MENU
Internationaler Datenschutz – Tipps für den Datentransfer ins Ausland

Internationaler Datenschutz – Tipps für den Datentransfer ins Ausland

Beitrag vom 18.06.2021

Zur Themenwelt Datenschutz

Das müssen Sie beim Datentransfer ins Ausland beachten

Andere Länder, andere Datenschutzgesetze. Internationaler Datenschutz ist ein Thema, das nicht nur global agierende Konzerne betrifft. Im Gegenteil: Jede Firma, die eine Website betreibt oder Softwarelösungen amerikanischer Anbieter verwendet, ist damit konfrontiert.

Jedoch, so beobachtet Arnd Fackeldey, Geschäftsführer der Digital Compliance Consulting GmbH und langjähriger Datenschutzbeauftragter im internationalen Konzernumfeld, fällt das Bewusstsein für die damit verbundenen Herausforderungen umso geringer aus, je kleiner ein Unternehmen ist. Das kann sich rächen. Schließlich drohen seit Einführung der DSGVO hohe Bußgelder bei Datenschutzverstößen. Viele Betriebe aber wissen gar nicht, dass sie gegen den Datenschutz verstoßen.

Rechtliche Grundlagen für den Datentransfer in andere Länder

Die gesetzlichen Vorgaben für den internationalen Datenschutz unterscheiden sich danach, zwischen welchen Ländern Daten transferiert werden. Im Folgenden erhalten Sie einen Überblick darüber, welche Vorgaben beim Datenaustausch innterhalb der EU, der Datenübermittlung in Drittländer sowie dem Datentransfer in die USA gelten.

Datenaustausch innerhalb der EU

Innerhalb der EU schafft die seit 2018 geltende EU-Datenschutzgrundverordnung (DSGVO) einen einheitlichen Rahmen.

Allerdings gibt es auch in diesem Fall die berühmten Ausnahmen von der Regel. Im Falle einiger Länder war das Resultat in der Vergangenheit, so Arnd Fackeldey, eine „weichere Auslegung der DSGVO“, die als „Tür“ für den Datentransfer in Drittstaaten verwendet wurde, eine Praxis, die in der jüngsten Vergangenheit zu Konflikten führte.

Datenübermittlung in Drittländer

Staaten außerhalb der EU lassen sich in zwei Gruppen einteilen:

  • Sichere Drittländer:
    Sichere Drittländer laut DSGVO sind Staaten, denen die Europäische Kommission ein angemessenes Datenschutzniveau bescheinigt. Das heißt, dass nationale Gesetze ein Datenschutzniveau gewährleisten, das mit dem innerhalb der EU vergleichbar ist. Zu den sicheren Drittstaaten gehören aktuell zum Beispiel Japan, die Schweiz, Neuseeland, Argentinien und Kanada.
  • Unsichere Drittländer:
    Ein Datentransfer in unsichere Drittländer ist nur unter bestimmten Sicherheitsvorkehrungen erlaubt. Unternehmen können dabei zum Beispiel auf die Standardvertragsklauseln zurückgreifen, Musterverträge der EU für die Datenübermittlung an Auftragsverarbeiter im Drittland und die Übermittlung zwischen zwei selbstständigen verantwortlichen Stellen.

Mit diesen Verträgen verpflichtet sich der Auftragsverarbeiter oder Geschäftspartner, ein Datenschutzniveau einzuhalten, das den Ansprüchen der DSGVO entspricht. Allerdings sorgen auch Standardvertragsklauseln allein nicht immer für Rechtssicherheit bei der Datenübertragung in Drittländer.

Datentransfer in die USA

Eine besondere Rolle für den internationalen Datenaustausch spielen die USA. Schließlich handelt es sich bei großen IT- und Internetkonzernen wie Google oder Microsoft um US-amerikanische Unternehmen. Das gleiche gilt für viele einschlägige Newsletter-Dienste oder gar Cloud-Anbieter. Datentransfers zwischen Deutschland und den USA sind damit gang und gäbe.

Der Haken daran: Auch die USA stellen aus europäischer Sicht ein unsicheres Drittland dar. Um dieses Problem zu lösen, gab es in der Vergangenheit zunächst das Safe-Harbor-Abkommen und dann EU-US Privacy Shield. Diese Regelungen zwischen der EU und den USA ermöglichten die Übermittlung personenbezogener Daten, bis der Europäische Gerichtshof jüngst urteilte, dass sie nicht ausreichen („Schremms I“ und „Schremms II“). Ein Paukenschlag, der laut Arnd Fackeldey keine große Überraschung war: „Alle ahnten schon, dass das, was in den Verträgen stand, inhaltlich nie eingehalten werden konnte.“

Auch die erwähnten EU-Standardvertragsklauseln bieten keine Absicherung für den Datentransfer in die USA, denn deutsche Unternehmen müssen davon ausgehen, dass amerikanische Unternehmen sie gar nicht einhalten können, auch wenn sie wollen.

Damit stellt sich umso dringender die Frage: Wie lassen sich Datenschutzverstöße beim Transfer in Drittländer vermeiden?

Tipps für internationalen Datenschutz

Für Arnd Fackeldey steht fest: „Wenn klar ist, dass Rechtssysteme beim Datenschutz aufeinanderprallen, sollten Unternehmen so viel tun wie möglich.“ Das heißt zum Beispiel:

  • Verschlüsselung: Eine Verschlüsselung schützt personenbezogene Daten auf dem Transportweg und bei der Speicherung.
  • Server in Europa: Daten sollten nach Möglichkeit nur in Rechenzentren in Europa gespeichert werden. Hundertprozentige Sicherheit bietet dies allein nach Arnd Fackeldey allerdings nicht: „Das Problem ist, dass Daten dann vielleicht in Datenzentren in Europa liegen, aber der Administrator oder die Administratorin  aus einem unsicheren Drittland darauf zugreifen kann, der Back-up-Server in einem unsicheren Drittstaat liegt oder Teilmengen von Daten ausgelagert werden.“ Deshalb sei es zusätzlich wichtig, dass sich der Administrationsservice in einem Land mit anerkanntem Datenschutzniveau befinde.
  • Rechtsmittel ausschöpfen: Deutsche Unternehmen sollten sich vergewissern, dass Auftragsverarbeiter in einem unsicheren Drittstaat wie den USA alle Rechtsmittel ausschöpfen, um die Herausgabe personenbezogener Daten an Behörden ihres Heimatlandes abzuwenden.
  • Alternativen suchen: In einigen Fällen besteht die beste Lösung darin, auf andere Dienste auszuweichen. Vielleicht gibt es eine Alternative zu dem aktuell genutzten Internetdienst, die mehr kostet, dafür aber Rechenzentren in Europa einsetzt.

Große Konzerne mit Tochtergesellschaften in anderen Ländern haben eine weitere Option: Sie können interne Unternehmensregeln (Binding Corporate Rules, kurz: BCR) aufstellen, die festhalten, dass ausländische Tochtergesellschaften das europäische Datenschutzrecht einhalten. Arnd Fackeldey spricht in diesem Zusammenhang von einem „Datenschutz-Schutzschirm“. Auch dieser stoße aber an seine Grenzen, wenn die unternehmensinterne Regelung mit Regelungen in anderen Ländern in Konflikt gerate.

Entscheidend ist, auf dem Laufenden zu bleiben

Letztendlich gilt: Wenn Unternehmen alle Möglichkeiten ausschöpfen, um für maximale Sicherheit zu sorgen, haben sie gute Chancen, den Missbrauch personenbezogener Daten zu vermeiden und nicht ins Visier von Aufsichtsbehörden zu gelangen.

Das setzt voraus, am Ball zu bleiben. Arnd Fackeldey betont: „Das Thema internationaler Datenschutz ist nichts, was ich heute abschließen kann. Das muss ich kontinuierlich beobachten. Denn es gibt immer wieder neue Entwicklungen und Änderungen. Dazu zählen beispielsweise auch die vom EU-Gerichtshof (EuGH) gefällten Urteile zu den sogenannten Schrems I und II Fällen und die Empfehlungen des Europäischen Datenschutzrates (EDPB)." So oder so gibt es keine hundertprozentige Sicherheit im internationalen Datenschutz, heute nicht und vermutlich in Zukunft genauso wenig.

Weitere Artikel lesen

Unsere Empfehlungen für Sie

Datenschutz, EU-Datenschutzgrundverordnung
Seminar

EU-Datenschutz-Grundverordnung

Erfahren Sie, was sich für Unternehmen mit Inkrafttreten der EU-Datenschutz-Grundverordnung und dem neuen Bundesdatenschutzgesetz geändert hat.
Zum Seminar
Webinar

Internationaler Datentransfer

Erfahren Sie, inwieweit Datentransfer in Drittländer rechtmäßig ist, wie Sie erforderliche Vertragswerke gestalten und wie die Sicherstellung eines Schutzniveaus gewährleistet werden kann.
Zum Webinar
Seminar

Update zum Datenschutz

Lernen Sie die neuen Gesetzesvorhaben und Behördenbeschlüsse kennen und informieren Sie sich über Änderungen in DSGVO und dem BDSG. Mit uns bleibt Ihr Wissen stets "up to date".
Zum Seminar

Haben Sie Fragen?

Melanie Braunschweig

Melanie Braunschweig

TÜV NORD Akademie GmbH & Co. KG
Produktmanagerin Datenschutz und Informationsmanagement
II. Hagen 7, 45127 Essen

+49 201 31955-42
Fax : +49 201 31955-70

mbraunschweig@tuev-nord.de

Diese Seite weiterempfehlen