Der aktuelle Angemessenheitsbeschluss der EU-Kommission über das neue EU-U.S. Data Privacy Framework lässt viele Unternehmen, die personenbezogene Daten an US-amerikanische Unternehmen oder Institutionen übermitteln, aufatmen. Doch warum ist das so? Das liegt daran, weil der Datenaustausch mit Drittstaaten, also mit Staaten, die nicht Mitglied der EU sind, gemäß DSGVO nur zulässig ist, wenn ein angemessenes Datenschutzniveau sichergestellt wird. Um das nachzuweisen, bedarf es einer gültigen Rechtsgrundlage. Doch nicht alle möglichen Rechtsgrundlagen sind gleichwertig einzustufen. Außerdem sind sie mit unterschiedlichem Aufwand für ein Unternehmen verbunden. Im Folgenden haben wir eine Übersicht der verschiedenen möglichen Rechtsgrundlagen für die Übermittlung personenbezogener Daten an ein Drittland zusammengestellt, um die Tragweite des aktuellen Angemessenheitsbeschlusses zu verdeutlichen.
DSGVO-Rechtsgrundlagen für die Übermittlung von personenbezogenen Daten an Drittstaaten
Angemessenheitsbeschluss sichere Drittstaaten
Stuft die EU-Kommission die datenschutzrechtlichen Regelungen eines Drittstaates als vergleichbar mit dem Schutzniveau der EU ein, gilt dieses Land als „sicherer Drittstaat“. Ein Transfer von personenbezogenen Daten ist ausdrücklich erlaubt. Zu den sicheren Drittstaaten gehören unter anderem das Vereinigte Königreich, Neuseeland, Schweiz, Argentinien und Japan.
Angemessenheitsbeschluss für Datenschutzrahmen
Damit bescheinigt die EU nicht einem ganzen Land, sondern einem Datenschutzrahmen oder einer Vereinbarung, dass sie ein angemessenes Schutzniveau für personenbezogene Daten im Sinne der DSGVO bietet. Aktuelles Beispiel ist das EU-U.S. Data Privacy Framework. Ein Datenaustausch mit Unternehmen und Institutionen, die sich an diesen Rahmen halten, ist erlaubt. Ein Angemessenheitsbeschluss gilt als sicher, da er nicht von den Aufsichtsbehörden angezweifelt werden kann. Nur der Europäische Gerichtshof kann durch sein Urteil die Rechtmäßigkeit anzweifeln – so ist es beim Privacy Shield, dem Vorgänger des EU-U.S. Data Privacy Framework geschehen.
Standardvertragsklauseln
Diese Rechtsgrundlage wird beim Datenaustausch mit als unsicher eingestuften Drittstaaten (zu denen bisher auch die USA gehörten) verwendet. Neben der Anfertigung der Standardvertragsklauseln müssen Unternehmen ein Transfer Impact Assessment (TIA) durchführen. Das ist eine individuelle Datensicherheitsanalyse, die zeit- und kostenintensiv ist. Ein Fehler in den Standardvertragsklauseln oder im TIA kann zur Unwirksamkeit der Vereinbarung führen und ein Bußgeld nach sich ziehen.
Verbindliche interne Datenschutzvorschriften
Dabei handelt es sich um unternehmensinterne Vorschriften auf Basis des von der Europäischen Kommission entwickelten verbindlichen Rahmens zum Umgang mit personenbezogenen Daten. Dieser wird als Binding Corporate Rules (BCR) bezeichnet. Verbindliche interne Datenschutzvorschriften müssen durch eine Aufsichtsbehörde hinsichtlich ihrer Gültigkeit geprüft werden.
Es gibt noch weitere mögliche Rechtsgrundlagen, die allerdings nicht geeignet sind, um alltägliche Arbeitsabläufe zu begründen. Dazu gehören Gerichts- oder Verwaltungsverfahren, die Erfüllung eines Vertrages und Ausnahmetatbestände, die im Einzelfall greifen. Dies sei nur der Vollständigkeit halber erwähnt.
Auf welcher Rechtsgrundlage arbeiten Sie?
Sie sehen, das Thema ist komplex und es erfordert Sorgfalt. Prüfen Sie daher genau, in welchen Drittstaaten Ihre Geschäftspartner, ihre Software- oder Cloud-Anbieteransässig sind und auf welcher Rechtsgrundlage die Übermittlung personenbezogener Daten stattfindet, um Schwierigkeiten mit den Aufsichtsbehörden zu vermeiden. Sollte Sie Unterstützung dabei benötigen, sprechen Sie uns einfach an. Das Team von HUBIT Datenschutz unterstützt Sie gern.
Wenn Sie wissen möchten, was Sie als Unternehmen jetzt tun müssen, lesen Sie auch folgende Beiträge: Data Privacy Framework – das müssen Unternehmen jetzt tun, EU-U.S. Data Privacy Framework – Zertifizierung prüfen