Aktuelles

Vorsicht bei der Datenübermittlung in Drittländer

Dank der Globalisierung rückt die Welt zusammen. Wirtschaftliche Betätigung und auch die Datenflüsse verlaufen stetig globaler. Ziel der Datenschutzgrundverordnung ist die Gewährleistung eines einheitlichen europäischen Schutzniveaus für die Datenverarbeitung europäischer Bürger im Drittland und die Datenverarbeitung in Europa.

Bis Sommer 2020 bestand mit den USA das sogenannte EU-US-Privacy-Shield-Abkommen. Dieses war aus Sicht der Europäischen Kommission ein Angemessenheitsbeschluss, vorbehaltlich der Tatsache, dass sich der Empfänger (z.B. ein Dienstleister) in den USA auf dieses Abkommen verpflichtet hat. Somit war die Datenübermittlung an Unternehmen in die USA, die sich verpflichtet hatten, bis dahin zulässig.

Nach „Safe Harbor“ nun auch „Privacy Shield“ gekippt!

Im Juli dieses Jahres erklärte der Europäische Gerichtshof (EuGH) nach dem Vorgänger nun auch den Privacy-Shield für unwirksam. Behörden in den USA können auf der Basis ihres Rechtssystems viele Daten, auf die US-amerikanische Unternehmen Zugriff haben einsehen. Das gilt unabhängig davon, wo diese Daten gespeichert sind – also ggf. auch Betriebsgeheimnisse und personenbezogene Daten – ohne dass EU-Unternehmen und EU-Bürger dagegen Rechtsmittel einlegen können.

Ein adäquates Datenschutzniveau kann so pauschal nicht sichergestellt werden. Wer allein auf der Basis des Privacy Shield weiterhin Daten in die USA übermittelt, handelt damit rechtswidrig. Die Kriterien, die an einen Datentransfer ins Drittland gestellt werden, gelten für alle sogenannten Drittländer ohne Angemessenheitsbeschluss. Dies sind bspw. auch China und Indien und zahlreiche andere Staaten außerhalb der EU. Auch die von der Kommission beschlossenen Standardvertragsklauseln müssen ein Schutzniveau für die personenbezogenen Daten sicherstellen, das dem in der EU entspricht.

Diese Kriterien gelten zukünftig insbesondere auch für Großbritannien. Noch ist das Land Teil der EU – doch nach vollzogenem Brexit wird auch Großbritannien ein Drittland sein.

Was können Unternehmen jetzt tun, um ihr Risiko zu senken?

  1. Zunächst sollte für alle Prozesse analysiert werden, welche personenbezogenen Daten an welche Drittländer übermittelt werden. Für die festgestellten Datenübermittlungen an Empfänger im Drittland ist zu prüfen, ob ein Angemessenheitsbeschluss oder geeignete Garantien wie Standardvertragsklauseln vorliegen.
  2. Für die Empfänger mit Standardvertragsklauseln kann z. B. durch eine fragenbogengestützte Analyse ermittelt werden, ob im Rechtssystem oder in der Praxis des Drittlands Anhaltspunkte dafür bestehen, dass allein durch die Standardvertragsklauseln das Datenschutzniveau nicht eingehalten werden kann.
  3. Im nächsten Schritt sollte geprüft werden, ob zusätzliche technische und organisatorische Maßnahmen ergriffen werden können, um ein im Wesentlichen gleichwertiges Schutzniveau trotz dieser Risiken herzustellen. Eine derartige Maßnahme könnte insbesondere die Verschlüsselung der Daten darstellen.
  4. In den Fällen, in denen keine zusätzlichen Maßnahmen geeignet sind, ein angemessenes Schutzniveau zu gewährleisten, sollte die Übermittlung beendet – zumindest aber deren Ablösung durch eine sichere und zulässige Verarbeitung strukturiert und dokumentiert betrieben werden.

Es empfiehlt sich unbedingt, die Vorgehensweise und die getroffenen Bewertungen zu dokumentieren, sodass im Zweifel nachgewiesen werden kann, dass sich das Unternehmen mit der gebotenen Sorgfalt mit diesem Thema auseinandergesetzt hat.

Wie geht es weiter?

Die EU-Kommission hat eine Arbeitsgruppe installiert, die sich mit der Entwicklung neuer EU-Standardvertragsklauseln befasst, um hier schnell Abhilfe zu schaffen. Diese hat Mitte November erste Ergebnisse vorgelegt, mit dem Ziel, bis zum Jahresende 2020 ein neues Verfahren zu etablieren. Wenn das gelingt, müssen diese neuen Standardvertragsklauseln mit den Empfängern in Drittstaaten vereinbart werden. Der qualifizierte betriebliche Datenschutzbeauftragte ist zu diesem Thema eine erste Anlaufstelle.

Es bleibt zu hoffen, dass die neuen Regelungen schnell zum Einsatz kommen – und sich die Vertragspartner auch daran halten. Langfristig ist es stets der sicherste Weg, einen Empfänger innerhalb der EU oder aus einem Staat, der mit der EU einen Angemessenheitsbeschluss erwirkt hat, zu wählen. Dies sind beispielsweise Kanada, Japan, Singapur, Schweiz und eine Reihe weiterer Staaten.

Wenn Sie mehr zu diesem Thema wissen wollen, wenden Sie sich bitte direkt an die Autorin oder den Autor. Wir freuen uns auf Ihren Anruf!

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

Sabrina Daniel

Sabrina Daniel

LLM., fundiertes betriebswirtschaftliches und wirtschaftsrechtliches Wissen sowie Erfahrung in der Umsetzung von Datenschutz in Unternehmensprozessen und berät seit 3 Jahren als Datenschutzbeauftragte und im ds²-Team von Thomas Spaeing. (mehr)

zur Vita

Weitere Referenzen von ds²

Datenschutz für Verbände und Dachorganisationen

Unternehmen verschiedenster Branchen organisieren sich heutzutage immer öfter in entsprechenden Verbänden, welche die Mitglieder mit der notwendigen Beratung und oft auch mit Rahmenvereinbarungen für wesentliche Dienstleistungen unterstützen. Experten der Branche informieren ihre Mitglieder über neuste Entwicklungen, Risiken im Beruf und Möglichkeiten der Verbesserung.

Qualitätsgarantie im Datenschutz

ds² profitiert von langjährigen Erfahrungswerten, umfangreichem Wissen in Theorie und Praxis sowie einer guten Zusammenarbeit mit den relevanten Institutionen der Branche.

Schutz von Kundendaten

Nach Inkrafttreten der Datenschutz-Grundverordnung ist die Sensibilisierung für den Datenschutz gestiegen. So ist mittlerweile vielen Abteilungen, die mit Kundenansprachen arbeiten, bewusst, dass neben dem Gesetz gegen den unlauteren Wettbewerb (UWG) auch der Datenschutz zu berücksichtigen ist. Die verantwortliche Stelle im Unternehmen stellt sich jedoch meist die Frage: "Darf ich das?"

GPS-Ortung und Datenschutz

Immer mehr Speditionen, Taxiunternehmen oder Unternehmen mit eigenem Kundendienst koordinieren ihren Fuhrpark mit Hilfe von „Global Positioning Systemen“ – kurz GPS.

Externer Datenschutzbeauftragter

Die Bestellung eines Datenschutzbeauftragten (DSB) ist notwendig, wenn mehr als neunzehn Personen EDV-gestützt personenbezogene Daten verarbeiten. Darunter ist jede Art von personenbezogenen Daten zu verstehen.

Datensicherheit

Die Abhängigkeit der Unternehmensprozesse von der Informationstechnologie sowie die steigenden Anforderungen an die Informationssicherheit haben dazu geführt, dass dieser Bereich zunehmend Gegenstand von Haftungsansprüchen und daher auch von Risikoprüfungen ist.

Coaching Ihres internen Datenschutzbeauftragten

Wie findet man den richtigen internen Datenschutzbeauftragten (DSB)? Da der interne DSB einen gesetzlichen Kündigungsschutz erfährt, sind Unternehmen gut beraten, bei der Auswahl die richtige Person entsprechend den gesetzlichen Anforderungen zu ermitteln.

mehr Beiträge laden

Kontakt

Schreiben Sie uns eine Mail an info@ds-quadrat.de oder rufen Sie uns an

+49 5421 308950

Kontakt

Schreiben Sie uns eine Mail an info@ds-quadrat.de oder rufen Sie uns an

+49 5421 308950
2020-12-11T13:26:41+01:00
Nach oben