Die Übermittlung von personenbezogenen Daten in Drittländer unterliegt einem Europäischen Reglungsansatz. Hierbei wird unterschieden zwischen sicheren Drittstaaten, in welche die Datenübermittlung ausdrücklich gestattet ist. Drittlandtransfer hingegen bezieht sich auf den Datentransfer mit Drittländern, welche kein angemessenes Datenschutzniveau haben.
In diesem Beitrag erläutern wir die Thematik `Drittlandtransfer´ und die damit verbundenen Neuerungen in den vergangenen Jahren.
Was sind sichere Drittstaaten?
Bestätigt die Europäische Kommission in einem Angemessenheitsbeschluss das adäquate Sicherheitsniveau eines Landes, so wir das Land als `sicherer Drittstaat´ eingestuft. Dies bedeutet, dass das nationale Gesetz zum Schutz von personenbezogenen Daten mit EU-Recht vergleichbar ist. Der Datentransfer in einen sicheren Drittstaat ist ausdrücklich gestattet.
Die folgenden Länder gelten aktuell als sichere Drittstaaten:
- Andorra
- Argentinien
- Kanada (nur kommerzielle Organisationen)
- Färöer
- Guernsey
- Israel
- Isle of Man
- Jersey
- Neuseeland
- Schweiz
- Uruguay
- Japan
- Vereinigtes Königreich
- Südkorea
Was ist Drittlandtransfer?
Internationaler Datentransfer und Cloud-Dienste unterliegen gesonderten EU-Richtlinien im Bereich Datenschutz und Informationssicherheit. Man spricht von `Drittlandtransfer´, wenn Daten in ein Land außerhalb von Deutschland, der EU und des EWR übermittelt werden. Ein solches Land wird als `Drittland´ betitelt. Sofern ein Drittlandtransfer notwendig ist, muss das Schutzniveau des Drittlandes geprüft werden. Das Schutzniveau basiert sich auf Faktoren wie Rechtsstaatlichkeit, Achtung der Menschenrechte und Grundfreiheiten, sowie auch der nationalen und öffentlichen Sicherheit. Die meisten betroffenen Parteien arbeiten mittlerweile mit speziellen Datenschutzbeauftragten, um einen DSGVO-konformen Datentransfer sicher zu stellen.
Schrems II Urteil – neue Standardvertragsklauseln
Mit dem Schrems II Urteil im Juni 2018 wurden die bisherigen Reglungsansätze erweitert und teilweise abgeändert. Die neuen Standardvertragsklauseln zum Drittlandtransfer garantieren ein adäquateres Datenschutzniveau. Die alten Richtlinien stammten noch aus der Zeit der Europäischen-Datenschutz-Richtlinie (2001 und 2010).
Die neuen Klauseln definieren den Transfer von personenbezogenen Daten an Auftragsverarbeiter in einem Drittland. Zudem wird auch die Datenübermittlung zwischen zwei Auftragsverarbeitern festgelegt. Bislang war der Drittlandtransfer in diesen Bereichen mangelhaft oder regellos. Konstellationen mit Auftragsverarbeitern im Drittland erforderten rechtliche Verrenkungen für DSGVO-konformes Handeln. Seit dem Schrems II Urteil ist dies nicht mehr notwendig.
Zudem erforderten gewisse digitale Entwicklungen in der Wirtschaft ein Update der Klauseln zum Drittlandtransfer. Die alten Richtlinien waren nicht ausreichend, um komplexe Verarbeitungsvorgänge und -prozesse abzubilden. Auch war die Kombination mehrerer Datenimporteure und -exporteure kompliziert. Eine Neuerung war zwingend notwendig.
In den neuen Standardvertragsklauseln wird das bewährte Reglungsdesign nun fortgesetzt und an verschiedenen Stellen weiterentwickelt. Die Kombination mehrerer Parteien als Vertragspartner ist weitaus einfacher gestaltet. Zudem gibt es einen modularen Ansatz für verschiedene Übermittlungsszenarien. Hierbei kombiniert der neue Standardvertrag allgemeine Klauseln mit einer gesonderten Modullösung. Diese setzt sich zusammen aus 4 Transfervarianten und gestaltet den Drittlandtransfer flexibler.
DSGVO-konformer Drittlandtransfer mit der 180° Datenschutz
Die Klauseln rund um Drittlandtransfer sind keine leichte Kost. Es bedarf der Kenntnis eines Experten, um rechtens zu handeln. Übermittelt Ihr Unternehmen personenbezogene Daten an Drittländer, Sie haben jedoch keinen internen Datenschutzexperten? Die 180° Datenschutz ist unterstützt Sie dabei, Ihre Datenverarbeitung sicher zu machen. Lernen Sie uns persönlich kennen, um mehr zu erfahren.
