Kategorie: Recht, Datenschutz

Thema grenzüberschreitender Datentransfer: Was ist was im internationalen Datenschutz?

Das Thema Datenschutz ist ebenso komplex wie aktuell. Insbesondere wenn es um den Datentransfer über die Grenzen des Bundesgebiets hinaus geht, ist es für Unternehmen/Laien schwierig, sich im Dschungel aus Europäischen Datenschutzgesetzen, Abkommen und Verordnungen zu orientieren.

In unserem Blogbeitrag wollen wir ein wenig Licht ins Dunkel bringen und einen kleinen Überblick über die wichtigsten Begriffe und Möglichkeiten für den Umgang mit personenbezogenen Daten im internationalen Umfeld geben.

Datenschutz-Regelungen in Deutschland und der EU

In Deutschland gewährleistet das Grundgesetz jeder Bürgerin und jedem Bürger das Recht, über die Verwendung und Preisgabe seiner Daten zu bestimmen. Das Bundesdatenschutzgesetz trägt dazu bei, dieses Grundrecht auf informationelle Selbstbestimmung zu verwirklichen. Das Gesetz entspricht der europäischen Datenschutzrichtlinie 95/46/EG vom 24. Oktober 1995, die ein einheitliches Datenschutzniveau für den gesamten Europäischen Wirtschaftsraum sicherstellen soll. Ab Mai 2017 wird die oben genannte Richtlinie durch die Datenschutz-Grundverordnung abgelöst, die ebenfalls das Ziel EU-weit einheitlicher Datenschutzstandards verfolgt.

Da also innerhalb Europas die gleichen Datenschutzprinzipien greifen, gelten für Datenübermittlungen aus Deutschland an Länder der EU die gleichen Voraussetzungen wie für Übermittlungen im Inland.

Datentransfer an Drittländer außerhalb der EU

Doch in vielen Fällen werden personenbezogene Daten auch an Drittländer übermittelt, die nicht an die in der EU geltenden datenschutzrechtlichen Vorgaben gebunden sind. Eine besondere Herausforderung für den Datenschutz bedeutet dies vor allem dann, wenn das Datenschutzniveau dieser Drittländer das der in der EU geltenden Vorschriften unterschreitet. Um dennoch den hohen EU-Sicherheitsvorgaben zu entsprechen, gibt es für Unternehmen, die personenbezogene Daten aus einem EU-Land in ein sogenanntes „unsicheres Drittland“ transferieren, mehrere Möglichkeiten, die im Folgenden kurz vorgestellt werden:

1. EU-Standardvertragsklauseln/Model Clauses

Die Standard-Vertragsklauseln der EU-Kommission (auch Model Clauses oder Standard Contractual Clauses) dienen als vertragliche Rechtsgrundlage für die Übermittlung personenbezogener Daten von einem EU-Land und in ein Drittland außerhalb des Europäischen Wirtschaftsraums. Sie regeln die Rechte und Pflichten der unterzeichnenden Parteien im Umgang mit personenbezogenen Daten im Sinne der europäischen Datenschutzrichtlinie (95/49/EG) und stellen so ein angemessenes Datenschutzniveau sicher. Die Musterklauseln unterscheiden sich, je nachdem, ob es sich um Auftragsdatenverarbeitung oder Funktionsübertragung handelt. Die Musterklauseln müssen von den Vertragsparteien unterzeichnet werden und dürfen weder ergänzt noch anderweitig modifiziert werden.

2. Binding Corporate Rules (BCRs)

Als Binding Corporate Rules werden verbindliche Unternehmensrichtlinien bezeichnet, in denen Regeln zum Umgang mit personenbezogenen Daten innerhalb einer multinationalen Unternehmensgruppe rechtsverbindlich festgelegt werden. Mithilfe der Binding Corporate Rules kann so ein einheitliches Datenschutzniveau sichergestellt werden. Welche Anforderungen eine solche individuelle Unternehmensregelung erfüllen muss, um europäischen Datenschutz zu gewährleisten, ist in Artikel 47 der EU Datenschutz-Grundverordnung geregelt. Darüber hinaus müssen die Binding Corporate Rules einer Unternehmensgruppe von der zuständigen europäischen Datenschutzbehörde anerkannt werden, damit die BCRs wirksam eingesetzt werden können.

3. Data Processing Agreements

Als Data Processing Agreements (DPA) werden Verträge zur Auftragsdatenverarbeitung zwischen Datenexporteur und Datenverarbeiter bezeichnet. Diese müssen bestimmte Mindestanfoderungen bzw. Regelungen hinsichtlich Prüfrechten, Umgang mit Datenschutzverstößen etc. enthalten und von der Datenschutzbehörde desjenigen Landes genehmigt werden, aus dem die Daten in ein Drittland übermittelt werden.

4. Individuelle Einwilligung der Betroffenen

Theoretisch besteht auch die Möglichkeit, dass die Betroffenen, um deren Daten es geht, einem Transfer ihrer Daten in ein Drittland mit geringeren als den europäischen Datenschutzstandards individuell zustimmen. Eine solche Einwilligung ohne eine der oben genannten vertraglichen Grundlagen ist in der Praxis jedoch häufig nicht umsetzbar, da diese für jeden Verarbeitungsfall einzeln gegeben werden muss und jederzeit widerrufen werden kann.

Exkurs USA: Privacy Shield statt Safe Harbor

Als Rechtsgrundlage für die Übermittlung personenbezogener Daten aus der Europäischen Union in die USA diente seit Juli 2000 die Safe-Harbor-Entscheidung der Europäischen Kommission. Diese wurde jedoch im Oktober 2015 im sogenannten Schrems-Urteil vom EuGH aufgehoben. Als Nachfolgeregelung trat 2016 das EU-US Privacy Shield in Kraft, das seither die Einhaltung europäischer Sicherheitsstandards im Datenverkehr zwischen der EU und den USA sicherstellen soll. In dieser Absicht kann das EU-US Privacy Shield genutzt werden, um personenbezogene Daten an US-Unternehmen zu übermitteln, die sich zuvor beim Handelsministerium registriert und zertifizieren lassen haben.

FAZIT:

Um das Thema Datenschutz kommt mittlerweile kaum ein Unternehmen herum. Wenn Kundendaten wie Kontaktinformationen, Kaufhistorie und Ähnliches z.B. für die Auftragsdatenverarbeitung in Länder außerhalb der EU übermittelt werden müssen, gilt es geeignete Maßnahmen zu treffen, um auch beim Datentransfer in „unsichere Drittländer“ den europäischen Datenschutzstandards zu entsprechen.

Binding Corporate Rules, Data Processing Agreements oder Model Clauses bzw. Standard Contractual Clauses beschreiben verschiedene Möglichkeiten, wie Unternehmen die Einhaltung des Datenschutzes regeln können. Welche der Lösungen für die jeweiligen Unternehmen und ihre Prozesse geeignet sind, muss im Einzelfall entschieden werden. Als Agentur für Digital Commerce weisen wir darauf hin, wie wichtig geeignete Datenschutzmaßnahmen sind, um die Persönlichkeitsrechte von Kunden und Mitarbeitern zu schützen und Sanktionen (z.B. Abmahnungen in empfindlicher Höhe) zu vermeiden. Da wir jedoch keine Rechtsberatung leisten können und dürfen, empfehlen wir Ihnen, sich zum Thema Datenschutz von einem Fachanwalt beraten zu lassen.

Verfasst von Stefano Viani am 04.05.17 15:18

 

Kommentare