open search
close
Compliance Datenschutz

Datentransfer in Drittstaaten: Wie rechtssicher gestalten?

Print Friendly, PDF & Email
Drittstaaten

Innerhalb von multinationalen Konzernen oder Unternehmensgruppen ist der rechtsichere Datenaustausch über Ländergrenzen hinweg oft unverzichtbar. Bislang waren zur Datenübermittlung in Drittländer, also Staaten außerhalb der Europäischen Union, sog. Standarddatenschutzklauseln besonders geeignet. Aber gilt das auch noch unter EU-Datenschutzgrundverordnung? Wir bringen Licht ins Dunkel.

Datenübermittlung in Drittländer

Ab dem 25. Mai 2018 kommt die Europäische Datenschutzgrundverordnung („DSGVO“) zum Tragen.Für einen Transfer personenbezogener Daten ihrer Mitarbeiter müssen Unternehmen dann die allgemeinen Voraussetzungen der DSGVO einhalten. Die Datenübertragung erfordert einen Erlaubnistatbestand; daneben müssen vor allem die allgemeinen Grundsätze für die Verarbeitung personenbezogener Daten nach der DSGVO beachtet werden.

Zusätzlich stellt die Verordnung besondere Vorausetzungen an den Datentransfer in Drittländer. Eine Übermittlung personenbezogener Daten an ein Drittland darf vorgenommen werden, wenn die EU-Kommission beschlossen hat, dass das betreffende Drittland ein angemessenes Datenschutzniveau bietet. Ein solcher Angemessenheitsbeschluss besteht beispielsweise für die USA („EU-US Privacy Shield“).

Sofern kein Angemessenheitsbeschluss vorliegt, darf ein Unternehmen personenbezogene Daten an ein Drittland übermitteln, wenn geeignete Garantien zur Einhaltung des Datenschutzniveaus vorgesehen werden oder der Betroffene in den Datentransfer wirksam eingewilligt hat.

Darüber hinaus enthält Art. 49 DSGVO weitere Ausnahmetatbestände, die eine Datenübermittlung in ein Drittland im Einzelfall rechtfertigen können.


Was sind Standarddatenschutzklauseln?

Eine geeignete Garantie für die Datenübermittlung in ein Drittland ist der Abschluss eines standardisierten Datenschutzvertrages zwischen dem Datenübermittler in der EU und dem Datenempfänger im Drittland.

Den Inhalt dieser sog. Standarddatenschutzklauseln hat die EU-Kommission bereits nach der alten Rechtslage in drei verschiedenen Ausführungen verbindlich vorgegeben. Zwei Vorlagen beziehen sich auf die Beziehung zwischen den für die Datenverarbeitung Verantwortlichen, eine regelt die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern.

Verpflichtet sich der Datenempfänger auf die Standards in den Klauseln und sorgt für deren tatsächliche Einhaltung, gilt für ihn ein angemessenes Datenschutzniveau.

Im Gegensatz zu anderen Datenschutz-Garantien ist bei Verwendung von Standarddatenschutzklauseln keine Genehmigung durch die Aufsichtsbehörde erforderlich. Gleichzeitig kann der Verwender grundsätzlich davon ausgehen, dass die gesetzlichen Anforderungen an den Datentransfer in Drittländer erfüllt werden. Die von der EU-Kommission entworfenen Standarddatenschutzklauseln sind aus diesen Gründen weit verbreitet.

Sind die Klauseln auch unter der DSGVO anwendbar?

Die DSGVO sieht die Klauseln weiterhin als geeignete Garantie für ein angemessenes Datenschutzniveau. Nach den Vorgaben der Kommission abgeschlossene Datenschutzverträge bleiben auch nach Wirksamwerden der DSGVO zum 25. Mai 2018 erst einmal in Kraft (Art. 46 Abs. 5 S. 2 DSGVO).

Dennoch müssen Unternehmen, die Daten aufgrund von Standarddatenschutzklauseln ins Ausland transferieren, aufmerksam bleiben. Die Klauseln bleiben so lange wirksam, bis sie „erforderlichenfalls“ durch einem Beschluss der Kommission geändert, ersetzt oder aufgehoben werden. Die EU-Kommission erwägt derzeit sowohl den Erlass neuer Standarddatenschutzklauseln als auch die Ergänzung bestehender Klauseln.

Neben einer Änderung der Klauseln durch die EU-Kommission muss die Rechtsprechung des EuGH beobachtet werden. Der irische High Court (Irish Data Protection Commissioner v. Facebook and Max Schrems) hat die generelle Frage der Wirksamkeit der Standarddatenschutzklauseln im Oktober 2017 dem EuGH vorgelegt. Bis zu einer Entscheidung wird vermutlich aber noch einige Zeit verstreichen.

„Spielregeln“ der Gestaltung

Der Datentransfer in Drittländer auf der Grundlage von Standarddatenschutzklauseln setzt eine sorgfältige Vertragsgestaltung voraus. Die folgende Checkliste gibt einen Überblick über die wichtigsten Regelungsfragen:

  • Art der Standarddatenschutzklausel: Die EU-Kommission hat Klauseln für die Datenweitergabe zwischen Verantwortlichen und für die Auftragsdatenverarbeitung entwickelt. Hier muss die richtige Regelungsvariante gewählt werden.
  • Vertragspartner: Internationale Unternehmensgruppen und Konzerne schließen vielfach einen sog. Mehrparteienvertrag, der als Grundlage für Datenübermittlungen innerhalb der Gruppe bzw. des Konzerns dienen soll. Ob in solchen Fällen eine Genehmigungspflicht durch die zuständig Aufsichtsbehörde besteht, hängt davon ab, ob und inwieweit die Mehrparteienverträge auf den EU-Standardverträgen basieren. Besonderheiten sind bei der Unterauftragsdatenverarbeitung zu beachten.
  • Notwendige Anpassungen: Unter dem BDSG a.F. mussten die Standarddatenschutzklauseln für Auftragsverarbeiter nach Auffassung der deutschen Aufsichtsbehörden um einige Klauseln ergänzt werden. Das dürfte auch unter der DSGVO und dem BDSG n.F. gelten.
  • Ergänzende Regelungen: Die Wirkung der Standarddatenschutzklauseln als Garantie für ein angemessenes Datenschutzniveau gilt auch für den Fall, dass die Klauseln in ein Gesamtvertragswerk eingebaut werden. Entscheidend ist jedoch, dass die Standardklauseln unverändert übernommen werden und die sonstigen in dem Vertrag enthaltenen Klauseln zu den Standarddatenschutzklauseln weder mittelbar noch unmittelbar im Widerspruch stehen oder die Grundrechte und -freiheiten der betroffenen Personen im Übrigen beschneiden.
  • Umfang der Datenübertragung: Die Regelungen im Datenschutzvertrag müssen hinreichend bestimmt sein, d.h. es muss für jeden Datentransfer klar geregelt sein, wer an wen welche Daten zu welchem Zweck übermittelt. Dies erfordert einen nicht unerheblichen Dokumentationsaufwand.

Fazit

EU-Standarddatenschutzklauseln können eine schnelle und praktikable Möglichkeit darstellen, geeignete Garantien für die Datenübertragung in Drittländer zu schaffen. Bei der Gestaltung von Datenschutzverträgen unter der DSGVO müssen die von EU-Kommission entwickelten Klauseln vor allem hinsichtlich der Auftragsdatenverarbeitung und der Transparenz der Datenübertragung modifiziert werden.

Unternehmen, die personenbezogene Daten mittels Standarddatenschutzklausen in Drittländer übertragen, müssen allerdings die Rechtsprechung des EuGH und die Entscheidungen der Kommission im Blick behalten, um Änderungsbedarf zu erkennen und rechtzeitig umzusetzen.

KLIEMT.Arbeitsrecht




Wir sind Deutsch­lands führende Spe­zi­al­kanz­lei für Arbeits­recht (bereits vier Mal vom JUVE-Handbuch als „Kanzlei des Jahres für Arbeitsrecht“ ausgezeichnet). Rund 90 erst­klas­sige Arbeits­rechts­exper­ten beraten Sie bundesweit von unseren Büros in Düs­sel­dorf, Berlin, Frankfurt, München und Hamburg aus. Kompetent, persönlich und mit Blick für das Wesent­li­che. Schnell und effektiv sind wir auch bei komplexen und grenz­über­schrei­ten­den Projekten: Als einziges deutsches Mitglied von Ius Laboris, der weltweiten Allianz der führenden Arbeitsrechtskanzleien bieten wir eine erstklassige globale Rechtsberatung in allen HR-relevanten Bereichen.
Verwandte Beiträge
Digitalisierung Neueste Beiträge

Auskunftsanspruch nach Art. 15 DS-GVO: Zusammenfassung der personenbezogenen Daten genügt nicht als „Kopie“

Auskunftsansprüche gegen den Arbeitgeber sind zunehmend üblich, nicht nur im Rahmen von Kündigungsschutzstreitigkeiten. Bislang war die Frage ungeklärt, wie in diesem Zusammenhang die Verpflichtung des Arbeitgebers auszulegen ist, dem Arbeitnehmer eine „Kopie“ der personenbezogenen Daten, welche Gegenstände der Verarbeitung sind, zur Verfügung zu stellen.  Eine aktuelle Entscheidung des EuGH schafft hier etwas mehr Klarheit, lässt aber noch einige Fragen offen. Geklagt hatte ein österreichischer Bürger…
Datenschutz Neueste Beiträge

New year, new mechanism for US-EU data transfers?

Last October, President Joe Biden’s administration published an executive order regarding a new EU-U.S. Data Privacy Framework – the replacement of the so-called Privacy Shield mechanism that previously allowed transfers of personal data from the EU to the United States. The executive order immediately sparked the European Commission’s process to assess the new U.S. regime and prepare a respective adequacy decision, which would bring considerable…
Betriebsratswahl 2022 Neueste Beiträge

Betriebsratswahl: Welche Vorgaben macht eigentlich der Datenschutz?

Für die Durchführung der Betriebsratswahl ist der Betriebsrat, genauer der Wahlvorstand, verantwortlich. Unterstützung erfährt er hierbei durch den Arbeitgeber. Um die Wählerliste und Vorschlaglisten zu erstellen, sind verschiedene Personaldaten nötig. Doch welche Informationen muss der Arbeitgeber eigentlich herausgeben? Was für die Verarbeitung personenbezogener Daten im Zusammenhang mit der Betriebsratswahl gilt und welche Vorgaben aus der DS-GVO und dem BDSG darüber hinaus zu berücksichtigen sind, lesen…
Abonnieren Sie den kostenfreien KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

 

Die Abmeldung ist jederzeit möglich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert