Datentransfer national und international – haben Sie den Überblick?

Neue Standard­vertrags­klauseln ab 2022

Am 7. Juni 2021 wurden im Amtsblatt der EU die neuen Regelungen der Standardvertragsklauseln (Standard Contractual Clauses, kurz SCC) für Verträge zwischen Datenexporteuren in einem EU-Land und Datenimporteuren weltweit veröffentlicht. 20 Tage später, also am 27. Juni 2021, traten sie in Kraft. 18 Monate danach, also ab dem 27.12.2022, dürfen die alten Standardvertragsklauseln nicht mehr verwendet werden. Wer es dennoch tut, riskiert Geldbußen in den bekannten Summen der Datenschutz-Grundverordnung – bis zu 10 bzw. 20 Millionen Euro oder 2 bzw. 4 Prozent des weltweiten Vorjahresumsatzes der gesamten Unternehmensgruppe. Das Thema darf also nicht ausgesessen werden. Packen wir’s an und verschaffen uns erst mal einen Überblick.

Die EU und sichere Drittländer

Es gibt mehrere Kategorien von Ländern, in denen Datentransfer erfolgt. Die erste sind die EU-Mitgliedsländer, derzeit 27 an der Zahl. In allen diesen Ländern gilt die DSGVO. Diese Regeln sind bekannt oder sollten bekannt sein, Stichwort Auftragsverarbeitung. Dann gibt es den EWR, den Europäischen Wirtschaftsraum, wozu Norwegen, Island und Liechtenstein zählen. Diese Länder haben Gesetze eingerichtet, um den Maßgaben der DSGVO zu entsprechen. Damit ist der Datentransfer dorthin wie innerhalb der EU möglich.

Daneben gibt es „sichere Drittländer“. Das sind Länder, für die die EU-Kommission ein der EU vergleichbares Datenschutzniveau festgestellt hat. Dazu existiert jeweils ein so genannter Angemessenheitsbeschluss. Zuletzt wurde dieser für das Vereinigte Königreich (UK) Ende Juni 2021 in Kraft gesetzt. Allerdings ist dieser Angemessenheitsbeschluss nur begrenzt für vier Jahre gültig, bevor die EU-Kommission erneut prüfen wird, ob die Voraussetzungen für einen angemessenen Datenschutz noch bestehen.

Wie sollten Unternehmen mit internationalem Datentransfer vorgehen?

Die erste Frage für Unternehmen sollte lauten, welchen Anteil des Datentransfers international erfolgt, also der jenseits der EU, des EWR und sicherer Drittstaaten. Schätzen ist hier nur bedingt geeignet. Die Erfahrung zeigt jedoch, dass in einem Unternehmen mit ca. 100 beschäftigten Personen etwa 150 Anwendungen im Einsatz sind, begonnen bei der Office-Software über Serveranwendungen und Informationstechnik in der Produktion bis hin zu Apps auf Smartphones. Die genauen Gegebenheiten unterscheiden sich je nach Unternehmen, doch in vielen Fällen beschränken sich davon etwa 20 Prozent auf die Datenweitergabe in der EU, bei den übrigen 80 Prozent übermittelt das Unternehmen Daten in „unsichere“ Drittländer – also etwa 120 Anwendungen.

Regeln der Datenüber­mittlung

Datenübermittlung ist an das Einhalten von Regeln geknüpft. Diese Regeln sind wesentlich in den Grundsätzen der Datenverarbeitung nach Artikel 5 und Artikel 32 der DSGVO geregelt, Stichworte Grundsätze der Datenverarbeitung und technische und organisatorische Maßnahmen. Insbesondere bei Datentransfer in unsichere Drittländer hat der EuGH (Europäische Gerichtshof) in seinem viel beachteten Urteil Schrems II im Juli 2020 deutliche Regelungen angemahnt. Diese sind im Wesentlichen Rechtsstaatlichkeit im Herkunftsland des Datenimporteurs, Kenntnis von Zugriffen auf die Daten, beispielsweise durch Ermittlungsbehörden, die der Datenimporteur aufgrund der Gesetzeslage dulden muss, und, wenn erlaubt, Weitergabe dieser Information an den Datenexporteur sowie die betroffenen Personen. Außerdem müssen sich betroffene Personen gerichtlich verteidigen können, der Gerichtsstand muss also innerhalb der EU liegen.

Die neuen Standard Contractual Clauses (SCC)

Die genannten Mindestanforderungen sind in den neuen Standardvertragsklauseln gelöst. Für Betroffene besteht zwar keine Rechtssicherheit dahingehend, dass ein möglicher staatlicher Zugriff auf ihre Personendaten ausgeschlossen werden könnte – das wird kein Datenimporteur der Welt sicherstellen können. Aber die SCC stellen klar, welche Rechte und Pflichten die Vertragspartner haben. Klar ist damit auch, dass sich bei korrekter Anwendung das Risiko von Geldbußen minimiert. Wie der EuGH das sieht, lässt sich derzeit noch nicht beurteilen. Klagen sind bisher nicht bekannt, also wird sich das vorerst auch nicht ändern.

Datentransfer sicher regeln

Aus Unternehmenssicht am dringlichsten ist also, erst einmal einen vollständigen und aktuellen Überblick über die Datentransfers national und international zu erstellen. Dieser Überblick bildet die Grundlage für eine Überprüfung, welche Datentransfers innerhalb der EU, des EWR und sicheren Drittländern sowie unsicheren Drittländern stattfinden und nach welchen Regelungen. Sodann muss eine inhaltliche Prüfung erfolgen, auf welchem Stand die jeweiligen Regelungen sind. Also konkret, ob noch die alten SCCs die Grundlage sind, ob ein Upgrade auf die neuen SCCs geplant ist und wann, oder ob andere Regelungen verwendet werden und wenn ja, welche das sind.

Außerdem ist zu klären, bei welchen Datenempfängern die Chance besteht, die SCC als neue Vertragsgrundlage durchzusetzen. Werden eigene Vertragswerke gestaltet, gilt es, sie in allen Details zu prüfen. Sollten Regelungen enthalten sein, die nicht den EU-Kommissionsvorschlägen entsprechen, gilt es, das Risiko für die Rechte und Freiheiten betroffener Personen zu ermitteln. Falls hier ein hohes Risiko besteht, muss eine Datenschutzfolgenabschätzung vorgenommen werden mit konkreten Vorschlägen, das Risiko zu verringern. Bleiben selbst dann hohe Risiken, ist die zuständige Aufsichtsbehörde hinzuzuziehen. Diese muss dann reagieren.

Es gibt also jede Menge zu tun. Vor diesem Hintergrund sind 18 Monate mit einem Mal doch nicht so lang, oder?

Nationale und internationale Datenüber­mittlung – das ist zu tun

• Klären, dass der Begriff „Datenübermittlung“, besser „Datentansfer“, klar ist, sprich: was er genau bedeutet und welche Maßnahmen daraus folgen (mehr dazu in einem der nächsten Datentipps!)
• Sicherstellen, dass eine Übersicht über alle vorgenommenen Datentransfers aktuell und vollständig vorliegt. Wirklich über alle.
• Prüfen, auf welcher Rechtsgrundlage diese Datentransfers bisher erfolgen.
  Dabei beachten, dass bei Datentransfers innerhalb der EU, der Länder des EWR und in sicheren Drittländern ein geprüfter Vertrag über Auftragsverarbeitung oder eine andere nationale Rechtsgrundlage vorliegt.
• Wo Verträge nicht vorliegen oder nicht aktuell und vollständig sind, sind diese zu erstellen bzw. nachzubessern.
• Bei Datentransfers in unsichere Drittländer, insbesondere in die USA, ist zu klären, ob SCC im Einsatz sind und wenn ja, ob sie veraltet sind, wenn nein, ob die Einführung der neuen SCC zu erwarten ist.
• Eine Trennung vornehmen, welche Datenimporteure von sich aus zentrale Verträge einsetzen und wo der Verantwortliche von sich aus aktiv werden muss. Ist es unklar, muss es mit den Datenempfängern abgeklärt werden.
• Erst wenn all diese Informationen vorliegen, ist es sinnvoll, die Vorgaben der SCC näher zu betrachten und die Voraussetzungen für die Anwendbarkeit prüfen. Weitere Datentipps folgen!
  



Und die Kernfrage: Liegt ein vollständiger und aktueller Überblick aller Datentransfers und der Anforderungen der neuen SCC als Vorbereitung auf ihre korrekte Anwendbarkeit vor?

Wir wünschen viel Erfolg beim Managen Ihrer Datentransfers!