Drittländer und Standardvertragsklauseln: was tun?

EU/USA Datenabkommen
Teile diesen Blogbeitrag

Internationaler Handel bedeutet durch Globalisierung und Internationalisierung auch Übermittlung von Daten an Drittländer…

Darf man Daten in einem Drittland, also in einem Land außerhalb der EU überhaupt verarbeiten beziehungsweise in ein Drittland transferieren? Weißt du, was Standardvertragsklauseln beziehungsweise Standard Contractual Clauses bedeuten und weißt du, warum diese in der Zusammenarbeit mit den USA auf einmal so wichtig sind? All diese Fragen beantworten wir in diesem Beitrag.

Gehen wir mal kurz einen Schritt zurück. Es geht hier um das Thema wie der Transfer von personenbezogenen Daten aus EU-Staaten, dort wo die DSGVO gültig ist, in Drittstaaten, wo die DSGVO der EU natürlich nicht gültig ist. Darf man das überhaupt? Und wenn ja, wie? Ja, man darf es. Die DSGVO besagt, dass es für Länder außerhalb der EU drei Möglichkeiten gibt, um den Datentransfer, also den Transfer von personenbezogenen Daten zu ermöglichen.

Drei Möglichkeiten für den Transfer in Drittländer

Die drei Möglichkeiten sind:

  • Angemessenheitsbeschluss,
  • Geeigneten Garantie,
  • Ausnahmesituationen.

Zum Thema, welche Länder unter den Angemessenheitsbeschluss fallen und damit sichere Drittländer sind, haben wir bereits ein Artikel geschrieben. Beispiel für einen aktuellen Angemessenheitsbeschluss, ist Großbritannien nach dem Brexit. Da gab es seitens der EU einen Angemessenheitsbeschluss. Personenbezogene Daten können problemlos zwischen Großbritannien und der EU transferiert werden. Der BDI (Bundesbeauftragtete für den Datenschutz und die Informationsfreiheit) äußert sich wie folgt dazu „Wird eine Datenübermittlung von einem Angemessenheitsbeschluss umfasst, bedarf es keiner weiteren Schutzmaßnahme.“ Eine aktuelle Liste aller Länder, bei denen ein Angemessenheitsbeschluss vorliegt, findet ihr hier. In diesem Artikel soll es aber darum gehen, was passiert, wenn es eben keinen Angemessenheitsbeschluss gibt.

Falls es keinen Angemessenheitsbeschluss gibt, dann geht die DSGVO erst mal davon aus, dass kein angemessenes Datenschutzniveau besteht. Außer: Es gibt geeignete Garantien. Hier kommen die Standardvertragsklauseln ins Spiel. Die Europäische Kommission hat im Juni 2021 Standardvertragsklauseln erlassen – nämlich im „Durchführungsabschluss (EU) 2021/914“. Seit dem 27. September 2021 können nur noch die aktuellen SK abgeschlossen werden. Ab 27.12.2022 wiederum müssen alle alten SKVs auf die neuen umgeändert worden sein. Das wird also ein wichtiges Datum!

Dann gibt’s neben den Standardvertragsklauseln noch andere Garantien, zum Beispiel einzeln ausgehandelte Vertragsklauseln, die jedoch von der zuständigen Aufsichtsbehörde genehmigt und mit den anderen europäischen Aufsichtsbehörden abgestimmt werden müssen. Außerdem gibt es noch die verbindlichen internen Datenschutzvorschriften oder “Bindung Corporate Rules”. Das wird vor allem von großen und international tätigen Konzernen mit internem Datenfluss unter anderem auch in Drittländer verwendet. Die Schreiben sich nämlich nicht einfach nur so. Auch die Bindung Corporate Rules müssen durch die zuständige Aufsichtsbehörde genehmigt und mit anderen europäischen Aufsichtsbehörden abgestimmt werden. Darüber hinaus gibt es noch die genehmigten Verhaltensregeln oder den genehmigten Zertifizierungsmechanismus und spezielle Garantien für Behörden. Da euch das in den meisten Fällen aber nicht betreffen wird, skippen wir das jetzt einfach mal in diesem Artikel.

Als drittes gibt es die Ausnahmesituation. Der Begriff ist recht breit gefasst. Hier also ein paar Beispiele, wie solche Ausnahmefälle aussehen könnten. Es kann zum Beispiel sein: eine Einzelperson hat ausdrücklich in die vorgeschlagene Übermittlung eingewilligt, nachdem sie alle erforderlichen Informationen über die mit der Übermittlung verbundenen Risiken erhalten hat. Nun könnte man meinen: es braucht gar keinen Standardvertragsklauseln, ich brauche auch keine Binding Corporate Rules. Ich informiere einfach den Betroffenen ausführlich darüber, dass ich seine Daten in die USA weitergebe. Dann stimmt er zu und alles ist fine. Ja, in der Theorie stimmt das zwar. In der Praxis sieht das jedoch anders aus. Diese Information muss so umfangreich und aufklärend sein, dass es in der Praxis nicht wirklich praktikabel wäre. Also leider doch per Standardvertragsklauseln.

Ein zweites Beispiel für eine Ausnahme kann sein, dass die Datenübermittlung aus wichtigen Gründen für das öffentliche Interesse notwendig ist. Oder wenn die Datenübermittlung für die Wahrung der zwingend berechtigten Interessen der Organisation erforderlich ist. Das sind aber alles “gefährliche” Ausnahmen. Im Zweifel kann es passieren, dass man von der Aufsichtsbehörde abgemahnt wird oder einen Bußgeldbescheid bekommt. Darauf hin müsste man sich anwaltlich beraten lassen. Das kann teuer werden. Bevor wir auf die Frage „was genau sind die Standardvertragsklauseln und wie werden diese in der Praxis angewendet?“ eingehen, hier noch einen Exkurs, warum die Verarbeitung in den USA überhaupt so kritisch ist.

Warum ist die Verarbeitung in den USA denn so kritisch? 

Grund dafür ist der Cloud Act, welcher seit 2018 besteht. Cloud Act steht für “Clarifying Lawful Overseas Use of Data Act”. Der Cloud Act dient als Klarstellung. Die US Sicherheitsbehörden wollen klarstellen dass seitens des US-Rechts die Zugriffsrechte auf personenbezogene Daten auch dann gelten, wenn diese Daten außerhalb der USA verarbeitet werden und von einem US amerikanischen Unternehmen kontrolliert werden. Und damit wird ja eigentlich schon deutlich wo das Problem liegt. Die USA könnte Zugriff auf personenbezogene Daten von Unternehmen, die zum Beispiel in Deutschland tätig sind, haben. Das heißt wenn du einen Anbieter benutzt, welcher zwar Serverstandorte im europäischen Raum hat und vielleicht einen Datenschutzbeauftragten in Europa einsetzt, der aber im Endeffekt ein US-amerikanisches Unternehmen ist, dann kann es im Zweifel passieren, dass die US Sicherheitsbehörden deine personenbezogene Daten, die deiner Kunden und Mitarbeiter haben möchte. Das war vorher nicht so, bis 2018 konnte man klar unterscheiden zwischen dem Datentransfer und der Zugriffsgewährung an die Sicherheitsbehörden innerhalb der USA und außerhalb. Das waren 2 Schritte jetzt hat sich der Arm der amerikanischen Sicherheitsbehörden verlängert – in den EU-Raum hinein.

Dazu muss man allerdings sagen, dass es sich hier nicht um eine systematische großangelegte Überwachung handelt, sondern, dass die Regelung bei gezielten Anordnungen von US-Sicherheitsbehörden bezüglich personenbezogener Daten in spezifischen Einzelfällen gilt. Wie begründet die sind, ist eine andere Frage.

Kurzes Zwischenfazit: die Zusammenarbeit Mit den USA in Bezug auf Daten und den Datenschutz ist echt ein Problem. Vor allem seit es das Privacy Shield nicht mehr gibt. Als kleine Erinnerung: das Privacy Shield wie war wie eine Art Regenschirm, unter den sich US-Unternehmen stellen konnten. Dann waren sie in dem Moment frei um mit EU Unternehmen zusammenzuarbeiten. Aber, hilft ja nichts: das Privacy Shield gibt es nicht mehr. Erschwerend kommt hinzu dass Tools und Software Programme, die von Unternehmen aus den USA angeboten werden, in der Regel sehr gute Lösungen sind. Wenn es genau die gleichen Anbieter im EU-Raum gäbe, hätten wir ja nicht das Problem. Dann könnten wir einfach umstellen.

Also, was tun? Jetzt habt ihr Informationen darüber, warum es so schwierig ist mit der USA zusammenzuarbeiten. Erstens: es gibt keinen Privacy Shield mehr. Zweitens: es gibt den Cloud Act. Drittens: es gibt noch keine neue Form der Privacy Shields, auch wenn an sowas gearbeitet werden soll. 

Hier ist eine Anleitung der Schritte, die nun erledigt werden müssen.

  1. Erstens Abschluss von Standardvertragsklauseln. Also eine Art vorgefertigtes Vertragsmuster, was von der EU-Kommission erarbeitet und für gut befunden wurde. Dabei gibt es zwei Sets von Standardvertragsklauseln. Zum einen die Datenübermittlung zwischen Unternehmer und dem Auftragsverarbeiter und zum anderen die Übermittlung personenbezogener Daten in Drittstaaten. Wichtig ist, dass dieses Vertrags Muster unverändert von dem Unternehmen, dass in den USA ansässig ist, übernommen werden muss. Alle Verträge die man vorher hatte müssen auf den die bisherigen Standardvertragsklauseln angepasst werden. Frist dafür ist Ende 2022.
  2. Als zweites solltet ihr eine Risikoanalyse vornehmen, Teile davon stellen das Transfer Impact Assessment dar:

Wie die Standardvertragsklauseln eingearbeitet werden, findet ihr hier: Beispiel Google zeigen. 

  • Schritt 1 habt ihr ja schon abgeschlossen: Datentransfers in die USA erkennen. Entweder arbeitet ihr direkt mit einem in den US ansässige Unternehmen zusammen. Oder: mit Unternehmen, die Subunternehmer aus den USA einsetzen (wenn unbekannt, nachfragen).
  • Schritt 2: (EU-)Alternativen prüfen: das wird in der Regel negativ ausfallen. Die Frage ist nämlich, gibt es eine bessere Alternative in der EU. Ich persönlich brauchte für mein Unternehmen Slack und habe nach einer Alternative gesucht. Da habe ich Stackfield gefunden – die sind ganz gut und vergleichbar. Kriterien, anhand derer ihr das bewerten könntet sind: Gleiche Eignung, Funktionen, Usability, Kosten.
  • Schritt 3: Rechtsgrundlagen prüfen
    • Abschluss von Standardvertragsklauseln (Regelfall)
    • Binding Corporate Rules
    • Erforderliche Datentransfers
    • Einwilligungen
    • Weitere Ausnahmen
  • Schritt 4: Anfragen stellen. Hierfür gibt es ein tolles Musterschreiben von Datenschutz Generator.
  • Schritt 5: Bestimmung des Risikos für den Betroffene. Wenn ihr mit besonders sensiblen Daten nach Art. 9 DSGVO arbeitet oder es um Videoüberwachung geht, ist das Risiko für den Betroffenen relativ hoch.
  • Schritt 6: Bewertung der Schutzmaßnahmen:
    • Verarbeitung auf EU-Servern.
    • Verschlüsselung.
    • Kein Vorhandensein von Backdoors.
    • Zusicherung der Prüfung und Abwehr von Anfragen der US-Behörden.
    • Zusicherung der Information über Behördenanfragen.
    • Nachweis durch Audits und Zertifikate.
    • Art der Zusicherungen (einseitig/ vertraglich).
    • Keine Änderung der Standardvertragsklauseln.
  • Schritt 7: (Negatives) Ergebnis:
    • Verarbeitung einstellen und eine Alternative wählen
    • Anfrage bei der Datenschutzaufsichtsbehörde stellen
    • Oder, wenn ihr könnt / wollt: Risiko eingehen

Merke: Wenn jedoch ein Drittland keine angemessenen Sicherheitsstandards verfügt, ist die Datenübermittlung automatisch unzulässig. Dennoch kann es sein, dass Daten doch übermittelt werden, wenn die betroffene Person ihre Einwilligung darüber gibt. 

Datenschutzbeauftragung

Brauchst du Hilfe in der Bearbeitung der oben genannten Themen? Oder sucht ihr schon länger nach einem externen Datenschutzbeauftragten, der euch monatlich unterstützt?
Melde dich hier!

Dein eigenes Onlinetraining!

Möchtest du dir die Dinge lieber in deiner eigenen Zeit und auf effiziente sowie strukturierte Art beibringen? Dann buche unser DSGVO-Onlinetraining ab 249 Euro.
Buche deinen Kurs hier!
Mehr Blogbeiträge
EU/USA Datenabkommen
DSGVO

EU/USA Datenabkommen

Das Wichtige vorab: Bis Juli 2020 war es möglich, dass personenbezogene Daten auf der Grundlage des Privacy-Shield Abkommens in die USA übermittelt werden konnten. Anschließend

24/02/2023
Datenschutz-Folgeabschätzung
DSGVO

Datenschutz-Folgenabschätzung

Die Datenschutz-Folgeabschätzung ist ein Instrument der DSGVO. Es bedeutet, dass ein Verantwortlicher vor Verarbeitung von sensiblen Daten eine Abschätzung der Folgen vornehmen muss und diese

17/02/2023

Möchtest du dein Unternehmen Datenschutzkonform aufstellen?

Wir helfen dir gerne!

Kontaktiere uns