Wie es mit Datenübermittlungen in Drittstaaten weitergeht

Neue Rechtsunsicherheit für internationalen Datenaustausch, meldete der Digitalverband Bitkom Anfang Oktober 2017. Anlass war, dass der Europäische Gerichtshof (EuGH) die sogenannten Standardvertragsklauseln prüfen wird. Dabei nutzt gegenwärtig die große Mehrheit der Unternehmen genau dieses Instrument der Standardvertragsklauseln bei Datentransfers in die USA.

Mit den Standardvertragsklauseln soll die Rechtsgrundlage für die Datenübermittlung geschaffen werden, denn die Übermittlung personenbezogener Daten in die USA und/oder in andere Drittstaaten ist nur zulässig, wenn das Unternehmen im Vorfeld geprüft hat, ob ein angemessener Schutz dieser Daten auch nach der Übermittlung im Zielland sichergestellt ist.

Die Datenschutz-Grundverordnung (DSGVO / GDPR) sieht bei Datenübermittlungen insbesondere folgende Möglichkeiten vor (abgesehen von den Ausnahmen für besondere Fälle, Artikel 49): Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses (Artikel 45 DSGVO) und Datenübermittlung vorbehaltlich geeigneter Garantien (Artikel 46 DSGVO). Als geeignete Garantien gelten nach DSGVO:

1. a) ein rechtlich bindendes und durchsetzbares Dokument zwischen den Behörden oder öffentlichen Stellen,
2. b) verbindliche interne Datenschutzvorschriften gemäß Artikel 47 DSGVO,
3. c) Standarddatenschutzklauseln, die von der Kommission gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 erlassen werden,
4. d) von einer Aufsichtsbehörde angenommenen Standarddatenschutzklauseln, die von der Kommission gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 genehmigt wurden,
5. e) genehmigte Verhaltensregeln gemäß Artikel 40 zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters in dem Drittland zur Anwendung der geeigneten Garantien, einschließlich in Bezug auf die Rechte der betroffenen Personen, oder
6. f) ein genehmigtes Zertifizierungsmechanismus gemäß Artikel 42 zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters in dem Drittland zur Anwendung der geeigneten Garantien, einschließlich in Bezug auf die Rechte der betroffenen Personen.

Nach der Unsicherheit bei Privacy Shield (im Sinne eines Angemessenheitsbeschlusses der EU-Kommission) sind nun die Standarddatenschutzklauseln als geeignete Garantie in Frage gestellt. Bei Privacy Shield gibt es laut EU-Kommission Verbesserungsbedarf, die Entscheidung des EuGH zu den Standardvertragsklauseln steht aus. Wie sollen sich Unternehmen in Deutschland nun verhalten?

Der Weg: Prüfen, Abwarten, neue Instrumente nutzen

Gegenwärtig und bis auf weiteres gilt: Personenbezogene Daten können an US-Unternehmen entweder bei bestehender EU-US-Privacy Shield-Zertifizierung oder auf Grundlage der EU-Standardvertragsklauseln übermittelt werden. Im Konzernverbund können BCRs (Binding Corporate Rules) zur Anwendung gebracht werden.

Die Aufsichtsbehörden für den Datenschutz haben Informationen für Unternehmen zusammengestellt, wie diese sich hinsichtlich Privacy Shield verhalten sollten. Hier gilt es, sich regelmäßig mit den Informationen dazu zu befassen, da die Aufsichtsbehörden noch eine Stellungnahme zum Stand von Privacy Shield veröffentlichen werden. [Update: Diese ist inzwischen veröffentlicht worden.]

Wichtig ist es aber in jedem Fall, nicht alleine der Aussage eines US-Unternehmens zu trauen, dass man an Privacy Shield teilnehme. Kürzlich hat die FTC (Federal Trade Commission) über drei Fälle berichtet, in denen Unternehmen fälschlich auf eine Teilnahme an Privacy Shield verwiesen hatten. Gleichzeitig arbeitet die EU-Kommission an Vereinbarungen ähnlich Privacy Shield mit anderen Drittstaaten, so dass man auch hier die Entwicklung im Blick behalten muss.

Hinsichtlich der Entscheidung des EuGH bezüglich der Standardvertragsklauseln gilt es nun abzuwarten. Die Zeit aber kann man nutzen, um sich mit den anderen Instrumenten zu befassen, die die DSGVO nennt, insbesondere den Zertifizierungen und den Verhaltensregeln. Liegen geeignete Zertifizierungen und Verhaltensregeln nach DSGVO vor, können Unternehmen als Empfänger einer Datenübermittlung ihr angemessenes Datenschutzniveau darüber nachweisen. Geeignete Zertifikate und Verhaltensregeln werden gegenwärtig entwickelt, sie könnten später Rechtsinstrumente wie Privacy Shield und Standardvertragsklauseln als Rechtsgrundlage einer Datenübermittlung ablösen, wenn dies notwendig würde.

Es zeigt sich: Es gibt durchaus Auswege, um die in Zeiten der Digitalisierung notwendigen Datenübermittlungen in Drittstaaten zu ermöglichen, vorausgesetzt, das Datenschutzniveau im Zielland der Datenübermittlung entspricht den Vorgaben der Datenschutzgesetze in der EU und das Zertifikat, das das behauptet, entspricht selbst den Vorgaben der DSGVO (Artikel 42).

Weitere Artikel zur EU-Datenschutz-Grundverordnung:

• EU-Datenschutz-Grundverordnung: HPE stellt Starter Kit vor
• EU-Datenschutz-Grundverordnung: Bußgelder könnten drastisch steigen
• EU-Datenschutz-Grundverordnung: weniger als 500 und fallend
• Datenschutz-Grundverordnung: Was Cloud-Nutzer beachten sollten
• Der Mittelstand braucht neue Mobile Security-Konzepte
• EU-Datenschutz-Grundverordnung: Kaspersky Lab bietet Unternehmen Online-Angebot und Assessment-Tool
• DSGVO: 11 Tipps für die optimale Umsetzung
• Wie es mit Datenübermittlungen in Drittstaaten weitergeht
• Was Sie jetzt über Datenschutz-Zertifikate wissen müssen
• Studie: Viele Unternehmen sind noch nicht auf Umsetzung der DSGVO vorbereitet