Drittländer und Standardvertragsklauseln: was tun?

EU/USA Datenabkommen
Teile diesen Blogbeitrag

Internationaler Handel bedeutet durch Globalisierung und Internationalisierung auch Übermittlung von Daten an Drittländer…

Darf man Daten in einem Drittland, also in einem Land außerhalb der EU überhaupt verarbeiten beziehungsweise in ein Drittland transferieren? Weißt du, was Standardvertragsklauseln beziehungsweise Standard Contractual Clauses bedeuten? All diese Fragen beantworten wir in diesem Beitrag.

Gehen wir mal kurz einen Schritt zurück. Es geht hier um das Thema wie der Transfer von personenbezogenen Daten aus EU-Staaten, dort wo die DSGVO gültig ist, in Drittstaaten, wo die DSGVO der EU natürlich nicht gültig ist. Darf man das überhaupt? Und wenn ja, wie? Ja, man darf es. Die DSGVO besagt, dass es für Länder außerhalb der EU drei Möglichkeiten gibt, um den Datentransfer, also den Transfer von personenbezogenen Daten zu ermöglichen.

Drei Möglichkeiten für den Transfer in Drittländer

Die drei Möglichkeiten sind:

  • Angemessenheitsbeschluss,
  • Geeigneten Garantie,
  • Ausnahmesituationen.

Zum Thema, welche Länder unter den Angemessenheitsbeschluss fallen und damit sichere Drittländer sind, haben wir bereits ein Artikel geschrieben. Beispiel für einen aktuellen Angemessenheitsbeschluss, ist Großbritannien nach dem Brexit. Da gab es seitens der EU einen Angemessenheitsbeschluss. Personenbezogene Daten können problemlos zwischen Großbritannien und der EU transferiert werden. Der BDI (Bundesbeauftragtete für den Datenschutz und die Informationsfreiheit) äußert sich wie folgt dazu „Wird eine Datenübermittlung von einem Angemessenheitsbeschluss umfasst, bedarf es keiner weiteren Schutzmaßnahme.“ Eine aktuelle Liste aller Länder, bei denen ein Angemessenheitsbeschluss vorliegt, findet ihr hier. In diesem Artikel soll es aber darum gehen, was passiert, wenn es eben keinen Angemessenheitsbeschluss gibt.

Falls es keinen Angemessenheitsbeschluss gibt, dann geht die DSGVO erst mal davon aus, dass kein angemessenes Datenschutzniveau besteht. Außer: Es gibt geeignete Garantien. Hier kommen die Standardvertragsklauseln ins Spiel. Die Europäische Kommission hat im Juni 2021 Standardvertragsklauseln erlassen – nämlich im „Durchführungsabschluss (EU) 2021/914“. Seit dem 27. September 2021 können nur noch die aktuellen SK abgeschlossen werden. Ab 27.12.2022 wiederum müssen alle alten SKVs auf die neuen umgeändert worden sein. Das wird also ein wichtiges Datum!

Dann gibt’s neben den Standardvertragsklauseln noch andere Garantien, zum Beispiel einzeln ausgehandelte Vertragsklauseln, die jedoch von der zuständigen Aufsichtsbehörde genehmigt und mit den anderen europäischen Aufsichtsbehörden abgestimmt werden müssen. Außerdem gibt es noch die verbindlichen internen Datenschutzvorschriften oder „Bindung Corporate Rules“. Das wird vor allem von großen und international tätigen Konzernen mit internem Datenfluss unter anderem auch in Drittländer verwendet. Die Schreiben sich nämlich nicht einfach nur so. Auch die Bindung Corporate Rules müssen durch die zuständige Aufsichtsbehörde genehmigt und mit anderen europäischen Aufsichtsbehörden abgestimmt werden. Darüber hinaus gibt es noch die genehmigten Verhaltensregeln oder den genehmigten Zertifizierungsmechanismus und spezielle Garantien für Behörden. Da euch das in den meisten Fällen aber nicht betreffen wird, skippen wir das jetzt einfach mal in diesem Artikel.

Als drittes gibt es die Ausnahmesituation. Der Begriff ist recht breit gefasst. Hier also ein paar Beispiele, wie solche Ausnahmefälle aussehen könnten. Es kann zum Beispiel sein: eine Einzelperson hat ausdrücklich in die vorgeschlagene Übermittlung eingewilligt, nachdem sie alle erforderlichen Informationen über die mit der Übermittlung verbundenen Risiken erhalten hat. Nun könnte man meinen: es braucht gar keinen Standardvertragsklauseln, ich brauche auch keine Binding Corporate Rules. Ich informiere einfach den Betroffenen ausführlich darüber, dass ich seine Daten in die USA weitergebe. Dann stimmt er zu und alles ist fine. Ja, in der Theorie stimmt das zwar. In der Praxis sieht das jedoch anders aus. Diese Information muss so umfangreich und aufklärend sein, dass es in der Praxis nicht wirklich praktikabel wäre. Also leider doch per Standardvertragsklauseln.

Ein zweites Beispiel für eine Ausnahme kann sein, dass die Datenübermittlung aus wichtigen Gründen für das öffentliche Interesse notwendig ist. Oder wenn die Datenübermittlung für die Wahrung der zwingend berechtigten Interessen der Organisation erforderlich ist. Das sind aber alles „gefährliche“ Ausnahmen. Im Zweifel kann es passieren, dass man von der Aufsichtsbehörde abgemahnt wird oder einen Bußgeldbescheid bekommt. Darauf hin müsste man sich anwaltlich beraten lassen. Das kann teuer werden. Bevor wir auf die Frage „was genau sind die Standardvertragsklauseln und wie werden diese in der Praxis angewendet?“ eingehen, hier noch einen Exkurs, warum die Verarbeitung in den USA überhaupt so kritisch ist. 

Datenschutzbeauftragung

Brauchst du Hilfe in der Bearbeitung der oben genannten Themen? Oder sucht ihr schon länger nach einem externen Datenschutzbeauftragten, der euch monatlich unterstützt?

Dein eigenes Onlinetraining!

Möchtest du dir die Dinge lieber in deiner eigenen Zeit und auf effiziente sowie strukturierte Art beibringen? Dann buche unser DSGVO-Onlinetraining ab 249 Euro.
Mehr Blogbeiträge

Möchtest du dein Unternehmen Datenschutzkonform aufstellen?

Wir helfen dir gerne!