Die rasante Entwicklung neuer Technologien und ihre schnelle Einbindung in Geschäftsmodelle haben die Art und Weise, wie Unternehmen arbeiten, verändert, so dass die Verarbeitung, der Austausch oder sogar die Speicherung personenbezogener Daten an verschiedenen Standorten bequem und kostengünstig ist.
Die rechtlichen Auswirkungen, die sich aus der Speicherung oder der Übermittlung personenbezogener Daten ergeben, werden jedoch häufig übersehen. Die Datenschutz- Grundverordnung (DSGVO) enthält ein gesondertes Kapitel über Datenübermittlungen. Kurz gesagt, Übermittlungen in Nicht-EU-Rechtsordnungen mit unzureichenden oder fehlenden Datenschutzgesetzen und Rechtsbehelfen führen zu einem niedrigeren Datenschutzniveau, sofern keine angemessenen Sicherheitsvorkehrungen getroffen werden.
Was geschieht gemäß der DSGVO?
In der Datenschutz-Grundverordnung (DSGVO), versuchen die EU-Gesetzgeber, dieses Phänomen zu bekämpfen, indem sie klarere, gezieltere und harmonisierte Regeln für die Übermittlung in Nicht-EU-Länder schaffen. Darüber hinaus zielt die DSGVO darauf ab, die Daten von EU-Bürger zu schützen, indem im Vergleich zum derzeitigen EU-Datenschutzrahmen ein größerer räumlicher Anwendungsbereich verfolgt wird. In der Tat unterliegen auch Nicht-EU-Einrichtungen, die Waren oder Dienstleistungen anbieten oder das Verhalten von Personen mit Sitz in der EU überwachen, der DSGVO.
Übermittlungen innerhalb der EU
Bei innergemeinschaftlichen EU-Übermittlungen wären keine zusätzlichen Maßnahmen in Bezug auf die direkte Anwendbarkeit der DSGVO erforderlich. Wenn jedoch ein Verantwortlicher einen als Auftragsverarbeiter tätigen Dienstleistungserbringer beauftragt, muss diese Beziehung vertraglich geregelt sein und muss unter diesen Umständen den in der Datenschutz-Grundverordnung festgelegten Mindestkriterien genügen. Erfahren Sie mehr über verantwortliche Stellen gemäß der DSGVO in dem Artikel EU DSGVO Verantwortlicher vs. Auftragsverarbeiter – Was sind die Unterschiede?
Schritte für Nicht-EU-Datenübermittlungen
Im Falle von Datenübermittlungen außerhalb der EU legt das Gesetz spezifische Situationen fest, in denen solche Übermittlungen durchgeführt werden können. Organisationen müssen demnach prüfen, ob eine Angemessenheitsentscheidung der EU-Kommission vorliegt und falls dies nicht der Fall ist, zusätzliche Garantien durch vertragliche Vereinbarungen bieten. Um herauszufinden, warum die DSGVO nicht nur für EU-Länder vorbehalten ist, lesen Sie den Artikel Was ist die EU DSGVO und warum ist sie auf die ganze Welt anwendbar?
1) Besteht eine Angemessenheitsentscheidung der EU-Kommission?
Die EU-Kommission kann positive Entscheidungen in Bezug auf das Datenschutzniveau in einem Nicht-EU-Land oder sogar nur in bestimmten Bereichen, wie z. B. dem EU-US-Datenschutzschild, treffen. Diese Entscheidungen basieren auf einer gründlichen Bewertung der Angemessenheit des Datenschutzes in dem Drittland und auf dem Grundsatz, dass dieses Land ausreichende Garantien bietet, die im Wesentlichen denen in der EU entsprechen. Eine Angemessenheitsentscheidung beseitigt jegliches Hindernis für Datenübermittlungen in solche Rechtsordnungen oder Bereiche.
Eine aktualisierte Liste der Angemessenheitsentscheidungen im derzeitigen Rahmen ist auf der Website der EU-Kommission verfügbar.
2) Übermittlungen unterliegen angemessenen Sicherheitsvorkehrungen
Falls ein Angemessenheitsbeschluss nicht vorliegt, sollten EU-Einrichtungen eine der folgenden Möglichkeiten in Betracht ziehen:
Standardvertragsklauseln. Dies sind Musterverträge, die von der EU-Kommission mit dem Ziel verabschiedet wurden, es den Verantwortlichen in der EU zu ermöglichen, ausreichende Garantien bei der Übermittlung personenbezogener Daten an einen Verantwortlichen oder Auftragsverarbeiter außerhalb der EU zu erbringen. Im Rahmen der Datenschutz-Grundverordnung können auch Aufsichtsbehörden Standardvertragsklauseln erlassen. Diese Klauseln bedürfen jedoch der Zustimmung der Kommission.
Dieses Instrument ist bereits im geltenden Rechtsrahmen verfügbar und bleibt gültig, bis es von der Kommission geändert oder überprüft wird. EU Datenverantwortliche verwenden diese Standardklauseln üblicherweise entweder als Ad-hoc-Verträge oder als Teil einer umfassenderen Dienstleistungsebene oder geschäftsbezogener Vereinbarungen, sowohl mit anderen konzerninternen Bereichen als auch mit externen Organisationen außerhalb der EU.
Verbindliche interne Datenschutzvorschriften (BCR). Es besteht eine Reihe von internen Regeln, die von multinationalen Organisationen festgelegt werden, um die Übermittlung und die anschließende Verarbeitung personenbezogener Daten innerhalb der Unternehmensbereiche, einschließlich derer, die sich außerhalb des EU Gebietes befinden, zu regeln. Der wesentliche Vorteil der BCR gegenüber den Standardvertragsklauseln besteht darin, dass die Genehmigung einmal von der Aufsichtsbehörde eingeholt wird, die das Zulassungsverfahren leitet. Dies impliziert wiederum die Angemessenheit des von einem multinationalen Unternehmen angenommenen Datenschutzrahmens. Dies ermöglicht alle zukünftigen gruppeninternen Übermittlungen unabhängig von der Gerichtsbarkeit und ohne zusätzliche Formalitäten.
Der Artikel 29 (Datenschutzgruppe), der sich aus EU-Aufsichtsbehörden zusammensetzt, hat spezifische Leitlinien herausgegeben, um multinationalen Unternehmen dabei zu helfen sicherzustellen, dass die Regeln grundlegende Datenschutzgrundsätze, aber auch wirksame und verbindliche Mechanismen, die zur Gewährleistung eines angemessenen Datenschutzniveaus erforderlich sind, enthalten.
Zusätzliche Sicherheitsvorkehrungen. Zertifizierungsmechanismen und Verhaltenskodizes, die beide durch die DSGVO eingeführt werden, könnten in Zukunft auch als Angemessenheitsinstrument für die Datenübermittlung dienen.
3) Ausnahmen für Datenübermittlungen
Bei Fehlen einer Angemessenheitsentscheidung oder angemessener Garantien sieht die DSGVO noch einige Ausnahmen vor, nach denen eine Übermittlung erfolgen kann. Diese Ausnahmen umfassen Datenübermittlungen, die:
- mit der ausdrücklichen Einverständniserklärung der betroffenen Person erfolgen
- notwendig für die Ausführung oder den Abschluss eines Vertrags mit der betroffenen Person sind
- aufgrund wichtiger Gründe des öffentlichen Interesses erfolgen
- notwendig sind, um rechtliche Ansprüche zu begründen, auszuüben oder zu verteidigen
- notwendig für lebenswichtige Interessen der betroffenen Person oder anderer Personen sind
- aus einem Verzeichnis erstellt wurden, mit dem die Öffentlichkeit informiert werden soll und das gemäß den Rechtsvorschriften der Union oder der Mitgliedstaaten erstellt wurde.
Nächste Schritte für Ihre Organisation
In erster Linie sollten Organisationen jene Prozesse identifizieren, die Nicht-EU-Datenübermittlungen beinhalten. Beim Fehlen einer Angemessenheitsentscheidung müssen angemessene Sicherheitsvorkehrungen geprüft und vorgesehen werden (Standardvertragsklauseln oder BCR). Der Nutzen von Zertifizierungssystemen und Verhaltenskodizes als mögliche Instrumente für die Übermittlungslegitimierung sollte nicht unterschätzt werden. Auch wenn Ausnahmen eine mögliche Option darstellen, gelten diese als Ausnahme von der Regel und sollten nur unter bestimmten Umständen (z. B. einmalige oder dringende Übermittlungen) verwendet werden, wenn es nicht möglich ist, auf andere Garantien zurückzugreifen.
Laden Sie hier kostenlos Standardvertragsklauseln für die Übertragung an Auftragsverarbeiter und Standardvertragsklauseln für die Übertragung an Verantwortliche herunter.