Datentransfer in ein Drittland unter der DSGVO

Wie können Personendaten in ein Drittland ohne angemessenes Schutzniveau transferiert werden?

Die virtuelle Welt kennt keine Grenzen; in einer stark vernetzten Welt werden die Daten mit einem Knopfdruck von einem Ort zum anderen verschoben. Die neue DSGVO verlangt weiterhin, dass bei einem Datentransfer in ein Land ausserhalb der EU ein angemessenes Schutzniveau besteht. Die EU will damit sicherstellen, dass die betroffenen Personen immer einen mit der EU vergleichbaren Datenschutz geniessen, selbst wenn die Daten im Ausland verarbeitet werden. Die Vorschriften der DSGVO sollen durch einen Transfer in Land ohne angemessenes Schutzniveau nicht umgangen werden. Werden Daten im Rahmen eines Outsourcings in Indien verarbeitet oder in einem Datencenter in den USA gespeichert, so bleibt das Unternehmen weiterhin dafür verantwortlich, dass die europäischen Datenschutzvorschriften eingehalten werden.

Die Erfassung aller Datentransfers und das Sicherstellen eines vergleichbaren Datenschutzes, stellt gerade für Grossunternehmen eine schwierige Aufgabe dar. Damit Nutzerdaten von Nutzern ausserhalb der EU nicht unter die DSGVO fallen, hat bspw. Facebook schnell mal 1.5 Milliarden Nutzerdaten von ihrem Rechenzentrum in Irland in ein Rechenzentrum in die USA verschoben.

Bei KMU’s ist die weltweite Vernetzung meist nicht so komplex aber auch sie müssen einen rechtskonformen Datentransfer ins Ausland sicherstellen. Um einen Datentransfer in ein Drittland sicherzustellen gibt es verschiedene Möglichkeiten.

Länder mit einem angemessenen Schutzniveau

Sofern im Zielland ein gleichwertiger Schutz besteht, ist ein Transfer zulässig. Die Angemessenheit wird durch die EU-Kommission beurteilt. Die Kommission entscheidet über die Aufnahme auf die Liste der Länder mit einem angemessenen Schutzniveau. Bis auf Weiteres haben folgende Länder ein angemessenes Schutzniveau und sind somit EU Ländern in Bezug auf den Datenschutz gleichgestellt; Andorra, Argentinien, Canada, Farö Inseln, Guernsey, the Isle of Man, Israel, Jersey, Neuseeland, Schweiz und Uruguay.

Ausserdem hat die EU die Möglichkeit einen angemessenen Schutz durch internationale Abkommen sicherzustellen. Das Privacy Shield Abkommen ist dabei wohl das bekannteste Abkommen.

Datenaustausch mit Unternehmen aus den USA

Nach den Enthüllungen von Snowden und der darauffolgenden Klage von Schrems vor dem Europäischen Gerichtshof (EuGH) gegen Facebook wurde das Safe-Harbor – Abkommen zwischen der EU und den USAvom EUGH für ungültig erklärt. Mit dem Privacy Shield Abkommen wurde mittlerweile ein neues Abkommen geschlossen, damit weiterhin ein einfacher Datentransfer in die USA möglich bleibt. Das Privacy Shield Abkommen ist nicht über alle Zweifel erhaben und wird von einigen Stellen als ungenügend kritisiert. Für den Moment bietet es den Unternehmen für einen Datentransfer aber eine ausreichende Rechtssicherheit. Ein US Unternehmen muss jedoch aktiv an dem Abkommen teilnehmen und die Einhaltung der rechtlichen Anforderungen nachweisen. Bevor Daten transferiert werden, ist zu prüfen, ob das US Unternehmen unter dem Privacy Shield Abkommen zertifiziert ist.

Nimmt das Unternehmen am Privacy Shield Programm teil, gilt der Datenschutz als angemessen und ein Datentransfer ist grundsätzlich zulässig. Es bleiben allfällige nationale Spezialvorschriften zu prüfen, welche in bestimmten Bereichen einen Transfer verhindern könnten (bspw. Bankgeheimnis oder im Arbeitsrecht).

Die Schweiz hat ebenfalls ein Privacy Shield Abkommen abgeschlossen, weshalb hier vergleichbare Regeln gelten.

Weitere Rechtfertigungsgründe für einen Datentransfer in ein Drittland

In vielen Fällen fehlt jedoch ein angemessenes Datenschutzniveau, um trotzdem einen rechtskonformen Datenaustausch zu ermöglich, sieht die DSGVO insbesondere folgende Möglichkeiten vor:

  • Binding Corporate Rules (BCRs)
  • EU – Standardverträge
  • Genehmigte vertragliche Regelung
  • Genehmigte Verhaltensregeln (Code of Conduct) inkl. einer Verpflichtung zur Einhaltung
  • Eine Zertifizierung des Datentransfers inkl. einer Verpflichtung zur Einhaltung
  • Eindeutige Einwilligung
  • Zur Vertragsabwicklung notwendig

Die Schweiz verlangt ebenfalls, dass ein angemessenes Schutzniveau im Zielland besteht (Staatenliste). Falls dies nicht der Fall ist, gibt es mit der EU vergleichbare Regelungen, wie trotzdem ein rechtskonformer Datentransfer vorgenommen werden kann. Die laufende Revision sieht zudem eine weitere Angleichung an die EU vor, so soll ebenfalls die Möglichkeit von BCRs geschaffen werden. Von der EU genehmigte BCRs werden vom EDÖB bereits heute als Nachweis für einen internen Datenschutz akzeptiert. Ebenfalls werden die EU-Standardverträge akzeptiert, der EDÖB stellt jedoch auch ein eigenes Muster zur Verfügung. Ausserdem finden sich auf der EDÖB Webseite weitere hilfreiche Hinweise zum Datentransfer ins Ausland.

Es gilt zu beachten, dass in der Schweiz Datentransfers in ein unsicheres Drittland gestützt auf einen Standardvertrag oder konzerninterne Richtlinien dem EDÖB zu melden sind, wobei nur eine formale Prüfung erfolgt.

Beste Methode für KMU

BCRs sind verbindliche interne Richtlinien eines Unternehmens, welche den Datenschutz für das ganze Unternehmen verbindlich regeln. Diese Richtlinien müssen durch die zuständige Aufsichtsbehörde genehmigt sein. Das Verfahren zur Einführung von BCRs ist bis anhin sehr aufwendig und wird sich für ein KMU mit nur wenig eigenen Niederlassungen in Drittstaaten kaum lohnen. Die neuen Lösungen der Zertifizierung und des Code of Conduct müssen sich erst noch etablieren. Der Code of Conduct birgt jedoch die Chance, branchenspezifische Lösungen zu schaffen und könnte in Zukunft ein probates Mittel für ein KMU darstellen.

Die einfachste Variante stellt daher weiterhin der Standardvertrag dar. Standardverträge können sowohl für den internen Datentransfer in eine Niederlassung genutzt werden sowie für den Transfer zu Auftragsverarbeitern (bspw. IT-Outsourcing oder Vertriebspartner). Gemäss der DSGVO hat die Verarbeitung sowieso auf Grundlage eines Vertrages zu erfolgen. In Deutschland verlangt §62 BDSG sogar noch weitergehende vertragliche Regelungen. Ein KMU wird daher nicht um eine vertragliche Regelung herumkommen.

Eine Abänderung der Standardverträge ist zwar möglich, der Vertrag müsste dann aber wiederum genehmigt werden. Diese Variante wird für ein KMU wohl nur in selten Fällen sinnvoll sein. Der Standardvertrag darf daher nicht abgeändert, sondern nur – wo erlaubt – ergänzt werden. Es dürfen weitere Klauseln und Garantien hinzugefügt werden, solange diese nicht im Widerspruch zum Standardvertrag stehen.

Gegenüber Grossunternehmen wird ein KMU jedoch meist nur begrenzte Verhandlungsmacht haben und daher keine individuelle Lösung aushandeln können. Es gilt trotzdem zu prüfen, ob der Datenschutz sichergestellt ist und falls nicht, sollte ein anderer Lieferant gesucht werden. Die grossen amerikanischen IT-Dienstleister sind sich den strengen Datenschutzvorschriften bewusst und nehmen auch am Privacy Shield Abkommen teil oder bieten einen Vertragspartner in der EU an. Ein individuelles Verhandeln wird kaum möglich sein aber Unternehmen wie AWS, Microsoft oder Mailchimp bieten zusätzlich den Abschluss eines Standardvertrags an und teilweise auch die Option, dass die Daten nur in der EU gespeichert werden.

Ein KMU bleibt daher nicht davon verschont, seine Datenflüsse zu überprüfen und den Datentransfer in ein Drittland rechtskonform zu regeln.

 

Yves Gogniat hat an der Universität St. Gallen Rechtswissenschaften studiert und danach das Anwaltspatent erworben. Danach hat er in einer Boutique-Kanzlei gearbeitet, welche sich vor allem auf das IT- Recht und Datenschutz konzentriert. Zudem war er als Dozent für IT- und IP-Recht an der ZHAW tätigt. Yves Gogniat konnte dabei seine Leidenschaft für Technologie ausleben und sein Profil in diesen Gebieten schärfen. Seit dem Sommer 2017 ist er als selbständiger Rechtsanwalt bei GoLaw tätig. Yves Gogniat erbringt vor allem Rechtsdienstleistungen in Fragen des Technologie- und Vertragsrechts.

Die Kommentarfunktion ist geschlossen.