Internationaler Datenaustausch

Innerhalb der Europäischen Union (EU) dürfen Daten frei ausgetauscht werden, denn innerhalb der EU gilt das gleiche Datenschutzniveau. Für den Datentransfer über die Grenzen der EU hinaus, gilt dies jedoch nicht. Es gibt privilegierte Staaten, bei denen angenommen wird, dass ihre Datenschutzbestimmungen ähnlichen Ansprüchen genügen wie in Europa, dazu gehören beispielsweise Israel, Kanada, Argentinien, die Schweiz, Neuseeland und Japan. Nach dem Brexit galt das Vereinigte Königreich für eine Übergangszeit von vier Monaten nicht als unsicherer Drittstaat. Diese Übergangsfrist konnte für weitere zwei Monate verlängert werden [7] . Am 28. Juni 2021 nahm die EU-Kommission den „Angemessenheitsbeschluss“ ( siehe Artikel 45 DS-GVO - Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses) zur Datenschutzgrundverordnung (DS-GVO) an. Somit können personenbezogene Daten ungehindert zwischen dem Vereinigten Königreich und der EU ausgetauscht werden. Der Angemessenheitsbeschluss gilt zunächst für vier Jahre nach Inkrafttreten. Nach dieser Zeit wird erneut geprüft, ob das Vereinigten Königreich weiterhin ein angemessenes Datenschutzniveau sicherstellt. Fällt die Prüfung positiv aus, kann der Angemessenheitsbeschluss erneuert werden [8].

Für den Datentransfer zwischen den USA und Europa einigten sich die Europäische Kommission und die Vereinigten Staaten im März 2022 auf einen Transatlantischen Datenschutzrahmen (engl. Trans-Atlantic Data Privacy Framework). Darin vereinbarten die Partner u. a. verbindliche Sicherheitsvorkehrungen, um den Zugriff der US-Geheimdienste auf Daten zu beschränken. Im nächsten Schritt müssen die getroffenen Vereinbarungen in Rechtstexte umgesetzt werden [5, 9]. Am 10. Juli 2023 nahm die Europäische Kommission den Angemessenheitsbeschluss für den Datenschutzrahmen zwischen der Europäischen Union und den USA an [10]. Hierdurch wird die rechtssichere Übermittlung personenbezogener Daten an Unternehmen in den USA wieder ermöglicht. Das gilt jedoch nur für solche Unternehmen und Organisationen, die sich unter dem EU-US Data Privacy Framework zertifiziert haben und nach der Selbstzertifizierung auf der Data Privacy Framework List des Handelsministeriums der Vereinigten Staaten (engl. United States Department of Commerce, DOC) aufgenommen wurden [12, 13, 14]. Der Angemessenheitsbeschluss gilt unbefristet. Die Kommission wird jedoch die für das Abkommen relevanten Entwicklungen in den USA beobachten und den Angemessenheitsbeschluss regelmäßig auf den Prüfstand stellen [10]. Das neue Übereinkommen war notwendig, weil die beiden Vorgängerabkommen aufgehoben wurden. Das bis zum Jahr 2015 gültige Safe-Harbor-Abkommen (sicherer Hafen) erklärte der Europäische Gerichtshof (EuGH) am 6. Oktober 2015 ( C-362/14 - Schrems) für ungültig [2]. Das nachfolgende „Privacy Shield“ wurde am 16. Juli 2020 vom EuGH ( C-311/18 - Facebook Ireland und Schrems) ebenfalls für ungültig erklärt. Es ist wahrscheinlich, dass auch die Regelung aus dem Jahr 2023 vom EuGH kritisch geprüft wird.

Photo by NASA on Unsplash

Eine weitere Option den Datentransfer zu ermöglichen, ist der Einsatz sogenannter Standarddatenschutzklauseln (SDK) bzw. Standardvertragsklauseln (siehe Artikel 46 DS-GVO - Datenübermittlung vorbehaltlich geeigneter Garantien). Bei den Standardvertragsklauseln handelt es sich um Vertragsmuster, welche im Juni 2021 von der Europäische Kommission erlassen wurden und seit dem 27.09.2021 für Neuverträge verwendet werden müssen [4, 11]. Diese Standardvertragsklauseln ermöglichen beispielsweise den Datentransfer in andere außereuropäische Länder wie Indien [1]. Sollen personenbezogene Daten auf Grundlage von Standardvertragsklauseln in ein Drittland übertragen werden, liegt es in der Verantwortung des Datenexporteurs (z. B. einer Einrichtung, eines Unternehmens) zu überprüfen, ob das Datenschutzniveau in dem jeweiligen Drittland dem der DS-GVO entspricht [3, 4, 6]. Kommt die Prüfung der Standardvertragsklauseln und der möglichen zusätzlichen Maßnahmen zu dem Ergebnis, dass das Schutzniveau nicht gewährleistet ist, muss der Datentransfer unterbleiben, bzw. beendet werden [6]. Die Übermittlung von Daten ist auch möglich, wenn nach einer detaillierten Information von einzelnen Kunden die Einwilligung eingeholt wird [1].

Was bedeutet das für die Hauswirtschaft?

Wenn personenbezogenen Daten wie beispielsweise E-Mail-Adressen für den Newsletter-Versand auf einem Server eines nicht privilegierten Drittlandes gespeichert werden sollen, müssten sie sich davon überzeugen, dass das Schutzniveau in diesem Land ebenso hoch ist, wie es von der DS-GVO gefordert wird. Um die Rechtsunsicherheit zu umgehen, können Einrichtungen oder Unternehmen versuchen, Daten ausschließlich auf europäischen Servern, bzw. auf Servern von privilegierten Staaten zu speichern oder speichern zu lassen (→ Cloud Computing).
Lassen Sie sich in allen Zweifelsfällen professionell beraten.

Interessante Links

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit: Internationaler Datentransfer. Zugriff am 18.08.2023
Datenschutzkonferenz (DSK): Anwendungshinweise der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 4. September 2023. Zugriff am 10.10.2023

Quellen

Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung). Zugriff am 18.08.2023
[1] Joerg Heidrich: Nach der Bombe. c’t magazin für computertechnik, S. 16-17, Ausgabe 17 vom 01.08.2020
[2] Deloitte Legal Rechtsanwaltsgesellschaft mbH: „Safe-Harbor“-Urteil des EuGH. Zugriff am 7.08.2020
[3] Datenschutz in der katholischen Kirche: EuGH-Urteil vom 16. Juli 2020 (C-311/18). Zugriff am 18.08.2023
[4] Die Landesbeauftragte für den Datenschutz Niedersachsen (2023): Standardvertragsklauseln. Zugriff am 18.08.2023
[5] Europäische Kommission (2022): Gemeinsame Erklärung der Europäischen Kommission und der Vereinigten Staaten zum Transatlantischen Datenschutzrahmen. Zugriff am 30.06.2022
[6] European Data Protection Board (2020): Häufig gestellte Fragen zum Urteil des Gerichtshofs der Europäischen Union in der Rechtssache C-311/18 — Data Protection Commissioner gegen Facebook Ireland Ltd und MaximillianSchrems (deutsch). Zugriff am 17.08.2020
[7] Joerg Heidrich: In letzter Minute. c’t magazin für computertechnik, S. 26-27, Ausgabe 3 vom 16.01.2021
[8] Europäische Kommission (2021): Datenschutz: Kommission nimmt Angemessenheitsbeschlüsse zum Vereinigten Königreich an. Pressemitteilung vom 28. Juni 2021. Zugriff am 05.07.2021
[9] Wilde Beuger Solmecke (2022): EU und USA einigen sich auf Datenschutzabkommen. Zugriff am 30.06.2022
[10] Europäische Kommission (2023): Fragen und Antworten: Datenschutzrahmen EU-USA. Zugriff am 18.08.2023
[11] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz: Standarddatenschutzklauseln der EU-Kommission oder einer Aufsichtsbehörde. Zugriff am 18.08.2023
[12] Vereinigung Bergischer Unternehmerverbände e. V. (2023): Ein Transfer personenbezogener Daten in die USA ist wieder rechtssicher möglich. Zugriff 21.08.2023
[13] mip Consult GmbH (2023): EU-U.S. Data Privacy Framework – die neue Grundlage für den Datentransfer in die USA. Zugriff 21.08.2023
[14] Joerg Heidrich: Exporterleichterungen. c’t magazin für computertechnik, S. 160, Ausgabe 23 vom 07.10.2023

Ausführliche Quellenangaben