Datentransfer in Drittländer – Was gibt es Neues?

Datentransfer in Drittländer, Was gibt es Neues?

Seit der Aufhebung des Privacy Shield-Abkommens zwischen der EU und den USA durch den EuGH steht der Datentransfer in die USA bekanntermaßen auf eher wackeligen Beinen. Aber auch durch den Brexit ergeben sich im Zusammenhang mit dem Transfer von Daten nach Großbritannien (als nunmehrigen Drittland) einige Fragen.

Grundlage für einen solchen Datentransfer in Drittländer ist entweder ein Angemessenheitsbeschluss der EU-Kommission, der dem jeweiligen Empfängerstaat ein der EU adäquates Datenschutzniveau attestiert, der Abschluss sogenannter Standarddatenschutzklauseln (vormals Standardvertragsklauseln) oder das Vorliegen einer Ausnahmebestimmung des Art. 49 DSGVO, wobei in letzter Zeit vor allem die Einwilligung an Popularität gewonnen hat.

Datentransfer nach Großbritannien:

In dieser Hinsicht hat die EU-Kommission rechtzeitig zum Auslaufen der Übergangsregelung iZm dem Brexit einen Angemessenheitsbeschluss veröffentlicht, sodass der Datentransfer  nach Großbritannien (und die dortige Verarbeitung) zulässig bleibt, weil das Datenschutzniveau dort als dem der EU gleichwertig anerkannt wird. Dieser Angemessenheitsbeschluss, der am 1.7.2021 veröffentlicht wurde, enthält eine Verfallsklausel und tritt nach 4 Jahren außer Kraft, wenn er nicht erneuert wird.

Datenverarbeitung in den USA:

Die weitere „Baustelle“ beim Datentransfer in Drittstaaten, nämlich der Datentransfer in die USA aufgrund der Nutzung von Softwareprodukten, deren Hersteller bzw. Betreiber in den USA sitzen (Microsoft, Google, Facebook etc.) lässt sich derzeit auf keinen Angemessenheitsbeschluss stützen, da durch die Safe Harbor-Entscheidung des EuGH das zuletzt getroffene Übereinkommen und die Anerkennung des Datenschutzniveaus weggefallen ist. Hauptkritikpunkt war, dass in den USA die Strafverfolgungsbehörden Zugriff auf Daten ohne vorherigen Anfangsverdacht haben, somit ein wesentlich weiteres Zugriffsrecht als das in europäischen Rechtsordnungen vorgesehen ist.

Abhilfe gegen dieses Vakuum, das u.a. die Aufhebung des Privacy Shield verursacht hat, versuchte die EU-Kommission nunmehr mittels neu veröffentlichter Standarddatenschutzklauseln zu schaffen, die den Kritikpunkten des EuGH am Privacy Shield Rechnung tragen.

Neue Standarddatenschutzklauseln:

Diese neu veröffentlichten Standarddatenschutzklauseln für den internationalen Datentransfer lösen die bisherigen Standardvertragsklauseln ab und sehen einen modularen Ansatz vor, bei dem zwischen der Übermittlung zwischen Verantwortlichen (Modul 1), dem Transfer an Auftragsverarbeiter im Drittland (Modul 2), dem (Weiter-)Transfer zwischen Auftragsverarbeitern (Modul 3) und dem Transfer von einem Auftragsverarbeiter in der EU an einen Verantwortlichen im Drittland (Modul 4) gewählt werden kann.

Sofern diese Standarddatenschutzklauseln dem jeweiligen Datentransfer zugrunde liegen, ist dieser daher prima vista zulässig. Allerdings muss sich der jeweilige Verantwortliche, der den Datenexport in ein Drittland vornimmt, grundsätzlich auch davon überzeugen, dass die vertraglich vereinbarten Regelungen auch tatsächlich eingehalten werden, worauf die EU-Kommission in ihrem Beschluss zu den Klauseln auch hinweist.

Die neuen Standarddatenschutzklauseln sind seit 27.06.2021 in Kraft, die bisher geltenden Standardvertragsklauseln treten am 27.09.2021 außer Kraft, wobei eine Übergangsfrist bis zum 27.12.2022 eingeräumt wurde, wenn die damit geregelten Verarbeitungsvorgänge unverändert bleiben. Nach dem Stichtag 27.12.2022 müssen jedenfalls neue Verträge für eine Verarbeitung von Daten in Drittländern geschlossen werden. – Bei der Überprüfung bestehender Verträge betreffend Datenverarbeitungen in einem Drittland unterstützen wir Sie gerne.

Google und Microsoft haben dahingehend bereits verlautbart, dass ihre AGBs den nunmehrigen Standarddatenschutzklauseln und den dortigen Verpflichtungen bzw. Vorkehrungen entsprechen. Auch hier bleibt abzuwarten, inwiefern diese vertragliche Vereinbarung im Ernstfall tatsächlich gelebt wird.

Darüber hinaus wird derzeit über ein neues Abkommen zwischen der EU und den USA verhandelt, das möglicherweise Anfang 2022 vorliegen wird. Darüber werden wir Sie gerne in einem weiteren Newsletter auf dem Laufenden halten.

Zwischenzeitig kann es hilfreich sein:

  • jedenfalls einen Faktencheck zu machen und den Transfer in Drittländer in der Dokumentation (Verarbeitungsverzeichnis) zu erfassen;
  • mögliche Alternativen bzw. Einschränkungen überlegen und wahrnehmen (beispielsweise Outlook-Mails möglichst rasch wieder von der Cloud entfernen, europäische Alternativen bei Analyse-Tools prüfen);
  • AGBs von Softwareprodukten wie beispielsweise Microsoft 365 etc. prüfen und in der Dokumentation aufnehmen, warum die Anwendung sicher genug scheint

Sollten Sie Fragen zu aktuellen Regelungen haben bzw.  unsere Unterstützung bei der Anfertigung einer entsprechenden Dokumentation brauchen können, stehen wir gerne zur Verfügung.

SSZ-Adm1n-2019