Deutscher AnwaltSpiegel – Abonnement

Erhalten Sie alle zwei Wochen das Online-Magazin direkt in Ihr Postfach.

Kostenlos anmelden

Internationale Datentransfers im Fokus

Deutsche Unternehmen sind Adressateiner behördlichen Prüfkampagne

15. September 2021, von Dr. Angela Busche und Dr. Marc Hilber, LL.M. (Illinois)

Artikel als PDF (Download)

 

Drittstaatentransfers sind derzeit bundesweit Gegenstand von Prüfungen der Datenschutzbehörden hier. Unternehmen müssen über solche Transfers im eigenen Verantwortungsbereich im Bilde sein und diese über Datenschutzgarantien absichern. Wer hierfür auf EU-Standardklauseln setzt, sollte klären:

  • Werden wir bis Ende 2022 auf die neue Version umgestellt haben?
  • Welche zusätzlichen Maßnahmen müssen wir ergreifen?

Der zweitgenannte Punkt gilt auch, wenn andere Datenschutzgarantien wie Binding Corporate Rules im Einsatz sind.

Datentransfers in Drittstaaten

Teilen deutsche Unternehmen personenbezogene Daten mit Unternehmen in Ländern außerhalb des EWR (Drittstaatentransfers), müssen sie grundsätzlich Beschränkungen und Verpflichtungen nach der Datenschutz-Grundverordnung (DSGVO) beachten. Dazu gehört, dass der Empfänger geeigneten Datenschutzgarantien unterliegt, etwa aufgrund der Vereinbarung von EU-Standardklauseln.

Bezüglich einzelner Empfängerländer (s. hier), deren Datenschutzregime die EU-Kommission per Beschluss als angemessen anerkannt hat, sind keine Datenschutzgarantien erforderlich. Großbritannien (s. hier) gehört, befristet auf vier Jahre, dazu.

Die Regulierung greift, wenn deutsche Unternehmen Daten aktiv in Drittstaaten übermitteln. Sie greift auch, wenn Unternehmen aus Drittstaaten Zugriff auf Datenspeicher innerhalb der EU erhalten. Erfasst ist zum einen das Teilen von Daten mit externen Geschäftspartnern (Cloudanbieter etc.). Zum anderen gehören hierzu rein konzerninterne Vorgänge wie der Zugriff einer US-Holding auf Personalmanagementsysteme einer Tochtergesellschaft in Deutschland.

Auch Unternehmen mit Sitz außerhalb des EWR können von der dargelegten Regulierung betroffen sein. Mit dem „GDPR Navigator“ (s. hier), einem Legal-Tech-Tool von Oppenhoff, können vor allem ausländische Unternehmen prüfen, ob die DSGVO Anwendung auf sie findet und welche Datenverarbeitungen erfasst sind.

Standardklauseln als Transferinstrument

Als geeignete Datenschutzgarantie kommt in Betracht, mit den Datenempfängern im Drittstaat spezielle Standardklauseln der EU-Kommission (sogenannte Standard-Contractual-Clauses, kurz SCCs) vertraglich zu vereinbaren. Seit Juni 2021 gilt hiervon eine Neufassung.

Anstelle der bisherigen SCC-Varianten gibt es nun ein einheitliches Vertragsset mit Modulen für die verschiedenen Übermittlungsvarianten. Unverändert gilt: Die Vertragsklauseln stehen fest; Unternehmen dürfen sie ohne Genehmigung der Aufsichtsbehörden nicht ändern, aber sie dürfen nicht widersprechende Klauseln ergänzen. Die Anlagen sind mit Details zur spezifischen Datenübermittlung zu vervollständigen.

Neu ist unter anderem:

  • Alle Klauseln entfalten drittbegünstigende Wirkung für die betroffenen Personen.
  • Die Vereinbarung muss dem Recht eines EU-Staats unterliegen, und dieses muss die Durchsetzbarkeit der drittbegünstigenden Klauseln gewährleisten.
  • Diverse Überwachungs-, Prüf- und Dokumentationspflichten sowie Pflichten zur Vorlage bei den Behörden treffen die Vertragsparteien.
  • Datenimporteure unterwerfen sich den Entscheidungen der EU-Behörden und -Gerichte.

Die bisherigen SCCs werden am 27.12.2022 ungültig. Sie müssen bis dahin durch die neuen Klauseln ersetzt werden. Der SCC-Generator (s. hier), ein Legal-Tech-Tool von Oppenhoff, erleichtert den Einsatz der neuen Klauseln. Anhand intelligenter Abfragen erstellt er das jeweils passende Modul mit den dafür erforderlichen Klauseln als Word-Dokument (die Anhänge sind weiterhin manuell auszufüllen).

Prüfkampagne der deutschen Datenschutzaufsicht

Drittstaatentransfers sind derzeit bundesweit Gegenstand von Prüfungen der deutschen Datenschutzbehörden. Das Ziel ist die „breite Durchsetzung“ der Anforderungen des Europäischen Gerichtshofs (EuGH) aus dessen Urteil vom 16.07.2020, Rechtssache C-311/18, in deutschen Unternehmen.

  • Danach können Datenübermittlungen in die USA nicht mehr auf der Grundlage des U.S. Privacy Shields erfolgen, und
  • ergänzend zu SCC und anderen Datenschutzgarantien sind in der Regel zusätzliche Maßnahmen erforderlich.

Die Behörden kontaktieren aktuell ausgewählte Unternehmen mit einem oder mehreren von insgesamt fünf standardisierten Fragebögen (s. hier). Diese beziehen sich auf Datentransfers zu anderen Konzernunternehmen oder zu externen Dienstleistern.

Der EuGH erwartet, dass die Behörden Übermittlungen „aussetzen“ oder „untersagen“, die nicht den Kriterien seiner Rechtsprechung entsprechen. Die Aussetzung von Transfers kann im kooperativen Dialog mit Unternehmen erfolgen. Wo dies nicht gelingt, drohen formelle Aufsichtsmaßnahmen.

Finalisierte Guidelines zu zusätzlichen Schutzmaßnahmen

Das zentrale Gremium der Europäischen Datenschutzbehörden, der Europäische Datenschutzausschuss (EDSA), hat im Juni 2021 die finale Version seiner Guidelines (s. hier) zu zusätzlichen Maßnahmen für Datentransfers in Drittländer veröffentlicht. Er empfiehlt:

  • Feststellen, inwieweit Datentransfers in Drittstaaten stattfinden („Know your Transfers“).
  • Die verwendeten Mittel zur Schaffung der erforderlichen Datenschutzgarantien (Transferinstrumente) identifizieren (etwa SCCs).
  • Die Wirksamkeit dieser Transferinstrumente im Einzelfall prüfen.
  • Erforderlichenfalls „zusätzliche Schutzmaßnahmen“ identifizieren und implementieren.
  • Die Lage fortlaufend evaluieren, um Änderungsbedarf zu erkennen.

In Annex 2 der Guidelines stellt der EDSA spezifische Schutzmaßnahmen für mehrere „Use-Cases“ vor. Use-Case 6 geht von der Beauftragung eines Cloudanbieters oder eines anderen Dienstleisters in einem Drittstaat mit problematischer nationaler Gesetzeslage aus (die nach der dortigen Praxis auch auf den Transfer Anwendung finden würde). Problematische Gesetzeslagen in diesem Sinne sind solche, die den Behörden Datenzugriffsbefugnisse in einem Maß einräumen, welches über das hinausgeht, was in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist. Beispiel: U.S. FISA. Zum Schutz davor sind rein vertragliche zusätzliche Maßnahmen grundsätzlich unzureichend. Scheiden technische Maßnahmen wie die vorherige Vollverschlüsselung oder Pseudonymisierung im Sinne der Guidelines faktisch aus, weil der Serviceprovider im Drittstaat für seine Leistungserbringung mit unverschlüsselten personenbeziehbaren Daten arbeiten muss, sind (derzeit) keine Schutzmaßnahmen ersichtlich, die hierfür ergriffen werden könnten.

Die Konsequenz ist für viele Fälle von Transfers in Drittstaaten mit relevanter problematischer Rechtslage, dass der Transfer eingestellt werden muss. Dies gilt aber nicht für alle Fälle: Neu ist, dass der EDSA zusätzliche Schutzmaßnahmen im Einzelfall als verzichtbar erachtet, wenn das verantwortliche Unternehmen „keine Veranlassung zur Annahme hat, dass die relevanten problematischen Vorschriften des Drittlands in der Praxis auf die übermittelten Daten und/oder den Datenimporteur angewendet werden“ (Ziffer 43.3 der Guidelines). Der EDSA verlangt hierzu ausführliche Prüfberichte. Anhaltspunkte dafür, welche Umstände ein positives Prüfergebnis bedingen könnten, liefert er allerdings ebenso wenig wie konkrete Beispiele.

In die Prüfung sollen insbesondere die Erfahrungen des Datenimporteurs und anderer Akteure des betreffenden Sektors mit einfließen. Zusätzliche geeignete Informationsquellen sind in Annex 3 der Guidelines aufgelistet (Gerichtsurteile, UN-Resolutionen, Reports der Global Privacy Assembly etc.). In den Bericht gehören auch die Darlegung des internen Prüfverfahrens, einschließlich Angaben zu den an der Bewertung beteiligten Akteuren (wie Anwaltskanzleien, anderen Beratern oder internen Abteilungen), und die Angabe der Prüfungsstichtage.

Nur in gut begründeten Ausnahmefällen sollten Unternehmen von der nun eröffneten Möglichkeit Gebrauch machen.

 

angela.busche@oppenhoff.eu

marc.hilber@oppenhoff.eu

Aktuelle Beiträge

Mit ihrer Klage verlangte eine Arbeitnehmerin die Zahlung der jeweiligen Vergütungsdifferenz zwischen ihrem Grundentgelt und dem Grundentgelt ihres männlichen Kollegen sowie eine Entschädigung infolge einer Ungleichbehandlung aufgrund ihres Geschlechts.
AnwaltSpiegel
BAG stärkt Entgeltgleichheit zwischen Frauen und Männern „Verhandlungsgeschick“ allein kein Grund für unterschiedliche Vergütung weiterlesen
Der Begriff der Schwangerschaft, und damit der Beginn des Eingreifens des besonderen Kündigungsschutzes, wird weder in der Mutterschutzrichtlinie noch im deutschen Mutterschutzgesetz näher definiert.
AnwaltSpiegel
BAG stärkt Kündigungsschutz während der Schwangerschaft Berechnung des Schwangerschaftsbeginns: Mehr Schutz für Mutter und Kind statt reiner Naturwissenschaft weiterlesen
Einige Fragen sind zu klären: Wer trägt das Risiko für bereits verkaufte Waren, wenn ein Vorlieferant nicht liefern kann oder will? Kann der Verkäufer seine Lieferpflicht gegenüber dem Käufer vertraglich anpassen? Dürfen Liefertermine unverbindlich sein?
AnwaltSpiegel
Vertragsgestaltung: Beschaffungsrisiko in Krisenzeiten Im Blickpunkt: Leistungspflichten und Risikominimierung weiterlesen
© 2023 Deutscher AnwaltSpiegel