Der internationale Datentransfer gehört längst zum Alltag vieler Unternehmen. Ob Cloud-Dienste, internationale Projektteams oder konzernweite HR-Systeme: Häufig werden personenbezogene Daten nicht nur innerhalb der EU/des EWR verarbeitet, sondern auch an Empfänger in sogenannten Drittländern übermittelt. Dabei gelten besondere Anforderungen nach der Datenschutz-Grundverordnung (DSGVO).
Rechtliche Grundlagen
Innerhalb des Europäischen Wirtschaftsraums ist die Datenübermittlung vergleichsweise unproblematisch, da hier ein einheitliches Schutzniveau gilt. Bei Transfers in sogenannte Drittländer – also Staaten außerhalb von EU und EWR – sieht die DSGVO hingegen besondere Vorgaben vor.
Liegt ein Angemessenheitsbeschluss der EU-Kommission vor, kann der Datentransfer auf dieser Grundlage erfolgen. Ist dies nicht der Fall, müssen Unternehmen geeignete Garantien im Sinne von Art. 46 DSGVO vorsehen, etwa durch Standardvertragsklauseln oder Binding Corporate Rules. Allerdings reicht der Abschluss solcher Verträge allein nicht aus. Vielmehr verlangt die Rechtsprechung, insbesondere seit dem Schrems-II-Urteil, dass Unternehmen das tatsächliche Schutzniveau im Empfängerland prüfen.
An dieser Stelle kommt das Transfer Impact Assessment (TIA) ins Spiel. Es handelt sich um eine Risikoabwägung, die Unternehmen verpflichtend durchführen müssen, wenn sie personenbezogene Daten in ein Drittland ohne Angemessenheitsbeschluss übermitteln. Ziel ist es, zu bewerten, ob die getroffenen Maßnahmen in der Praxis ein der EU vergleichbares Schutzniveau gewährleisten können. Dabei werden insbesondere die rechtlichen Rahmenbedingungen im Empfängerland, etwa behördliche Zugriffsmöglichkeiten, berücksichtigt. Falls ein angemessenes Schutzniveau nicht sichergestellt werden kann, dürfen Datenübermittlungen nicht stattfinden – auch dann nicht, wenn Standardvertragsklauseln abgeschlossen wurden.
Als ultima ratio kommen nur noch die eng auszulegenden Ausnahmen nach Art. 49 DSGVO in Betracht, etwa bei ausdrücklicher Einwilligung der betroffenen Person oder zur Erfüllung eines Vertrages. Diese Ausnahmen eignen sich jedoch nicht als dauerhafte oder massenhafte Grundlage für internationale Datentransfers.
Praktische Umsetzung
Neben der rechtlichen Prüfung sind geeignete organisatorische und technische Maßnahmen entscheidend, um den sicheren Datentransfer zu gewährleisten. Dazu zählen unter anderem
- die Verschlüsselung und Pseudonymisierung von Daten,
- die Nutzung europäischer Server, wo immer möglich, sowie
- klare Prozesse zur Überprüfung von Verträgen und Schutzmaßnahmen.
- Ebenso wichtig ist die Sensibilisierung von Mitarbeitenden,
- damit Risiken beim Einsatz internationaler IT-Dienstleister erkannt und im Tagesgeschäft berücksichtigt werden.
Eine wesentliche Rolle spielt hierbei der Datenschutzbeauftragte. Er sollte frühzeitig in alle Planungen und Entscheidungen zu internationalen Datentransfers eingebunden werden, insbesondere bei der Durchführung des Transfer Impact Assessments. Auf diese Weise können Risiken rechtzeitig erkannt, geeignete Maßnahmen vorgeschlagen und die Einhaltung der Rechenschaftspflicht sichergestellt werden.
Fazit
Die Drittlandübermittlung ist einer der komplexesten und dynamischsten Bereiche der DS-GVO. Unternehmen müssen sowohl die rechtlichen Grundlagen wie Angemessenheitsbeschluss, Garantien und Ausnahmen beachten, als auch durch ein sorgfältiges Transfer Impact Assessment das tatsächliche Schutzniveau im Drittland bewerten. Erst in Kombination mit wirksamen technischen und organisatorischen Maßnahmen sowie der rechtzeitigen Einbindung des Datenschutzbeauftragten lässt sich ein sicherer Datentransfer in die Praxis umsetzen.
Handlungsempfehlung
Unternehmen sollten bestehende Datenübermittlungen in Drittländer regelmäßig überprüfen, ein Transfer-Impact-Assessment durchführen und sicherstellen, dass technische und organisatorische Maßnahmen wirksam umgesetzt sind. Binden Sie Ihren Datenschutzbeauftragten frühzeitig in alle Entscheidungen ein, um sicherzustellen, dass Risiken erkannt, bewertet und dokumentiert werden und Ihr Unternehmen die Rechenschaftspflicht nach der DSGVO erfüllt.
Sie haben Fragen zur Umsetzung in Ihrem Unternehmen oder suchen praxisnahe Unterstützung im Datenschutz- und Compliance-Management? Wir stehen Ihnen mit Erfahrung und Expertise zur Seite – sprechen Sie uns gerne an: consulting@AdOrgaSolutions.de.
