open search
close
Compliance Datenschutz

Datentransfer in Drittstaaten: Wie rechtssicher gestalten?

Print Friendly, PDF & Email
Drittstaaten

Innerhalb von multinationalen Konzernen oder Unternehmensgruppen ist der rechtsichere Datenaustausch über Ländergrenzen hinweg oft unverzichtbar. Bislang waren zur Datenübermittlung in Drittländer, also Staaten außerhalb der Europäischen Union, sog. Standarddatenschutzklauseln besonders geeignet. Aber gilt das auch noch unter EU-Datenschutzgrundverordnung? Wir bringen Licht ins Dunkel.

Datenübermittlung in Drittländer

Ab dem 25. Mai 2018 kommt die Europäische Datenschutzgrundverordnung („DSGVO“) zum Tragen.Für einen Transfer personenbezogener Daten ihrer Mitarbeiter müssen Unternehmen dann die allgemeinen Voraussetzungen der DSGVO einhalten. Die Datenübertragung erfordert einen Erlaubnistatbestand; daneben müssen vor allem die allgemeinen Grundsätze für die Verarbeitung personenbezogener Daten nach der DSGVO beachtet werden.

Zusätzlich stellt die Verordnung besondere Vorausetzungen an den Datentransfer in Drittländer. Eine Übermittlung personenbezogener Daten an ein Drittland darf vorgenommen werden, wenn die EU-Kommission beschlossen hat, dass das betreffende Drittland ein angemessenes Datenschutzniveau bietet. Ein solcher Angemessenheitsbeschluss besteht beispielsweise für die USA („EU-US Privacy Shield“).

Sofern kein Angemessenheitsbeschluss vorliegt, darf ein Unternehmen personenbezogene Daten an ein Drittland übermitteln, wenn geeignete Garantien zur Einhaltung des Datenschutzniveaus vorgesehen werden oder der Betroffene in den Datentransfer wirksam eingewilligt hat.

Darüber hinaus enthält Art. 49 DSGVO weitere Ausnahmetatbestände, die eine Datenübermittlung in ein Drittland im Einzelfall rechtfertigen können.


Was sind Standarddatenschutzklauseln?

Eine geeignete Garantie für die Datenübermittlung in ein Drittland ist der Abschluss eines standardisierten Datenschutzvertrages zwischen dem Datenübermittler in der EU und dem Datenempfänger im Drittland.

Den Inhalt dieser sog. Standarddatenschutzklauseln hat die EU-Kommission bereits nach der alten Rechtslage in drei verschiedenen Ausführungen verbindlich vorgegeben. Zwei Vorlagen beziehen sich auf die Beziehung zwischen den für die Datenverarbeitung Verantwortlichen, eine regelt die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern.

Verpflichtet sich der Datenempfänger auf die Standards in den Klauseln und sorgt für deren tatsächliche Einhaltung, gilt für ihn ein angemessenes Datenschutzniveau.

Im Gegensatz zu anderen Datenschutz-Garantien ist bei Verwendung von Standarddatenschutzklauseln keine Genehmigung durch die Aufsichtsbehörde erforderlich. Gleichzeitig kann der Verwender grundsätzlich davon ausgehen, dass die gesetzlichen Anforderungen an den Datentransfer in Drittländer erfüllt werden. Die von der EU-Kommission entworfenen Standarddatenschutzklauseln sind aus diesen Gründen weit verbreitet.

Sind die Klauseln auch unter der DSGVO anwendbar?

Die DSGVO sieht die Klauseln weiterhin als geeignete Garantie für ein angemessenes Datenschutzniveau. Nach den Vorgaben der Kommission abgeschlossene Datenschutzverträge bleiben auch nach Wirksamwerden der DSGVO zum 25. Mai 2018 erst einmal in Kraft (Art. 46 Abs. 5 S. 2 DSGVO).

Dennoch müssen Unternehmen, die Daten aufgrund von Standarddatenschutzklauseln ins Ausland transferieren, aufmerksam bleiben. Die Klauseln bleiben so lange wirksam, bis sie „erforderlichenfalls“ durch einem Beschluss der Kommission geändert, ersetzt oder aufgehoben werden. Die EU-Kommission erwägt derzeit sowohl den Erlass neuer Standarddatenschutzklauseln als auch die Ergänzung bestehender Klauseln.

Neben einer Änderung der Klauseln durch die EU-Kommission muss die Rechtsprechung des EuGH beobachtet werden. Der irische High Court (Irish Data Protection Commissioner v. Facebook and Max Schrems) hat die generelle Frage der Wirksamkeit der Standarddatenschutzklauseln im Oktober 2017 dem EuGH vorgelegt. Bis zu einer Entscheidung wird vermutlich aber noch einige Zeit verstreichen.

„Spielregeln“ der Gestaltung

Der Datentransfer in Drittländer auf der Grundlage von Standarddatenschutzklauseln setzt eine sorgfältige Vertragsgestaltung voraus. Die folgende Checkliste gibt einen Überblick über die wichtigsten Regelungsfragen:

  • Art der Standarddatenschutzklausel: Die EU-Kommission hat Klauseln für die Datenweitergabe zwischen Verantwortlichen und für die Auftragsdatenverarbeitung entwickelt. Hier muss die richtige Regelungsvariante gewählt werden.
  • Vertragspartner: Internationale Unternehmensgruppen und Konzerne schließen vielfach einen sog. Mehrparteienvertrag, der als Grundlage für Datenübermittlungen innerhalb der Gruppe bzw. des Konzerns dienen soll. Ob in solchen Fällen eine Genehmigungspflicht durch die zuständig Aufsichtsbehörde besteht, hängt davon ab, ob und inwieweit die Mehrparteienverträge auf den EU-Standardverträgen basieren. Besonderheiten sind bei der Unterauftragsdatenverarbeitung zu beachten.
  • Notwendige Anpassungen: Unter dem BDSG a.F. mussten die Standarddatenschutzklauseln für Auftragsverarbeiter nach Auffassung der deutschen Aufsichtsbehörden um einige Klauseln ergänzt werden. Das dürfte auch unter der DSGVO und dem BDSG n.F. gelten.
  • Ergänzende Regelungen: Die Wirkung der Standarddatenschutzklauseln als Garantie für ein angemessenes Datenschutzniveau gilt auch für den Fall, dass die Klauseln in ein Gesamtvertragswerk eingebaut werden. Entscheidend ist jedoch, dass die Standardklauseln unverändert übernommen werden und die sonstigen in dem Vertrag enthaltenen Klauseln zu den Standarddatenschutzklauseln weder mittelbar noch unmittelbar im Widerspruch stehen oder die Grundrechte und -freiheiten der betroffenen Personen im Übrigen beschneiden.
  • Umfang der Datenübertragung: Die Regelungen im Datenschutzvertrag müssen hinreichend bestimmt sein, d.h. es muss für jeden Datentransfer klar geregelt sein, wer an wen welche Daten zu welchem Zweck übermittelt. Dies erfordert einen nicht unerheblichen Dokumentationsaufwand.

Fazit

EU-Standarddatenschutzklauseln können eine schnelle und praktikable Möglichkeit darstellen, geeignete Garantien für die Datenübertragung in Drittländer zu schaffen. Bei der Gestaltung von Datenschutzverträgen unter der DSGVO müssen die von EU-Kommission entwickelten Klauseln vor allem hinsichtlich der Auftragsdatenverarbeitung und der Transparenz der Datenübertragung modifiziert werden.

Unternehmen, die personenbezogene Daten mittels Standarddatenschutzklausen in Drittländer übertragen, müssen allerdings die Rechtsprechung des EuGH und die Entscheidungen der Kommission im Blick behalten, um Änderungsbedarf zu erkennen und rechtzeitig umzusetzen.

362 beiträge

KLIEMT.Arbeitsrecht




Wir sind Deutsch­lands führende Spe­zi­al­kanz­lei für Arbeits­recht (bereits vier Mal vom JUVE-Handbuch als „Kanzlei des Jahres für Arbeitsrecht“ ausgezeichnet). Rund 65 erst­klas­sige Arbeits­rechts­exper­ten beraten Sie bundesweit von unseren Büros in Düs­sel­dorf, Berlin, Frankfurt, München und Hamburg aus. Kompetent, persönlich und mit Blick für das Wesent­li­che. Schnell und effektiv sind wir auch bei komplexen und grenz­über­schrei­ten­den Projekten: Als einziges deutsches Mitglied von Ius Laboris, der weltweiten Allianz der führenden Arbeitsrechtskanzleien bieten wir eine erstklassige globale Rechtsberatung in allen HR-relevanten Bereichen.
Verwandte Beiträge
Datenschutz Neueste Beiträge

Kopie personenbezogener Mitarbeiterdaten – Keine Pflicht zur Herausgabe umfassender Unterlagen

Nach der DSGVO kann der Arbeitnehmer vom Arbeitgeber eine Kopie der personenbezogenen Daten verlangen, die Gegenstand der Verarbeitung durch den Arbeitgeber sind. Die Reichweite dieses Anspruchs ist nach wie vor umstritten. Eine Klärung durch das BAG ist bislang nicht erfolgt. Nun hat sich das ArbG Bonn (Urteil vom 16.07.2020 – 3 Ca 2026/19) gegen ein weites Verständnis des Anspruchs ausgesprochen und klargestellt, dass nur die…
Datenschutz Neueste Beiträge

Ende für Privacy Shield: Karten für transatlantische Datenübermittlung neu gemischt

Nachdem der EuGH das Safe Harbour-Abkommen im Jahr 2015 für unwirksam erklärt hatte, schlossen die USA und die EU kurz darauf das sog. Privacy Shield-Abkommen, wonach die Übertragung von personenbezogenen Daten von der EU in die USA nunmehr rechtssicher geregelt werden sollte. Das Abkommen wurde von einigen Datenschutzexperten von Beginn an kritisiert, da es – in gleichem Maße wie das Safe Harbour-Abkommen – keine sichere…
Datenschutz Haftung Neueste Beiträge

Datenschutzgrundverordnung: Wie weit reicht der Auskunftsanspruch?

„Eine betroffene Person sollte ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, besitzen und dieses Recht problemlos und in angemessenen Abständen wahrnehmen können“, heißt es in Erwägungsgrund 63 zur Datenschutzgrundverordnung (DSGVO). Gemeint ist der Auskunftsanspruch gemäß Art. 15 DSGVO. Arbeitgeber können jederzeit mit einem Antrag auf Auskunft konfrontiert werden und vor der Frage stehen: Was genau wird eigentlich von diesem Auskunftsanspruch…
Abonnieren Sie den KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

Die Abmeldung ist jederzeit möglich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.