Der internationale Datentransfer ist Unternehmensalltag und nicht wie viele möglicherweise meinen eine spärliche Ausnahme. Einen weiteren Beweis hierfür liefert die aktuelle BITKOM-Umfrage zum Datenschutz in der deutschen Wirtschaft. Eindeutiges Ergebnis: 60 Prozent der Befragten geben an, personenbezogene Daten in Länder außerhalb der EU zu transferieren. Tendenz weiter steigend. Im Jahr 2021 hatten erst 56 Prozent Datentransfers in Drittländer vorgenommen. Für einen solchen Datentransfer in Nicht-EU-Länder gelten besondere Regeln der DSGVO, die es zu beachten gilt. Apropos Nicht-EU-Länder: Auch das Vereinigte Königreich gehört seit dem vollzogenen Brexit zu dieser Ländergruppe. „Auf den ersten Blick problematisch ist, dass die deutschen Unternehmen ihre Datentransfers in hohem Maße international abwickeln. Denn, auch wenn dies grundsätzlich natürlich möglich ist, sind pragmatische Datenschutzlösungen erforderlich, um die Chancen des Datenschutzes umfassend zu nutzen. Dies ist allen Bereichen des Unternehmens verständlich darzustellen“, erklärt UIMC-Geschäftsführer Dr. Jörn Voßbein zu den Studienergebnissen. Die Zahlen der Studie verraten, wo noch Hemmnisse bestehen, aber noch weit mehr. Beispielsweise in welche Drittstaaten der Datentransfer überwiegend läuft und welches Land im Jahr 2021 noch an dritter Position lag.
Fakten: In der EU gilt der Grundsatz, dass eine Übertragung personenbezogener Daten in Drittländer nur stattfinden darf, wenn im importierenden Land ein der EU gleichwertiges Datenschutzniveau gilt. Standardvertragsklauseln sind von der Europäischen Kommission verabschiedete Vertragsmuster. 91 Prozent der Befragten geben an, Standardvertragsklauseln zu nutzen. Das Schrems II-Urteil hat allerdings zu einer erheblichen Nachschärfung der Anforderungen an die Standardvertragsklauseln geführt. Die Studie gibt hierbei keine Aussage, wie viele Unternehmen zum 27.12.2022 auch bei bestehenden Vertragsbeziehungen die neuen Standardvertragsklauseln abgeschlossen haben, wie es durch das Urteil erforderlich wurde.
Data Transfer Impact Assessment (DTIA): Der Datenexporteur trägt die Verantwortung für eine Prüfung des Datenschutzniveaus in einem Drittland, in das beabsichtigt ist, Daten zur Verarbeitung zu übermitteln. Das Schutzniveau beim Umgang mit personenbezogenen Daten muss dabei europäischen Standards entsprechen. Hierfür ist eine Datentransfer-Risikoabschätzung (DTIA) durchzuführen. Sicherlich auch ein Grund dafür, dass eine steigende Anzahl von Unternehmen mit Einwilligungen von Betroffenen arbeitet. Waren es 2021 erst zwölf, so sind es jetzt 27 Prozent.
Empfängerländer: Wenig überraschend, finden die meisten Datentransfers von deutschen Unternehmen in die USA mit 59 Prozent statt weiter anwachsend gegenüber 2021 (52 Prozent). Großbritannien, China und insbesondere Russland verlieren Anteile bei der Fragestellung, in welchen Ländern außerhalb der EU die personenbezogenen Daten verarbeitet werden. Russland erfährt gar einen regelrechten Absturz von 18 (Platz drei in 2021) auf null Prozent. Der russische Überfall auf die Ukraine macht sich auch beim Datentransfer bemerkbar.
Outsourcing: Die Antworten auf die Warum-Frage liefern konkrete Gründe für den Datentransfers in Drittländer. Die Nennungen führen Cloud-Angebote an, gefolgt von der Nutzung von Kommunikationssystemen, sowie als drittem Punkt die Inanspruchnahme von weltweiten Dienstleistern, um einen 24/7-Securitysupport vorhalten zu können. Es wird klar: Die Antworten auf die Wohin-werden-Daten-transferiert-Frage und die Warum-Frage stehen in enger Korrelation zueinander. Schließlich sind die größten US-Cloudanbieter Amazon, Google, IBM und Microsoft. 40 Prozent der Hyperscale-Rechenzentren, die die weltweite Cloud-Infrastruktur bilden, stehen in den USA.
Abhängigkeit: Ein weiteres Studienergebnis zeigt, dass ein Aus von Datentransfers einschneidende Folgen für die Unternehmen hätte. Konkret: Bestimmte Produkte könnten nicht mehr angeboten werden, ein globaler Support könnte nicht mehr vorgehalten werden und nicht zuletzt werden Wettbewerbsnachteile gegenüber Unternehmen aus Nicht-EU-Ländern befürchtet. „Die Studienergebnisse machen zwei Dinge deutlich: 1. Welchen hohen Stellenwert inzwischen der Datentransfer in Nicht-EU-Staaten hat und 2. wie wichtig für jedes Unternehmen deshalb individuelle, nachvollziehbare, sowie passgenaue Datenschutzlösungen bei einem Drittlandtransfer sind“, unterstreicht der erfahrene Datenschutzexperte Dr. Jörn Voßbein.