Datenübermittlung in Drittstaaten

Werden personenbezogene Daten in Drittstaaten übermittelt, müssen folgende beide Voraussetzungen gegeben sein:

• Rechtsgrundlage für die Datenverarbeitung
• Angemessene Garantie für ein gleichwertiges Datenschutzniveau im Drittstaat
  z. B. Angemessenheitsbeschluss, Standarddatenschutzklauseln, Bindings Corporate Rules, Ausnahmen nach Art. 49 Abs. 1 DSGVO

Datentransfers nach UK auf der Basis eines sog. Angemessenheitsbeschlusses

Unternehmen in der EU können personsonenbezogene Daten seit am 28.06.2021 neu und befristet auf vier Jahre (Verlängerungsoption möglich) auf der Grundlage eines sog. Angemssenheitsbeschlusses in das Vereinigte Königreich übermitteln. Auf diesen sog. "Angemessenheitsbeschluss im Rahmen der DSGVO" können alle Datentransfers von der EU in das Vereinigte Königsreich gestützt werden, ohne dass dieser für einzelne Datentransfers gesondert abgeschlossen werden musste. Die EU-Kommission hat am 28.06.2021 zwei Angemessenheitsbeschlüsse zum Vereinigten Königreich in Kraft gesetzt; einen im Rahmen der Datenschutzgrundverordnung (DSGVO) und einen im Rahmen der Strafverfolgung.

Hier die Pressemitteilung der EU-Kommission

Hier finden Sie die Angemessenheitsbeschlüsse und ergänzende Dokumente

Angemessenheitsbeschlüsse ersetzen die Übergangsregelung
Mit Inkrafttreten der Angemssenheitsbeschlüsse zum Vereinigten Königsreich ist zeitgleich die Übergangsregelung mit UK ausser Kraft getreten. Hier hatte die EU-Kommission sich in dem Handels- und Kooperationsabkommen der EU mit dem VK (Trade and Cooperation ‎Agreement, TCA), das seit 1.1.2021 vorläufig anwendbar‎ war, darauf verständigt, dass das Vereinigte Königreich Großbritannien und Nordirland für eine neue Übergangsperiode von vier Monaten und einer weiteren Verlängerungsoption von zwei Monaten (war bis Ende Juni verlängert worden), falls keiner der Partner widerspricht, nicht als Drittland angesehen wird. Personenbezogene Daten konnten während dieser neuen Übergangsphase weiterhin nach VK übermittelt werden, ohne dass Regelungen für einen Drittstaatentransfer (Art. 44 ff. DSGVO) beachtet werden müssen.

Der EuGH hat mit Urteil vom 16.07.2020 das EU-US Privacy Shield für unwirksam erklärt. Für die Wirtschaft hat diese Entscheidung weitreichende Auswirkungen. Denn hierdurch werden Datentransfers in die USA, welche auf das EU-US-Privacy Shield gestützt wurden, unzulässig. Die Entscheidung des EuGH tangiert auch die sog. Standardvertragsklauseln (SCC). Diese hat der EuGH nicht prinzipiell für unwirksam erklärt. Allerdings müssten die europäischen Unternehmen und im Anschluss die einzelnen Datenschutzbehörden im Einzelfall prüfen, ob in dem jeweiligen Drittland ein angemessenes Datenschutzniveau gewährleistet ist und mit dem Datenimporteur im Drittland vereinbarte SCC dies sicherstellen können.

Der Europäischen Datenschutz-Ausschuss (EDSA) hat sich mit dem Urteil des EuGH zwischenzeitlich befasst und hat Leitlinien für die Umsetzung (Stand: 18.06.2021) erstellt und diese am 18.06.2021 in einer überarbeiteten Version zur Verfügung gestellt. Die europäischen Aufsichtsbehörden haben Hinweise zu zusätzlichen Maßnahmen für die Standarddatenschutzklauseln (SCC) erarbeitet.
Empfehlung: Dokumentieren Sie die zusätzlichen Maßnahmen zu Ihren SCC.

Ferner hat die EU-Kommission neue ‎Standardvertragsklauseln (SCC) am 07.06.2021 im Europäischen Amtsblatt veröffentlicht. Zudem verhandelt die EU-Kommission mit den USA einen neuen ‎Angemessenheitsbeschluss (Nachfolger von EU-US Privacy Shield). Wir werden die Entwicklung verfolgen und über die IHK-Homepage zeitnah informieren.

Aktuelle Informationen: Bericht vom 7. Deutsch-amerikanischen Datenschutztag (19.04.2023)

Haltung der IHK-Organisation

• Für die Unternehmen in der EU, die Daten in Drittländer übermitteln, wird hierdurch die Rechtsunsicherheit steigen. Es ist nicht hinnehmbar, dass Unternehmen hier ein kaum mehr beherrschbares Risiko tragen sollen.
• Datenschutzrecht entwickelt zunehmend extraterritoriale Wirkung. Für die Weiterentwicklung der Digitalökonomie ist dies "eine kritische Situation".
• Unternehmen mit Datentransfer in Drittstaaten brauchen nun nicht allein für die USA, sondern demnächst auch für Großbritannien und andere Drittstaaten schnelle und belastbare Hinweise von der Europäischen Kommission sowie den zuständigen Datenschutzbeauftragten zur EU-datenschutzrechtskonformen Vertragsgestaltung.

Worum geht es?
Die EU-Kommission hatte im Juli 2016 den mit den USA verhandelten Angemessenheitsbeschluss Privacy Shield erlassen. Das bedeutete für Datentransfers in die USA: Hatte sich ein US-Unternehmen freiwillig den Bedingungen des Privacy Shield unterstellt und das US-Handelsministerium (FTC) die Selbstzertifizierung überprüft, konnten Datenübermittlungen an diese US-Unternehmen auf dieser Rechtsgrundlage erfolgen.

• Erlaubt waren nur Datentransfers an bei Privacy Shields zertifizierte Unternehmen, nicht grundsätzlich in die USA.
• Voraussetzung war, dass die Datenübermittlung grundsätzlich legitimiert (auf einer Rechtsgrundlage) war.

Die EU-Kommission hat mit der US-Regierung Gespräche über den Abschluss eines neuen Abkommen aufgenommen, welches das für unwirksam erklärte Privacy Shield ersetzen soll. Dies ist rechtlich schwierig. Insofern ist nicht mit einer schnellen Lösung zu rechnen.

Die Entscheidung des EuGH führt dazu, dass die Unsicherheit bei Unternehmen steigt, welche ihre Datentransfers in die USA auf Privacy Shield gestützt haben. Unklar ist, wie im Grundsatz für zulässig angesehene SCC von dem EuGH-Urteil, das eine Einzelfallprüfung des Datenschutzniveaus in einem Drittland fordert, tangiert sein werden.

Praxistipp - Umgang mit der Situation:

• Prüfen Sie in einem ersten Schritt, welche Datentransfers in Ihrem Unternehmen auf das Privacy Shield gestützt werden.
• Prüfen Sie in einem zweiten Schritt, ob diese Datentransfers alternativ (z. B. durch Standardvertragsklauseln bzw. durch Standardvertragsklauseln mit Zusatzvereinbarungen (sog. "SCC plus"), Binding Corporate Rules oder z. B. durch Zertifizierungen) abgesichert werden könnten.
• Sofern Sie die Datentransfers auf Standardvertragsklauseln stützen, so haben Sie die bisherigen Standardvertragsklauseln binnen einer Übergangsfrist von 18 Monaten und 20 Tagen ab Veröffentlichung im Europäischen Amtsblatt (Veröffentlichung: 07.06.2021; Fristbeginn: 27.06.2021) durch die neuen Standardvertragsklauseln zu ersetzen.
• Orientieren Sie sich an den Empfehlungen, welche die Datenschutzaufsichtsbehörden hierzu geben werden. Für Unternehmen in Bayern ist dies das Bayerische Landesamt für Datenschutzaufsicht (BayLDA).
• Die Aufsichtsbehörden haben bundesweit eine koordinierte Prüfung zu internationalen Datentransfers eingeleitet. Diese erfolgt mittelsFragebogen, welche die angefragten Unternehmen zu beantworten haben.

EU-US Privacy Shield - Sachstand

• Viele große US-Unternehmen hatten sich dem neuen Regelwerk Privacy Shield zwischenzeitlich unterstellt.

• Die FTC stellte die Bescheinigungen aus und veröffentlichte eine aktuelle Liste der zertifizierten US-Unternehmen im Internet.
• Die Liste können Sie hier abrufen und nach Unternehmen recherchieren.
• Privacy Shield und Standardvertragsklauseln (SCC) werden vielfach kritisiert. Die Frage, ob diese Rechtsinstrumente auf Dauer Bestand haben, hat der EuGH entscheiden. SCC werden im Grundsatz weiterhin als zulässig angesehen.

• Selbstverpflichtung von US-Unternehmen: zur Einhaltung angemessener Datenschutzregeln und zu deren Veröffentlichung, sodass damit eine Durchsetzbarkeit nach US-amerikanischem Recht gewährleistet wird. Betroffene sollten sich ferner direkt bei selbstverpflichteten US-Unternehmen beschweren können. Diese haben die Pflicht, Datenschutzverstöße abzustellen. Überwacht werden selbstverpflichtete US-Unternehmen von der Federal Trade Commission (FTC).
• Rechtsschutzmöglichkeiten für EU-Bürger: In einem mehrstufigen Beschwerde- und Eskalationsverfahren, falls ein selbstverpflichtetes Unternehmen hiergegen verstößt. Eine gerichtliche Klärung soll im Ausnahmefall ermöglicht werden.
• Sanktionen: Falls selbstverpflichtete Unternehmen gegen Datenschutzregeln verstoßen, soll dies mit Strafen geahndet werden können.
• Europäische Datenschutzaufsichtsbehörden: Selbstverpflichtete US-Unternehmen haben Entscheidungen europäischer Datenschutzaufsichtsbehörden zu akzeptieren und zu befolgen.
• Garantien gegen einen massenhaften Zugriff auf Daten durch US-Behörden: Der Zugriff von Geheimdiensten und Gerichten auf Daten von EU-Bürgern soll strengen Vorgaben und einer Überwachung unterliegen, beschränkt sein auf Einzelfälle (kein massenhafter Datenabgriff). Im Falle eines Verstoßes sollen EU-Bürger sich an einen Ombudsmann (wird als neue Stelle beim Department of State/Auswärtiges Amt eingerichtet) wenden können.
  Der EuGH hat in seinem Urteil vom 16.07.2020 den Ombusmann nicht als unabhängiges Organ der Rechtspflege angesehen. Ferner waren die Zugriffsrechte durch US-Behörden auf Daten als zu weitgehend angesehen worden.
• Jährliche Evaluierung des EU-US-Privacy-Shield-Abkommens: durch die EU und die USA

• Privacy Shield ersetzte das alte Safe Harbor-Abkommen. Der Europäische Gerichtshof (EuGH) hat am 6. Oktober 2015 die Safe-Harbor-Regelung für ungültig erklärt. Diese gewährleiste aus europäischer Sicht kein angemessenes Datenschutzniveau. Ferner hat der EuGH den Datenschutzaufsichtsbehörden die Befugnis attestiert, Datenübermittlungen in die USA auf der Basis des Safe-Harbor-Abkommens zu untersagen.
• Unternehmen mussten daraufhin ihre Datentransfers auf Standardvertragsklauseln (SCC) umstellen. SCC rechtfertigen einen Datentransfer in die USA nur im Einzelfall. Bei jedem weiteren Fall musste eine neue SCC abgeschlossen werden. Das EuGH-Urteil vom 16.07.2020 verschärft die Vorgaben für SCC (s. o.) noch.
• Privacy Shield attestierte zertifizierten US-Unternehmen ein angemessenes Datenschutzniveau. Darauf konnten Datenübermittlungen an diese global darauf gestützt werden, die nach dem EuGH-Urteil illegar sein dürften.