MENU

Auslandsdatenverarbeitung nach DSGVO

  1. Bildung
  2. Wissen kompakt
  3. Datenschutz
  4. Auslandsdatenverarbeitung

DSGVO: Das sind die Fallstricke der Auslandsdatenverarbeitung

Die Globalisierung schreitet immer weiter voran – immer mehr Unternehmen sind international aufgestellt. Deshalb werden auch immer öfter personenbezogene Daten in andere Länder übertragen. Darauf geht die Datenschutz-Grundverordnung (DSGVO) ausführlich ein. In vielen Punkten stimmen die neuen Vorgaben zu Datentransfers über Landesgrenzen hinweg mit dem bisher gültigen Recht über ein. Aber es gibt auch ein paar Änderungen.

Datentransfer innerhalb der EU: Es bleibt alles einfach

Wenn Informationen innerhalb der EU versendet beziehungsweise ausgetauscht werden, dann ist das relativ einfach. Denn die Behörden gehen wie bisher schon von einem weitgehend einheitlichen Datenschutzniveau aus. Der Datenaustausch ist deshalb ohne weitere Vorkehrungen möglich, wenn grundsätzlich die Einwilligung des Betroffenen zur Datenverarbeitung vorliegt.

Ähnlich ist auch die Lage in Ländern, die zwar nicht zur EU gehören, in denen aber die Datensicherheit ähnlich hoch ist. Die EU-Kommission hat diese Länder als datentechnisch sicher eingestuft. Das macht sie mit den sogenannten EU-Angemessenheitsbeschlüssen. Unter die Beschlüsse fallen beispielsweise die Schweiz, Kanada, Israel, Argentinien oder Neuseeland.

„Allerdings hat die EU in der neuen Verordnung die Prüfkriterien für das Datenschutzniveau weiter verschärft“, erläutert Dr. Kristina Schreiber , Rechtsanwältin der Kanzlei Loschelder. Das könnte für die Zukunft bedeuten, dass es Änderungen bei den Angemessenheitsbeschlüssen gibt. Die derzeitigen Beschlüsse bleiben aber solange bestehen, bis die EU etwas anderes entscheidet. Sie sind also auch nach dem Start der DSGVO im Mai 2018 gültig. 

Sonderregelungen für den Datenschutz: Datenaustausch mit Drittländern

Wenn Sie mit einem Geschäftspartner in einem Drittland zusammenarbeiten, das nicht das EU-Datenschutzniveau hat, dann müssen Sie Sonderregelungen beachten. „Dazu sieht das DSGVO in Artikel 46 verschiedene Möglichkeiten vor, aus denen man sich das passende Instrument aussucht “, erläutert Dr. Schreiber.

Wenn eine Firma beispielsweise für Kundenanfragen ein Call-Center in Mumbai nutzen will, dann muss sie den Indern dafür die Daten deutscher Kunden zur Verfügung stellen. Dafür muss das Unternehmen mit dem indischen Call-Center sogenannte Standarddatenschutzklauseln vereinbaren. Das sind von der EU zur Verfügung gestellte Verträge, die nicht verändert werden dürfen.

Damit verpflichtet sich der Geschäftspartner in dem anderen Land, ein Datenniveau einzuhalten, das den Ansprüchen der EU genügt. Soweit also nichts Neues, denn das war bisher auch schon so. Nach neuem Recht dürfen nun auch die deutschen Behörden solche Standarddatenschutzklauseln zur Verfügung stellen. Sie müssen aber von der EU-Kommission genehmigt werden, um ein einheitliches Datenschutzniveau in der EU zu gewährleisten.

So verfahren Konzerne mit Tochtergesellschaften in unsicheren Drittstaaten

Soweit die Möglichkeiten, wenn es um die Zusammenarbeit mit einem anderen Unternehmen in einem anderen Land geht. Für den täglichen Datenaustausch eines deutschen Konzerns mit seinen Tochtergesellschaften in unsicheren Drittstaaten wie zum beispielsweise Ägypten, China oder Russland gibt es andere Instrumente. Dafür werden zum Beispiel Binding Corporate Rules (BCR) eingesetzt. Das sind interne Unternehmensregeln mit Selbstverpflichtungen der ausländischen Tochtergesellschaften, das europäische Datenschutzrecht einzuhalten.

Mit BCR wurde bislang schon gearbeitet. „Durch die DSGVO werden sie nun auf eine rechtssicherere Basis gestellt“, meint Dr. Schreiber. Die BCR können nicht nur innerhalb eines Konzerns, sondern auch bei festen Kooperationen mit anderen Unternehmen – zum Beispiel in der Forschung und Entwicklung – eingesetzt werden.

Der Privacy Shield gilt weiter – zunächst noch

Was die USA betrifft, hat das Privacy-Shield-Abkommen auch nach Einführung der DSGVO weiterhin Gültigkeit. Der Nachfolgevertrag der umstrittenen Safe-Harbor-Regelung ist der aktuelle Rechtsrahmen für den Datentransfer zwischen den USA und der EU. Er sieht unter anderem vor, dass US-Unternehmen im Rahmen einer Selbstzertifzierung bestätigen, dass sie über ein EU-konformes Datenschutzniveau verfügen.

Allerdings gibt es einige Punkte in der DSGVO, die den Datenschutz strenger sehen als das Privacy-Shield-Abkommen. Deshalb könnte es sein, dass die EU das Abkommen zu einem späteren Zeitpunkt nachjustiert.

Datenaustausch nach dem Brexit: Was kommt nach dem EU-Austritt?

Interessant ist auch die Frage, was im Fall des Brexit passiert. Zunächst wird die DSGVO ab Mai 2018 auch im Vereinigten Königreich gelten. Denn Großbritannien wird voraussichtlich bis dahin nicht aus der EU ausgetreten sein. Nach dem Brexit bleibt abzuwarten, wie die EU das Vereinigte Königreich einstuft. Es könnte sein, dass die Kommission dann einen EU-Angemessensheitsbeschluss erlässt, weil England ein Datenschutzniveau auf EU-Niveau hat. Andernfalls müssen deutsche Unternehmen mit anderen Instrumenten wie den BCR oder Standarddatenschutzklauseln die Rechtssicherheit für die Datenübertragung herstellen.

Das Thema Datenübertragung ins Ausland betrifft übrigens nicht nur Unternehmen mit Sitz in einem EU-Land. Wenn Firmen, die ihren Sitz in einem Drittstaat haben, mit Kunden aus EU-Ländern zu tun haben, müssen sie ebenfalls europäisches Datenrecht einhalten. Ein Beispiel: Ein US-Unternehmen will deutschen Nutzern eine App anbieten. Da die personenbezogenen Daten in Deutschland erhoben werden, muss die amerikanische Firma ihre Datenverarbeitung ebenfalls DSGVO-konform gestalten.

Passende Seminare zu diesem Thema

Hand shows a data cloud with a protective shield.
Seminar

Datenschutz - Cloud Computing

Vertraulichkeit, Integrität und Legalität Ihrer Daten sicherstellen
Zum Seminar

Haben Sie Fragen?

Melanie Braunschweig

Melanie Braunschweig

TÜV NORD Akademie GmbH & Co. KG
Produktmanagerin Datenschutz und Informationsmanagement
II. Hagen 7, 45127 Essen

+49 201 31955-42
Fax: +49 201 31955-70

mbraunschweig@tuev-nord.de

Diese Seite weiterempfehlen