NicoElNino - stock.adobe.com
Internationaler Datentransfer: Was Firmen wissen müssen
Bei einer grenzüberschreitenden Datenübermittlung sind von Unternehmen bestimmte Voraussetzungen zu erfüllen, um im Zweifel Bußgelder oder Sanktionen zu vermeiden.
Kaum ein Thema hat im Jahr 2021 für mehr Aufsehen im Bereich des europäischen Datenschutzrechts gesorgt wie die neuen Regelungen für internationale Datentransfers. Die EU-Kommission hat hierfür im Juni 2021 neue Standardvertragsklauseln (SCC) erlassen und zugleich festgelegt, dass beim Abschluss neuer Verträge die alten Standardvertragsklauseln noch bis zum 27. September 2021 verwendet werden können. Diese Übergangsfrist ist nunmehr abgelaufen. Für Unternehmen wird es nun also höchste Zeit, sich einen Überblick über das Thema zu verschaffen.
Hintergrund der Datentransferproblematik ist, dass die EU ihren hohen Schutzstandard für personenbezogene Daten nur innerhalb des Gebiets ihrer Mitgliedstaaten sowie der Mitgliedstaaten des Europäischen Wirtschaftsraums (EWR) gesetzlich festlegen kann.
Strenge Regelungen für europäische Unternehmen wären in der Praxis aber wirkungslos, wenn diese durch eine bloße Verlagerung der Daten in Drittstaaten außerhalb der EU beziehungsweise des EWR umgangen werden könnten. Aus diesem Grund erlaubt die Datenschutz-Grundverordnung (DSGVO) Datenübermittlungen in Drittstaaten grundsätzlich nur in einem Szenario: Es muss hinreichend sichergestellt sein, dass die Daten im Empfängerstaat in vergleichbarem Maße wie in der EU geschützt sind.
Welche Länder diesen gleichwertigen Schutz bieten, entscheidet die EU Kommission mittels Angemessenheitsbeschlüssen. Aktuell zählen zum Kreis der anerkannten Drittenstaaten etwa Japan, Israel, Neuseeland, Argentinien, die Schweiz und seit kurzem auch das Vereinigte Königreich – die USA jedoch nicht. Für die USA galt bis zur Jahresmitte 2020 eine Sonderregelung auf Basis des Privacy Shields. Diese wurde jedoch durch die sogenannte Schrems-II-Entscheidung des Europäischen Gerichtshofs (EuGH) im Juli 2020 gekippt, so dass personenbezogene Daten nun nicht mehr ohne Weiteres an Empfänger in den USA übermittelt werden dürfen.
Die alten Standardvertragsklauseln
Soweit personenbezogene Daten in Drittstaaten wie beispielsweise die USA übermittelt werden sollen, für die kein Angemessenheitsbeschluss der EU Kommission existiert, gibt es nur wenige Möglichkeiten, die Datenübermittlungen DSGVO-konform zu gestalten. Die in der Praxis in solchen Fällen am häufigsten anzutreffende Lösung ist der Abschluss von Standardvertragsklauseln. Dabei schließen der Datenexporteur in der EU und der Datenimporteur im Drittstaat einen von der EU Kommission herausgegebenen Modellvertrag ab. Durch diesen verpflichtet sich der Datenimporteuer vertraglich zur Einhaltung der europäischen Datenschutzstandards.
„Mit der abgelaufenen Nutzungsfrist für die alten Standardvertragsklauseln läuft die letzten Etappe der Umstellung auf die Ära der DSGVO für internationale Datentransfers.“
Carsten Kociok, Greenberg Traurig
Entsprechende Modellverträge hat die EU Kommission erstmals im Jahre 2001 und anschließend in den Jahren 2004 und 2010 herausgegeben. Die alten Standardvertragsklauseln entstanden somit weit vor Inkrafttreten der DSGVO. Zudem ermöglichten sie nur Datenübermittlungen von europäischen Unternehmen, die die Daten selbst verarbeiteten.
Datenübermittlungen eines europäischen Auftragsverarbeiters, der die Daten für einen Dritten ins außereuropäische Ausland übermitteln wollte, konnten durch die alten Standardvertragsklauseln nicht legitimiert werden. Schließlich bestand nach der Schrems-II-Entscheidung des EuGH auch Unklarheit darüber, ob die alten Standardvertragsklauseln überhaupt das erforderliche Schutzniveau beim Datenempfänger gewährleisten konnten. Der Grund: Sie konnten unabhängig von etwaigen Zugriffsrechten der dortigen Sicherheitsbehörden eingesetzt werden.
Rechtssicherheit durch die neuen Standardvertragsklauseln
Diese Unsicherheit hat die EU Kommission im Juni 2021 mit Veröffentlichung der neuen Standardvertragsklauseln ausgeräumt (siehe auch Datenschutz: Die neuen Standardvertragsklauseln (SCC) der EU). Anders als die alten Standardvertragsklauseln können diese nun auch von Dienstleistern genutzt werden, die Daten für einen Dritten verarbeiten. Zugleich beziehen die neuen Standardvertragsklauseln den etwaigen Zugriff der Behörden des Drittlands auf die übermittelten Daten mit ein, indem sie die Vertragsparteien verpflichten, die Datenschutzvorschriften im Empfängerstaat zu prüfen.
Was sollten Unternehmen jetzt konkret tun?
Vorübergehend konnten die alten Standardvertragsklauseln weiter genutzt werden. Diese Übergangsfrist ist seit dem 27. September 2021 beendet. Seither dürfen beim Abschluss von Neuverträgen nur noch die neuen Standardvertragsklauseln eingesetzt werden. Alte Standardvertragsklauseln, die vor dem 27. September 2021 abgeschlossen wurden, können allerdings bis zum 27. Dezember 2022 weiter verwendet werden. Damit endet dann aber auch die letzte Übergangsfrist: Kurz vor Jahresende 2022 müssen alle alten Standardvertragsklauseln durch die neuen Klauseln ersetzt worden sein.
„Je nach Einzelfall kann dann dringender Handlungsbedarf bestehen. Denn mit dem bloßen Unterzeichnen der neuen Standardvertragsklauseln ist es nicht getan.“
Dr. Jannis Dietrich, Greenberg Traurig
Vor diesem Hintergrund sollten Unternehmen ihre internationalen Datenübermittlungen zunächst in doppelter Hinsicht überprüfen: Einerseits ist zu kontrollieren, gegenüber welchen Empfängern in welchen Staaten personenbezogene Daten offengelegt werden und ob für diese bereits ein Angemessenheitsbeschluss vorliegt. Andererseits ist zu prüfen, ob der Transfer bislang auf die alten Standardvertragsklauseln gestützt wurde.
Je nach Einzelfall kann dann dringender Handlungsbedarf bestehen. Denn mit dem bloßen Unterzeichnen der neuen Standardvertragsklauseln ist es nicht getan. Vielmehr müssen diese für den jeweiligen Anwendungsfall angepasst werden. Außerdem muss die Rechtslage des Ziellandes bezogen auf die dortige Sicherheit der Daten geprüft werden. Ist die Gewährleistung des europäischen Datenschutzniveaus (etwa wegen entgegenstehender Gesetze des Empfängerlandes) nicht sichergestellt, sind möglicherweise ergänzende Maßnahmen zu ergreifen.
Festzustellen bleibt: Mit der nun abgelaufenen Nutzungsfrist für die alten Standardvertragsklauseln läuft die letzten Etappe der Umstellung auf die Ära der DSGVO für internationale Datentransfers. Für Unternehmen, die sich dieser Thematik bisher nicht gestellt haben, ist es deshalb höchste Zeit eine umfassende Prüfung ihrer Datenübermittlungen vorzunehmen, um Bußgeldern oder andere Sanktionen zu entgehen.
Über die Autoren:
Carsten Kociok ist Local Partner in den Branchengruppen Medien, Technologie und Telekommunikation der internationalen Wirtschaftskanzlei Greenberg Traurig Germany. Ein Schwerpunkt seiner Beratungstätigkeit liegt in den Bereichen Internet, Informationstechnologie, elektronische und mobile Zahlungsdienste und neue Medien. Daneben zählen regulatorische und datenschutzrechtliche Fragestellungen zu seinem Beratungsschwerpunkt.
Dr. Jannis Dietrich ist Associate bei Greenberg Traurig und berät nationale und internationale Unternehmen zu Fragen in den Bereichen Internet, Technologie, Datenschutz, Digitalisierung sowie Prozessführung. Er verknüpft dabei seine juristische Expertise mit seinem technischen Sachverstand als ausgebildeter IT-Systemelektroniker und ist insbesondere im Schnittstellenbereich von Recht und Technik tätig.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
