Beratung Datentransfer in die USA

Die DSGVO kennt drei verschiedene Voraussetzungen für den Export von Daten außerhalb des eigenen Landes:

 

  • Datenübermittlungen innerhalb des europäischen Binnenmarktes (hierzu gehören neben der EU auch Norwegen, Island und Lichtenstein) sind unter denselben Voraussetzungen zulässig wie Übermittlungen im Inland.

 

  • Ebenfalls ohne Einschränkung zulässig sind Übertragungen in so genannte sichere Drittstaaten. Das sind Länder, bei denen die EU entschieden hat, dass bei der empfangenden Stelle im Drittland ein angemessenes Datenschutzniveau gewährleistet ist. Zu diesen Ländern gehören u.a.: Argentinien, Kanada, Schweiz, Israel, Japan, Neuseeland und Uruguay.

 

  • Ebenfalls zu den Staaten mit einem angemessenen Datenschutzniveau gehört Großbritannien.

 

  • Der Rest der Welt gilt nicht als „sicherer Drittstaat“! Hierzu gehören insbesondere China und Indien! Für diese Länder gibt es besondere Voraussetzungen hinsichtlich eines Exports von Daten.

 

Für eine rechtlich zulässige Weitergabe von Daten gibt es derzeit vier Rechtsgrundlagen:

 

Inhalts­übersicht

DATENEXPORT IN DIE USA

STANDARDDATEN­SCHUTZKLAUSELN

BINDING CORPORATE RULES

ZERTIFIZIERUNG NACH ART. 42 DSGVO

EINWILLIGUNG DER BETROFFENEN

Datenexport in die USA

Im Rahmen von Projekten, gerade im IT-Bereich, ist eine Nutzung von US-Angeboten nahezu unvermeidlich. Dies gilt auch für den Betrieb größerer Online-Angebote oder auch die Nutzung von Office- oder Videokonferenz-Produkten. Mit einer solchen Nutzung einher geht meist auch der Export personenbezogener Daten von Kunden oder Mitarbeitern in die USA.

 

Die europäische Kommission hat am 10. Juli den Angemessenheitsbeschluss für den Datenschutzrahmen zwischen der EU und den USA angenommen. Somit hat die EU bis auf Weiteres entschieden, dass der Schutz personenbezogener Daten in den Vereinigten Staaten in vergleichbarem Rahmen gewährleistet wird. Einzige zusätzliche Voraussetzung ist die Selbstzertifizierung der jeweiligen US- amerikanischen Organisationen, registriert durch das Department of Commerce. Hier kann eingesehen werden, welche Organisationen sich bereits unter dem Data Privacy Framework selbst zertifiziert haben.

 

Hat eine Selbstzertifizierung durch den Datenempfänger nicht stattgefunden, verbleibt es bei den Regelungen bezüglich des Drittlanddatentransfers. Daher wird in diesen Fällen sowohl die Anwendung von Standarddatenschutzklauseln als auch eine TIA erforderlich.

Standard­datenschutz­klauseln

Hierunter versteht man einen Vertrag, der unter Verwendung vorgegebener Datenschutzklauseln zwischen dem Datenexporteur und dem Datenimporteur geschlossen werden. Die Verwendung dieser Standarddatenschutzklauseln (SDK) der EU-Kommission (Art. 46 Abs. 2 DSGVO) hat den großen Vorteil, dass der darauf basierende Datentransfer ohne weitere Genehmigung, etwa durch die Aufsichtsbehörde, zulässig ist.

 

Seit Mitte 2021 gibt es neue Versionen der EU-Standardvertragsklauseln, die auf einen modularen Aufbau setzen. Neu ist zudem, dass bei jeder Nutzung dieser Vorlagen eine Risikoabschätzung im Rahmen eines Transfer Impact Assessments (TIA) durchzuführen ist. Im Rahmen dieser Abschätzung müssen die Vertragsparteien dokumentieren, dass der Datenimporteur in der Lage ist, den rechtlichen Verpflichtungen aus der Vereinbarung nachzukommen und ihn insbesondere keine rechtlichen Vorgaben in seinem Heimatland daran hindern.

 

Wichtig: Hinsichtlich der Verwendung alter SDKs gilt eine Übergangsfrist bis zum 27.12.2022, innerhalb der eine Umstellung auf die neue Version der Klauseln durchzuführen ist. Werden nach diesem Termin Datenexporte auf die alte Version der Klauseln gestellt, sind diese rechtswidrig.

 

Wir beraten Sie bei dem Export von Daten in Drittländer und bei der Verwendung von Standarddatenschutzklauseln sowie bei der Erstellung eines Transfer Impact Assessments (TIA). Details dazu finden Sie hier:

 

> Informationen zur Verwendung von Standarddatenschutzklauseln (SDK)

> Informationen zur Erstellung von Transfer Impact Assessments (TIA)

Binding Corporate Rules

Binding Corporate Rules (BCR) erlauben multinational agierenden Unternehmen den Transfer von personenbezogenen Daten im internen Bereich und zwischen den einzelnen Teilen der Organisation bzw. des Konzerns. Die Einführung derartiger Regelungen ist sehr aufwändig und sie müssen von einer Datenschutzbehörde nach einem Prüfungsprozess genehmigt werden.

Zertifizierung nach Art. 42 DSGVO

Rechtsgrundlage für einen Export von Daten kann auch ein genehmigter Zertifizierungsmechanismus gemäß Art. 42 DSGO sein. Erforderlich sind darüber hinaus rechtsverbindliche und durchsetzbare Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters in dem Drittland zur Anwendung von geeigneten Garantien. Derartige Zertifizierungen sind jedoch derzeit noch nicht umgesetzt.

Einwilligung der Betroffenen

Der Transfer von Daten in ein als unsicher eingestuftes Drittland kann schließlich auch durch eine Einwilligung der Betroffenen legitimiert werden. Diese muss freiwillig, widerruflich und ausdrücklich erfolgen. Zudem ist der Betroffene vorab über die geplante Verarbeitung zu informieren, was in aller Regel eine Herausforderung darstellt. So muss etwa der Verarbeitungszweck, das Empfängerland und die dort bestehenden Datenschutzregelungen mitgeteilt werden. Die Nutzung einer Einwilligung ist daher nur im Einzelfall praktikabel, z.B. bei der Zustimmung im Rahmen von sog. Cookie-Bannern.

Datenschutz

Ihre Daten werden nur zweckgebunden zur Bearbeitung Ihrer Kontaktanfrage verarbeitet, weitere Informationen zum Datenschutz finden Sie in unserer Datenschutzerklärung.