Categories: Workspace

Wie es mit Datenübermittlungen in Drittstaaten weitergeht

Neue Rechtsunsicherheit für internationalen Datenaustausch, meldete der Digitalverband Bitkom Anfang Oktober 2017. Anlass war, dass der Europäische Gerichtshof (EuGH) die sogenannten Standardvertragsklauseln prüfen wird. Dabei nutzt gegenwärtig die große Mehrheit der Unternehmen genau dieses Instrument der Standardvertragsklauseln bei Datentransfers in die USA.

Mit den Standardvertragsklauseln soll die Rechtsgrundlage für die Datenübermittlung geschaffen werden, denn die Übermittlung personenbezogener Daten in die USA und/oder in andere Drittstaaten ist nur zulässig, wenn das Unternehmen im Vorfeld geprüft hat, ob ein angemessener Schutz dieser Daten auch nach der Übermittlung im Zielland sichergestellt ist.

Die Datenschutz-Grundverordnung (DSGVO / GDPR) sieht bei Datenübermittlungen insbesondere folgende Möglichkeiten vor (abgesehen von den Ausnahmen für besondere Fälle, Artikel 49): Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses (Artikel 45 DSGVO) und Datenübermittlung vorbehaltlich geeigneter Garantien (Artikel 46 DSGVO). Als geeignete Garantien gelten nach DSGVO:

  1. a) ein rechtlich bindendes und durchsetzbares Dokument zwischen den Behörden oder öffentlichen Stellen,
  2. b) verbindliche interne Datenschutzvorschriften gemäß Artikel 47 DSGVO,
  3. c) Standarddatenschutzklauseln, die von der Kommission gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 erlassen werden,
  4. d) von einer Aufsichtsbehörde angenommenen Standarddatenschutzklauseln, die von der Kommission gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 genehmigt wurden,
  5. e) genehmigte Verhaltensregeln gemäß Artikel 40 zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters in dem Drittland zur Anwendung der geeigneten Garantien, einschließlich in Bezug auf die Rechte der betroffenen Personen, oder
  6. f) ein genehmigtes Zertifizierungsmechanismus gemäß Artikel 42 zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters in dem Drittland zur Anwendung der geeigneten Garantien, einschließlich in Bezug auf die Rechte der betroffenen Personen.

Nach der Unsicherheit bei Privacy Shield (im Sinne eines Angemessenheitsbeschlusses der EU-Kommission) sind nun die Standarddatenschutzklauseln als geeignete Garantie in Frage gestellt. Bei Privacy Shield gibt es laut EU-Kommission Verbesserungsbedarf, die Entscheidung des EuGH zu den Standardvertragsklauseln steht aus. Wie sollen sich Unternehmen in Deutschland nun verhalten?

Der Weg: Prüfen, Abwarten, neue Instrumente nutzen

Gegenwärtig und bis auf weiteres gilt: Personenbezogene Daten können an US-Unternehmen entweder bei bestehender EU-US-Privacy Shield-Zertifizierung oder auf Grundlage der EU-Standardvertragsklauseln übermittelt werden. Im Konzernverbund können BCRs (Binding Corporate Rules) zur Anwendung gebracht werden.

Die Aufsichtsbehörden für den Datenschutz haben Informationen für Unternehmen zusammengestellt, wie diese sich hinsichtlich Privacy Shield verhalten sollten. Hier gilt es, sich regelmäßig mit den Informationen dazu zu befassen, da die Aufsichtsbehörden noch eine Stellungnahme zum Stand von Privacy Shield veröffentlichen werden. [Update: Diese ist inzwischen veröffentlicht worden.]

Wichtig ist es aber in jedem Fall, nicht alleine der Aussage eines US-Unternehmens zu trauen, dass man an Privacy Shield teilnehme. Kürzlich hat die FTC (Federal Trade Commission) über drei Fälle berichtet, in denen Unternehmen fälschlich auf eine Teilnahme an Privacy Shield verwiesen hatten. Gleichzeitig arbeitet die EU-Kommission an Vereinbarungen ähnlich Privacy Shield mit anderen Drittstaaten, so dass man auch hier die Entwicklung im Blick behalten muss.

Hinsichtlich der Entscheidung des EuGH bezüglich der Standardvertragsklauseln gilt es nun abzuwarten. Die Zeit aber kann man nutzen, um sich mit den anderen Instrumenten zu befassen, die die DSGVO nennt, insbesondere den Zertifizierungen und den Verhaltensregeln. Liegen geeignete Zertifizierungen und Verhaltensregeln nach DSGVO vor, können Unternehmen als Empfänger einer Datenübermittlung ihr angemessenes Datenschutzniveau darüber nachweisen. Geeignete Zertifikate und Verhaltensregeln werden gegenwärtig entwickelt, sie könnten später Rechtsinstrumente wie Privacy Shield und Standardvertragsklauseln als Rechtsgrundlage einer Datenübermittlung ablösen, wenn dies notwendig würde.

Es zeigt sich: Es gibt durchaus Auswege, um die in Zeiten der Digitalisierung notwendigen Datenübermittlungen in Drittstaaten zu ermöglichen, vorausgesetzt, das Datenschutzniveau im Zielland der Datenübermittlung entspricht den Vorgaben der Datenschutzgesetze in der EU und das Zertifikat, das das behauptet, entspricht selbst den Vorgaben der DSGVO (Artikel 42).

Weitere Artikel zur EU-Datenschutz-Grundverordnung:

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

13 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

17 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

18 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

19 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

19 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

21 Stunden ago