Inter­na­tio­nal agie­ren­de Unter­neh­men über­tra­gen häu­fig per­so­nen­be­zo­ge­ne Daten in ande­re Län­der. Die neue Daten­schutz-Grund­ver­ord­nung (DSGVO) stellt eine Rei­he von Instru­men­ten bereit, um den Daten­trans­fer auch wei­ter­hin recht­lich sicher zu gestal­ten.

Das Ver­sen­den und Aus­tau­schen von Infor­ma­tio­nen inner­halb der EU bleibt rela­tiv ein­fach. Die DSGVO bringt ein weit­ge­hend ein­heit­li­ches Daten­schutz­ni­veau mit sich. Der Daten­aus­tausch ist ohne wei­te­res mög­lich, wenn die Betrof­fe­nen grund­sätz­lich der Daten­ver­ar­bei­tung zuge­stimmt haben oder eine gesetz­li­che Erlaub­nis greift.

Ähn­lich ist es auch mit Län­dern, die zwar nicht zur EU gehö­ren, in denen aber die Daten­si­cher­heit ent­spre­chend hoch ist und die EU-Kom­mis­si­on dies förm­lich fest­ge­stellt hat. Die EU-Kom­mis­si­on hat die­se Län­der als „daten­tech­nisch sicher“ ein­ge­stuft. Unter die EU-Ange­mes­sens­heits­be­schlüs­se fal­len bei­spiels­wei­se die Schweiz, Kana­da, Isra­el, Argen­ti­ni­en oder Neu­see­land.
„Aller­dings hat die EU in der neu­en Ver­ord­nung die Prüf­kri­te­ri­en für das Daten­schutz­ni­veau wei­ter ver­schärft“, sagt Kris­ti­na Schrei­ber, Rechts­an­wäl­tin der Kanz­lei Loschel­der und Refe­ren­tin bei der TÜV NORD Aka­de­mie. „Von daher könn­te es künf­tig Ände­run­gen bei den Ange­mes­sen­heits­be­schlüs­sen geben.“ Die der­zei­ti­gen Beschlüs­se blei­ben aber solan­ge bestehen, bis die EU etwas ande­res ent­schei­det. Sie sind also auch nach dem Start der neu­en DSGVO im Mai 2018 gül­tig.

Sonderregelungen zum Datenaustausch mit Drittländern

Wer mit Geschäfts­part­nern in einem Dritt­land zusam­men­ar­bei­tet, das nicht das EU-Daten­schutz­ni­veau hat, muss Son­der­re­ge­lun­gen beach­ten. „Dazu sieht die DSGVO ins­be­son­de­re in Arti­kel 46 ver­schie­de­ne Mög­lich­kei­ten vor, aus denen man sich das pas­sen­de Instru­ment aus­sucht “, so Schrei­ber.

Wenn eine Fir­ma bei­spiels­wei­se für Kun­den­an­fra­gen ein Call-Cen­ter in Mum­bai nut­zen will, dann muss sie den indi­schen Mit­ar­bei­ten­den dafür die Daten deut­scher Kun­din­nen und Kun­den zur Ver­fü­gung stel­len. Dafür kann das Unter­neh­men mit dem indi­schen Call-Cen­ter zum Bei­spiel soge­nann­te Stan­dard­da­ten­schutz­klau­seln ver­ein­ba­ren. Das sind von der EU zur Ver­fü­gung gestell­te Ver­trä­ge, die nicht ver­än­dert wer­den dür­fen.

Damit ver­pflich­tet sich der Geschäfts­part­ner in dem ande­ren Land, ein Daten­schutz­ni­veau ein­zu­hal­ten, das den Ansprü­chen der EU genügt. Nach neu­em Recht dür­fen auch die natio­na­len Behör­den sol­che Stan­dard­da­ten­schutz­klau­seln zur Ver­fü­gung stel­len. Sie müs­sen aber von der EU-Kom­mis­si­on geneh­migt wer­den – für ein ein­heit­li­ches Daten­schutz­ni­veau.

Tochtergesellschaften in unsicheren Drittstaaten

Für den Daten­aus­tausch eines deut­schen Kon­zerns mit sei­nen Toch­ter­ge­sell­schaf­ten in „unsi­che­ren Dritt­staa­ten“ wie bei­spiels­wei­se Ägyp­ten, Chi­na oder Russ­land, gibt es ande­re Instru­men­te. Mit Bin­ding Cor­po­ra­te Rules (BCR) zum Bei­spiel ver­pflich­ten sich aus­län­di­sche Toch­ter­ge­sell­schaf­ten intern, das euro­päi­sche Daten­schutz­recht ein­zu­hal­ten. Auch sie müs­sen behörd­lich geneh­migt wer­den.

Durch die DSGVO wer­den sol­che Selbst­ver­pflich­tun­gen auf eine rechts­si­che­re­re Basis gestellt“, sagt Rechts­an­wäl­tin Kris­ti­na Schrei­ber. Die BCR kön­nen nicht nur inner­halb eines Kon­zerns, son­dern auch bei fes­ten Koope­ra­tio­nen mit ande­ren Unter­neh­men ein­ge­setzt wer­den, zum Bei­spiel in der For­schung und Ent­wick­lung.

Der Privacy Shield gilt weiter – vorerst

Was die USA betrifft, gilt das Pri­va­cy-Shield-Abkom­men auch nach Ein­füh­rung der DSGVO. Der Nach­fol­ge­ver­trag der umstrit­te­nen Safe-Har­bor-Rege­lung ist der aktu­el­le Rechts­rah­men für den Daten­trans­fer zwi­schen den USA und der EU. Er sieht unter ande­rem vor, dass US-Unter­neh­men im Rah­men einer Selbst­zer­ti­fi­zie­rung bestä­ti­gen, dass sie über ein EU-kon­for­mes Daten­schutz­ni­veau ver­fü­gen.

Aller­dings gibt es eini­ge Punk­te in der DSGVO, die den Daten­schutz unter Umstän­den stren­ger sehen als das Pri­va­cy-Shield-Abkom­men. Des­halb könn­te es sein, dass die EU das Abkom­men zu einem spä­te­ren Zeit­punkt nach­jus­tiert. Zudem wird das Abkom­men vor den Euro­päi­schen Gerich­ten ange­grif­fen, wie sei­ner­zeit die Safe-Har­bor-Rege­lung.

Das The­ma Daten­über­tra­gung ins Aus­land betrifft übri­gens nicht nur Unter­neh­men mit Sitz in einem EU-Land. Wenn Fir­men, die ihren Sitz in einem Dritt­staat haben, mit Kun­den aus EU-Län­dern zu tun haben, müs­sen sie eben­falls euro­päi­sches Daten­recht ein­hal­ten. Ein Bei­spiel: Ein US-Unter­neh­men will deut­schen Nut­zern eine App anbie­ten. Da sich die­ses Ange­bot an EU-Bür­ger rich­tet, muss die ame­ri­ka­ni­sche Fir­ma ihre Daten­ver­ar­bei­tung eben­falls DSGVO-kon­form gestal­ten.

Detail­lier­te Infos bie­tet die Daten­schutz-Fach­ta­gung der TÜV NORD Aka­de­mie am 21. und 22. März 2018 in Ham­burg.