Gambar Upi - stock.adobe.com
Datenübermittlung und Zertifizierung: Was jetzt möglich ist
Datenimporteure außerhalb Europas, die nicht der DSGVO unterliegen, können sich nun für die Übermittlung der von ihnen empfangenen Daten für ein Zertifizierungsprogramm bewerben.
Datenübermittlungen oder Datentransfers in Drittländer sind kein Randthema für Unternehmen: Ob Cloud-Plattformen, Videokonferenzen, Kollaborationstools oder Rund-um-die-Uhr-Support: Die große Mehrheit der Unternehmen (62 Prozent) in Deutschland überträgt personenbezogene Daten in Länder außerhalb der EU, so eine Bitkom-Umfrage (PDF). Fast die Hälfte (45 Prozent) transferiert die Daten an externe Dienstleister, 41 Prozent an Geschäftspartner zu gemeinsamen Zwecken und 19 Prozent an Konzerntöchter oder andere Konzerneinheiten.
Auch für den Datenschutz sind die Datenübermittlungen in Länder außerhalb der EU ein zentrales Thema, das sich aber durchaus komplex darstellt. Laut Bitkom fordern 78 Prozent der befragten Unternehmen von der Politik Rechtssicherheit bei internationalen Datentransfers.
Die Bitkom-Umfrage zeigt auch, wie die Praxis gegenwärtig aussieht: Am häufigsten fließen Daten in die USA. 61 Prozent der Unternehmen, die personenbezogene Daten ins Nicht-EU-Ausland transferieren, übertragen sie dorthin. Am häufigsten werden dafür sogenannte Standardvertragsklauseln als Rechtsgrundlage genutzt (80 Prozent), dahinter folgen Binding Corporate Rules (23 Prozent) sowie das EU-US-Data-Privacy Framework (21 Prozent) und Einwilligungen (12 Prozent).
Dies zeigt bereits, dass es eine Fülle möglicher Rechtsgrundlagen für Datenübermittlungen gibt. Dabei gibt es sogar noch mehr, als die Umfrageergebnisse zeigen.
Datenübermittlung nur mit Rechtsgrundlage
Die Bundesdatenschutzbeauftragte erklärt: Wenn personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt werden, müssen Verantwortliche oder Auftragsverarbeiter prüfen, ob die allgemeinen Voraussetzungen der DSGVO für eine Datenübermittlung erfüllt sind. Außerdem muss den zusätzlichen Anforderungen nach Kapitel V der DSGVO Rechnung getragen werden.
Unter den beschriebenen Rechtsgrundlagen und Garantien finden sich auch genehmigte Verhaltensregeln (Code of Conduct) oder ein genehmigter Zertifizierungsmechanismus: Sowohl branchenspezifische Verhaltensregeln (Code of Conduct) als auch Zertifizierungsmechanismen können nach der DSGVO Grundlage für internationale Datenübermittlungen sein, wenn sie von der zuständigen Aufsichtsbehörde genehmigt oder von der Zertifizierungsstelle oder der Aufsichtsbehörde erteilt wurden. Diese Instrumente müssen allerdings von rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters im Drittland, insbesondere im Hinblick auf die Betroffenenrechte, begleitet werden.
Doch welche genehmigten Zertifizierungsmechanismen gibt es, die auch für Datenübermittlungen genutzt werden können?
Zertifizierung als Grundlage einer Datenübermittlung
Wir erinnern uns: Der Europäische Datenschutzausschuss (EDSA) hatte die Europrivacy-Zertifizierungskriterien erstmals am 10. Oktober 2022 als erstes Europäisches Datenschutzsiegel mit einer EDSA-Stellungnahme (28/2022) genehmigt.
Nun wurde der Anwendungsbereich des Europrivacy-Zertifizierungssystems erweitert, er umfasst nun auch Verantwortliche und Auftragsverarbeiter mit Sitz außerhalb Europas, die Art. 3 Abs. 2 DSGVO unterliegen, entweder weil sie Waren oder Dienstleistungen für Personen in Europa erbringen oder weil sie deren Verhalten überwachen. Darüber hinaus hat EDSA eine Stellungnahme (PDF) verabschiedet, in der er die Europrivacy-Zertifizierungskriterien als europäisches Datenschutzsiegel für Datenübermittlungen gemäß Art. 42 und 46 DSGVO anerkennt.
Das bedeutet: Datenimporteure außerhalb Europas, die nicht der DSGVO unterliegen, können sich nun für die Übermittlung der von ihnen empfangenen Daten für das Europrivacy-Zertifizierungsprogramm bewerben. Diese Zertifizierung erleichtert es Verantwortlichen und Auftragsverarbeitern in Europa, ihrer Verpflichtung nachzukommen, nachzuweisen, dass sie angemessene Garantien für die Übermittlung personenbezogener Daten in Drittländer oder an internationale Organisationen bieten.
Dazu Dr. Anu Talus, Vorsitzende des Europäischen Datenschutzausschusses: „Zertifizierungskriterien können eine wichtige Rolle bei der Unterstützung der DSGVO-Konformität spielen. Die Anerkennung der Europrivacy-Kriterien durch den Europäischen Datenschutzausschuss als Europäisches Datenschutzsiegel zur Verwendung als Instrument für Datentransfers ist eine Bestätigung dafür, dass personenbezogene Daten, die gemäß diesen Kriterien an Drittländer oder internationale Organisationen übermittelt werden, im Einklang mit europäischen Datenschutzstandards angemessen geschützt sind.“
Kommissar Alain Herrmann, Luxemburgische Datenschutzbehörde, kommentierte: „Diese Entwicklung spiegelt einen umfassenderen Trend hin zu innovativeren und praxisorientierteren Compliance-Instrumenten im Rahmen der DSGVO wider. Die Zertifizierung kann eine Schlüsselrolle bei der Unterstützung vertrauenswürdiger internationaler Datenflüsse spielen, vorausgesetzt, sie wird mit starken Sicherheitsvorkehrungen und effektiver Aufsicht umgesetzt.“
Dies zeigt: Die Umsetzung von Zertifizierungsmechanismen im Kontext grenzüberschreitender Datenflüsse wird Unternehmen, die als Datenimporteure außerhalb des EU/EWR agieren, dabei unterstützen, die Einhaltung der DSGVO-Anforderungen nachzuweisen, sofern verbindliche und durchsetzbare Zusagen vorliegen. Diese Entwicklung stärkt die Rechtssicherheit bei internationalen Datentransfers, die so viele Unternehmen einfordern.
Erfahren Sie mehr über Datensicherheit
-
![]()
DTIA: Was vor einer Datenübermittlung geprüft werden muss
Von: Oliver Schonschek
-
![]()
Was bei der Nutzung von Cloud-Diensten zu beachten ist
Von: Oliver Schonschek
-
![]()
Datentransfer in Drittstaaten: Frist zur Umstellung endet
Von: Oliver Schonschek
-
![]()
Datentransfer erlaubt oder nicht: Der Kern des Problems
Von: Oliver Schonschek
