In Bruchteilen von Sekunden passieren Daten Ländergrenzen und überqueren Weltmeere. So können blitzschnell Kundendaten in einer Cloud in den USA oder Indien gespeichert oder Verkaufsdaten in Großbritannien analysiert werden. Was technisch einfach ist, ist rechtlich kompliziert. Der Grund: In der Europäischen Union (EU) befindet sich der Datenschutz auf einem extrem hohen Niveau. Und nur bei Ländern, die den Datenschutz ebenso ernst nehmen wie die EU-Mitgliedstaaten, stehen die Ampeln für den Datenverkehr auf Grün. Dies prüft, verhandelt und entscheidet die EU-Kommission für jedes einzelne Land gesondert und bescheinigt dann einen unserem Niveau angemessenen Schutz. Solche Angemessenheitsbeschlüsse existieren etwa für Japan, Kanada, Israel, Neuseeland, Uruguay und die Schweiz.
Geeignete Garantien
Bei allen anderen Ländern weltweit stehen die Ampeln zunächst auf Gelb. Sie gelten allesamt als „unsichere Drittländer“. Hier bedarf es zusätzlicher Garantien, die Datenversender und Datenempfänger abgeben und damit einen Datenschutz auf EU-Niveau zusichern. Konzerne und Unternehmensgruppen können dies in Form interner Unternehmensregeln (Binding Corporate Rules, kurz BCR) tun, die den Datenaustausch zwischen ihren unterschiedlichen Standorten in verschiedenen Ländern betreffen; diese unterliegen allerdings einem Genehmigungsvorbehalt durch die Aufsichtsbehörde.
Für die allermeisten Unternehmen, insbesondere aus dem Mittelstand, geht der Weg jedoch nur über die sogenannten Standardvertragsklauseln (Standard Contractual Clauses, kurz SCC). Datenversender und Datenempfänger müssen diese immer bilateral vereinbaren. Im Formulieren dieser Zusagen sind sie nicht etwa frei, vielmehr gibt die EU den Wortlaut genauestens vor. Textliche Abweichungen davon sind nur möglich, wenn sie den Datenschutz erhöhen – nicht umgekehrt.
Neue SCC-Version
Bild: Deudat
Jüngst hat man die Klauseln überarbeitet, seit 27. Dezember 2022 müssen alle alten SCC-Versionen durch die neue Version ersetzt sein. „Insgesamt ist die Einführung der neuen SCC als Fortschritt in Sachen rechtssicherem Drittlandtransfer zu werten“, lautet die Einschätzung von Philip Reichardt, Teamleitung Vertrieb bei der Deudat GmbH, die sich im Verband Der Mittelstand (BVMW e. V.) bei digitalen Themen engagiert. „Insbesondere kleine und mittelständische Unternehmen können damit sicherstellen, dass die Datenübermittlung in Drittländer den geltenden datenschutzrechtlichen Anforderungen entspricht.“
Doch die Umsetzung der neuen SCC in der Praxis bezeichnet Reichardt als „herausfordernd“, und das liegt an zwei Knackpunkten: Einer neuen Risikoabschätzung (Transfer Impact Assessment, kurz TIA), die obligatorisch ist, und an unterschiedlichen Modulen, die für typische Transferkonstellationen die passenden Klauseln beinhalten und die man richtig auswählen muss. „Diese Aufgabe ist in der Regel nur in Zusammenarbeit mit einem bestellten Datenschutzbeauftragten lösbar“, sagt Reichardt.
Bild: Schürmann Rosenthal Dreyer
Externer Rat könnte auch erforderlich sein, um unternehmensintern überhaupt die Vorgänge zu identifizieren, bei denen ein Transfer in Drittländer erfolgt. „Das ist oft bei Cloud-Anwendungen der Fall oder wenn über Subdienstleister Datenverarbeitungen außerhalb des europäischen Wirtschaftsraums stattfinden“, nennt Rechtsanwältin Kathrin Schürmann Beispielfälle, die im Einkauf relevant werden können. Die Datenschutzexpertin von der Berliner Technologiekanzlei Schürmann Rosenthal Dreyer weiß: „Häufig werden Verträge mit den europäischen Standorten geschlossen, über Tochterunternehmen oder Subdienstleister finden dann aber doch Datenübermittlungen in ein Drittland statt.“ Oder der Provider sichert zwar eine rein europäische Daten-Cloud zu, behält sich aber den Zugriff auf die Daten auch außerhalb der EU vor, etwa zu Wartungszwecken. Schürmann warnt: „Auch in einem solchen Zugriff liegt eine Datenübermittlung, die den Abschluss der SCC bedingt.“
Es ist ratsam, in jeden Auftragsdatenverarbeitungsvertrag aufzunehmen, welche SCC-Module Anwendung finden, welche Klauseln vereinbart sind und ob es Ausnahmeregelungen gibt. Am einfachsten entledigt man sich der unangenehmen Datenschutzproblematik, indem man vor dem Einkauf solcher Dienste eingehender als bisher prüft, ob adäquate Alternativen in Gestalt von rein europäischen Anbietern existieren.
Datenverarbeitung durchleuchten
Ausgerechnet eine der größten Handelsnationen der Welt, die USA, ist in Sachen Datenschutz seit langem ein Sorgenkind. Ihren Status als „unsicheres Drittland“ verdanken sie vor allem ihren Staatsschutzbehörden und Geheimdiensten, die nach europäischen Maßstäben viel zu weit gehende Überwachungsbefugnisse besitzen, während sie wirksame Rechtsschutzmöglichkeiten für die Bürgerinnen und Bürger vermissen lassen. Dies waren die Hauptgründe dafür, dass bereits zwei frühere transatlantische Datenschutzabkommen (Safe Harbor und Privacy Shield) vor dem Europäischen Gerichtshof (EuGH) scheiterten, zuletzt 2020 durch das berühmte „Schrems II“-Urteil.
Sorgenkind USA
Unter Präsident Biden ist nun ein neues Abkommen in der Mache, und die EU prüft, ob aufgrund dessen wieder ein Angemessenheitsbeschluss für die USA ergehen kann. Doch es ist umstritten, ob die Bedenken des EuGH im neuen Regelwerk ausgeräumt wurden. Dass sich das höchste europäische Gericht auch mit dem jüngsten Versuch wird beschäftigen müssen, gilt als sicher.
Einstweilen bleibt für den Datentransfer über den Atlantik nur der umständliche Weg über die Standardvertragsklauseln SCC. Hier kommt TIA, dem Transfer Impact Assessment, eine besondere Bedeutung zu. Unternehmen, die Daten in die USA schicken, müssen diese Risikoeinschätzung individuell durchführen und dokumentieren. Eine Vorlage für die sechsstufige Prüfung hat der Europäische Datenschutzausschuss zur Verfügung gestellt. Sollten aufgrund dieser Prüfung Bedenken verbleiben, muss der Datenversender ggf. weitere Maßnahmen ergreifen – etwa eine Verschlüsselung –, um eine sichere Reise zu gewährleisten.
Die Autorin: Anja Falkenstein,
Rechtsanwältin, Karlsruhe
Checkliste: Datentransfer in Drittländer
1. Existiert für das Land, in das die Daten gesendet werden sollen, ein Angemessenheitsbeschluss der EU-Kommission (Artikel 45 DS-GVO)?
Ein solcher liegt derzeit vor für Andorra, Argentinien, Kanada, Färöer, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland, Schweiz, Uruguay und Vereinigtes Königreich.
2. Liegt kein Angemessenheitsbeschluss vor, müssen geeignete Garantien für den Transfer gegeben werden (Artikel 46 DS-GVO), und zwar alternativ durch:
- interne Unternehmensregeln (Binding Corporate Rules, BCR), die von der Aufsichtsbehörde genehmigt werden müssen
- Standardvertragsklauseln (Standard Contractual Clauses, SCC) der EU: hier muss das richtige Modul vereinbart und zusätzlich eine Risikoeinschätzung (Transfer Impact Assessment, TIA) durchgeführt und dokumentiert werden
- genehmigte Verhaltensregeln (selten)
- einzeln ausgehandelte Vertragsklauseln (selten)
Serie Einkaufsrecht
RA Anja Falkenstein stellt aktuelle und einkaufsrelevante Rechtsthemen vor.
