FAQ: Drittlandtransfer

Services an Externe auslagern

Neuer Angemessenheitsbeschluss zwischen der EU und den USA

Am 10.07.2023 wurde der neue Angemessen­heits­beschluss durch die EU-Kommission im Rahmen des EU-US Data Privacy Framework angenommen. Die EU-Kommission bestätigt durch den Beschluss das angemessene Daten­schutz­niveau in den USA für Daten­über­mittlungen. Das bedeutet, dass ein Daten­transfer aus der EU in die USA unter bestimmten Voraus­setzungen wieder erleichtert möglich wird und die zwischen­zeitlichen Maßnahmen (Abschluss von Standard­vertrags­klauseln/Durchführung einer Drittland­transfer-Folgen­abschätzung, sowie ergänzende Vereinbarung vertrag­licher bzw. technischer Sicher­heiten) wegfallen können.

Näheres hierzu finden Sie in unseren News.

Wir haben uns entschlossen, die unten aufgeführten Informationen beizubehalten, da die realitische Gefahr besteht, dass nach „Safe Harbour“ und „Privacy Shield“ auch das „Data Privacy Framework“ durch das EuGH als ungültig erklärt wird. Daher sollte man die unten aufgeführten Maßnahnen stets im Hinterkopf behalten, da sie ggf. „plötzlich“ wieder aktuell werden.

Bitte beachten Sie, dass sich die nachfolgenden Informationen auf das Schrems-II-Urteil beziehen (Urteil, dass das Privacy Shield als Rechtsvorgänger des Data Privacy Frameworks nicht rechtskonform ist) und die daraus resultierende Notwendigkeit, SCC abzuschließen.

Ihr Ansprechpartner

Tim Hoffmann
Tim Hoffmann
Leiter Vertrieb / Marketing
Telefon: 0202 / 9467726-200

[Historie] Schrems II: Konsequenzen aus dem EuGH-Urteil zum Privacy Shield

Der EuGH verkündete ein Urteil, das den Datenschutz bei Drittlandtransfer von personenbezogenen Daten massiv betrifft. Hier möchten wir Sie über die Kernpunkte des Urteils, die Hintergründe und das weitere Vorgehen informieren. Weitere Informationen finden Sie auch in unserem Info-Brief UIMCommunication 07/2020 und 09/2020.

Update: UK nun „sicheres Drittland.

  1. Das Privacy Shield, auf welches Datentransfers zwischen Unternehmen aus EU-Mitgliedstaaten und den USA bislang oftmals gestützt werden konnten, wurde für UNGÜLTIG erklärt. Dies bedeutet: Datentransfers von Verantwortlichen aus der EU/EWR in die USA auf Basis des Privacy Shield sind nicht mehr möglich.
  2. Standardvertragsklauseln können weiterhin abgeschlossen werden. ABER: Dies gilt jedoch auch nur noch dann, wenn Verantwortlicher und Auftragsverarbeiter gewährleisten können, dass die Klauseln des Vertrages eingehalten werden können. Dies ist abhängig von den jeweiligen nationalen Gesetzen in den Drittländern.
  3. Den Aufsichtsbehörden kommt die Befugnis bzw. Pflicht zu, Datentransfers zu prüfen und ggf. zu untersagen, wenn ein sicheres Datenschutzniveau nicht durch entsprechende Garantien gewährleistet werden kann.
Sobald Ihr Unternehmen personenbezogene Daten in Länder außerhalb der EU/EWR transferiert, kann das Urteil für Sie relevant sein (Ausnahmen: siehe unten). Dies ist oftmals in folgenden Fällen gegeben:
  • Nutzung von Dienstleistern
  • Nutzung von Cloud-basierter Software
  • Nutzung von Internet-Diensten
  • Datenübermittlung an Tochtergesellschaften
  • Konzern-interner Datentransfer
  • Konzern-interne Dienstleistungen („Shared Services“)

Gemäß Art. 44 ff DSGVO müssen Verantwortliche und Auftragsverarbeiter auch bei Datentransfers in Drittländer ein angemessenes Datenschutzniveau gewährleisten. Drittländer sind alle Länder außerhalb der EU/EWR. Hierbei ist zwischen sicheren und unsicheren Drittländern zu unterscheiden. Sichere Drittländer sind solche, denen die Europäische Kommission per Angemessenheitsbeschlusses ein angemessenes Datenschutzniveau bestätigt hat. Dort gewährleisten die nationalen Gesetze einen Schutz von personenbezogenen Daten, welcher mit dem des EU-Rechts vergleichbar ist. Zum Zeitpunkt der Anwendbarkeit der Datenschutz-Grundverordnung gehören zu den sicheren Drittstaaten: Andorra, Argentinien, Kanada (nur kommerzielle Organisationen), Färöer, Guernsey, Israel, Isle of Man, Jersey, Neuseeland, Schweiz, Uruguay, Japan. In diese ist die Datenübermittlung daher ausdrücklich gestattet.

Bislang zählte hierzu auch die USA, wenn der Empfänger dem Privacy Shield angehört. Dies änderte sich mit dem EuGH-Urteil.

Grundsätzlich gilt, dass aktuell davon auszugehen ist, dass kein Datentransfer in die USA (und vermutlich auch in andere Länder mit Massenüberwachungsgesetzen) zulässig ist bzw. Datenschutz-Aufsichtsbehörden keinen Datentransfer als zulässig erachten werden. Durch Maßnahmen können die Risiken für die Rechte und Freiheiten der betroffenen Personen aber reduziert werden, was – sofern dies stattfinden sollte – die Bewertung einer Datenschutz-Aufsichtsbehörde verbessern kann, was sich wiederum auf eine etwaige Bußgeldbemessung positiv auswirken könnte.

Erstellen Sie eine Liste der Datentransfers (Tipp: Schauen Sie in Ihr Verzeichnis von Verarbeitungstätigkeiten bzw. Verfahrensverzeichnis):

  1. Gesellschaften innerhalb des Unternehmensverbunds
  2. Dienstleister (insbesondere Cloud- und SaaS-Anbieter)
  3. Sub-Dienstleister (insbesondere Cloud- und SaaS-Anbieter)

Erstellen Sie eine Liste der Datentransfers (Tipp: Schauen Sie in Ihr Verzeichnis von Verarbeitungstätigkeiten bzw. Verfahrensverzeichnis):

  1. Gesellschaften innerhalb des Unternehmensverbunds
  2. Dienstleister (insbesondere Cloud- und SaaS-Anbieter)
  3. Sub-Dienstleister (insbesondere Cloud- und SaaS-Anbieter)
Bei Feststellung der Erforderlichkeit und Unersetzbarkeit (Dokumentation nicht vergessen): Kontaktaufnahme mit dem Dienstleister
  1. Versand des Fragebogens [siehe Praxishilfen in unserem eCollege; Account erforderlich]

  2. Erörterung der Möglichkeit, des Abschlusses von ergänzten Standardvertragsklauseln (SCC+; Rechtswirksamkeit unter Aufsichtsbehörden derzeit noch umstritten)
    • Ist der Dienstleister selbst nach nachhaltiger Aufforderung nicht bereit, ist dies zu dokumentieren und die Unersetzlichkeit nochmal neu zu bewerten.

  3. Sofern der Vertragspartner eine EU-Gesellschaft ist und nur der Sub-Dienstleister in Drittstaaten sitzt: Erörterung der Möglichkeit, sich vertraglich zusichern zu lassen, dass ein Drittlandtransfer ausgeschlossen werden kann
    • Ist der Dienstleister selbst nach nachhaltiger Aufforderung nicht bereit, ist dies zu dokumentieren und die Unersetzlichkeit nochmal neu zu bewerten.

  4. Erörterung der Möglichkeit, die Inhaltsdaten so zu verschlüsseln, dass eine Einsichtnahme durch den Dienstleister/Sub-Dienstleister nicht möglich ist
    • Ist dies nicht möglich, ist dies zu dokumentieren und die Unersetzlichkeit nochmal neu zu bewerten.

Schema zu Drittlandtransfer in Länder außerhalb der EU

Immer gut informiert

Newsletter

Bleiben Sie mit unserem Info-Brief auf dem Laufenden.

Abonnieren Sie den Newsletter und verpassen Sie keinen unserer Artikel.

Sie haben Fragen?

Sie benötigen Beratung zum Datenschutz, eine Schulung des Daten­schutz­­beauftragten der Firma oder einen externen Daten­schutz­beauftragten?

Melden Sie sich bei uns und lassen Sie sich unverbindlich und kostenfrei beraten.