veröffentlicht worden.]

Wichtig ist es aber in jedem Fall, nicht alleine der Aussage eines US-Unternehmens zu trauen, dass man an Privacy Shield teilnehme. Kürzlich hat die FTC (Federal Trade Commission) über drei Fälle berichtet, in denen Unternehmen fälschlich auf eine Teilnahme an Privacy Shield verwiesen hatten. Gleichzeitig arbeitet die EU-Kommission an Vereinbarungen ähnlich Privacy Shield mit anderen Drittstaaten, so dass man auch hier die Entwicklung im Blick behalten muss.

Hinsichtlich der Entscheidung des EuGH bezüglich der Standardvertragsklauseln gilt es nun abzuwarten. Die Zeit aber kann man nutzen, um sich mit den anderen Instrumenten zu befassen, die die DSGVO nennt, insbesondere den Zertifizierungen und den Verhaltensregeln. Liegen geeignete Zertifizierungen und Verhaltensregeln nach DSGVO vor, können Unternehmen als Empfänger einer Datenübermittlung ihr angemessenes Datenschutzniveau darüber nachweisen. Geeignete Zertifikate und Verhaltensregeln werden gegenwärtig entwickelt, sie könnten später Rechtsinstrumente wie Privacy Shield und Standardvertragsklauseln als Rechtsgrundlage einer Datenübermittlung ablösen, wenn dies notwendig würde.

Es zeigt sich: Es gibt durchaus Auswege, um die in Zeiten der Digitalisierung notwendigen Datenübermittlungen in Drittstaaten zu ermöglichen, vorausgesetzt, das Datenschutzniveau im Zielland der Datenübermittlung entspricht den Vorgaben der Datenschutzgesetze in der EU und das Zertifikat, das das behauptet, entspricht selbst den Vorgaben der DSGVO (Artikel 42).

Weitere Artikel zur EU-Datenschutz-Grundverordnung:

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago