Die Drittlandübermittlung
Wie viele wissen, regelt die Datenschutzgrundverordnung, kurz DSGVO, den Datenschutz in der Europäischen Union. Alle Unternehmen, die ihren Sitz oder eine Zweigstelle innerhalb der Union haben, müssen sich an dieses Gesetz halten. Dies hat in der Vergangenheit schon zu reichlich Problemen für diverse Unternehmen geführt. Amazon, Google und WhatsApp haben bereits Strafen in Multimillionen-Höhen, aufgrund der Nichteinhaltung der Verordnung, bezahlen müssen.
Einer der Hauptgründe für die Entstehung der DSGVO war, dass vorrangig US-amerikanische Firmen, Daten aus der EU, die Unionsbürger betreffen, transatlantisch nach Amerika sendeten, die dort auf Servern gespeichert wurden. Dies ist der sogenannte Drittlandtransfer, bei dem, laut der DSGVO, in dem Land, in dem die Daten landen, ein ähnliches Datenschutzniveau gewährleistet werden muss, wie in der Union selbst.
Schrems-II
Im Juli des Jahres 2020 fällte der Europäische Gerichtshof ein wegweisendes Urteil.
Das Verfahren war aufgrund eines angefochtenen Urteils beim EuGH gelandet, wobei es um die Übermittlung von personenbezogenen Daten aus der EU auf Server in den Vereinigten Staaten ging. Bisher regelte dies der „Privacy Shield“ der laut diesem EuGH-Urteil nicht ausreichte, um genügend Datenschutz zu gewährleisten.
Das Urteil hatte dramatische Konsequenzen für Tech-Unternehmen aus den USA, die Umsätze in Europa einspielen und dies auf Basis von Daten, die sie dort sammeln. Denn die United States waren damit ein nicht-adäquates Land, das keinen unbegrenzten Zugriff auf die Daten der Unionsbürger hat.
Da jedoch die USA in diesem Bereich eine unglaublich große Relevanz auf dem Markt der Union hat, musste die EU reagieren und zwei neue „Standard Contractual Clauses“ wurden umgesetzt.
SCC
Zuvor existierten bereits Standardvertragsklauseln, aus den Jahren 2001 und 2010, was in einer schnelllebigen Welt, wie dem Internet, nicht mehr unbedingt als zeitgemäß gilt. Die alten SCC und die DSGVO überschnitten sich zeitlich gesehen noch, da die Grundverordnung im Jahre 2018 in Kraft trat.
Die neuen SCC für Datenschutz aus dem Jahr 2021, in Folge des Schrems-II-Urteils, sollten künftig einerseits den unionsinternen Datenaustausch und andererseits den Drittlandtransfer von personenbezogenen Daten regeln. Klauseln bezüglich des Drittlandtransfers haben wohl in diesem Zusammenhang eine höhere Bedeutung, da es ja, auch im Urteil, vor allem um den Transfer von Daten in die USA ging.
Da viele Unternehmen Dienste von amerikanischen, meist kalifornischen, Anbietern nutzen (zum Beispiel Google Analytics), dient die neue Klausel solchen Unternehmen, nach Art. 46 DSGVO als Rechtsgrundlage.
Die Übermittlung jedoch rechtlich lediglich auf die SCC zu stützen, ist nicht ausreichend.
Denn es muss ausführlich, von den Exporteuren, geprüft werden, ob der Datenschutz in dem Drittland, größtenteils den USA, auch gewährleistet wird.
TIA
Die Unternehmen müssen neben den Standardvertragsklauseln auch noch ein sogenanntes Transfer Impact Assessment anfertigen.
Doch was ist das? Es ist wie eine Art Risikobewertung der Datenübertragung zu betrachten. Es ist eine selbständige Abschätzung der allgemeinen Sicherheitslage für die personenbezogenen Daten, bei der Übermittlung. Da dies stark individuell ist und nicht wie die SCC vorgefertigt ist, ist die Umsetzung der TIA mit der DSGVO, gar nicht so einfach.
Die Einführung des TIA, hat eben genau den Hintergrund, besseren Schutz beim Drittlandtransfer für Daten zu ermöglichen. Der Abschluss der SCC ist auch abhängig davon, wie der TIA ausfällt. Denn der TIA soll Datenschutz gewährleisten, beziehungsweise das Vorhandensein eines ausreichenden Datenschutzniveaus nachweisen.
Umsetzung des TIA
Wie sollte ein TIA in der Praxis am besten aussehen?
Wichtig ist, dass Sie es von einem ExpertenInnen, also externen Datenschutzbeauftragten oder von Fachanwälten anfertigen lassen und nicht versuchen, es in die eigene Hand zu nehmen.
Beinhalten sollte der TIA unter anderem:
-Vertragsparteien
-Rechtsgrundlage der Übermittlung
-Inhalte der Übermittlung
-Besondere Umstände wie: besondere personenbezogene Daten, Art der Übertragung
-Rechtslage des Drittlandes und mögliche Urteile der Vergangenheit
-Die Festlegung von Schutzmaßnahmen für die personenbezogenen Daten
-Eine abschließende Einschätzung, die neutral und nicht begünstigend vorgenommen wird
Dies ist der grobe Umfang, wie TIA angefertigt werden sollten. In der Praxis sollte dies jedoch, wie gesagt, nicht selbst umgesetzt werden.
Fazit
Die Übermittlung von Daten in Drittländer wurde durch das Schrems-II-Urteil auf den Kopf gestellt. Dazu sei gesagt, dass die USA vor allem deswegen, aus Sicht der Union, nicht genügend Datenschutz gewährleisten, weil die Behörden in Übersee zu leicht Zugriff darauf erhalten können.
Aus diesem Grund fällte der EuGH im Jahr 2020 das Urteil und ebnete so den Weg für die neuen SCC und TIA.
Die neuen SCC lösten die alten, antiquierten Standardvertragsklauseln ab und sollen künftig den europäischen Datentransfers und vor allem den Drittlandtransfers eine Rechtsgrundlage bieten.
Neben diesen Verträgen sollen auch TIA geschlossen werden, die relevante Daten zum Inhalt haben. Dies dient vor allem der Risikoermittlung und soll klarmachen, wer dabei Daten übersendet, wer sie verarbeitet, welche Daten es sind und wie umfangreich die Verarbeitung ist. Auch besondere Kategorien sollen erfasst werden.
Abschließend lässt sich jedoch sagen, wenn auf außereuropäische Anbieter nicht verzichtet werden kann, so sollte der Abschluss von Verträgen, so wie die Übermittlung, in fachkundige Hände übergeben werden.
Denn ein missbräuchlicher Umgang mit den personenbezogenen Daten der EU-Bürger ist nicht akzeptabel.
Die Immerce GmbH ist Ihre/eine Internet Agentur im Allgäu und programmiert seit über 10 Jahren leistungsstarke Webshops auf Magento und Shopware Basis und betreibt für Ihre Kunden Suchmaschinenoptimierung. Seit 2018 mit der Einführung der DSGVO betreut die Immerce GmbH Ihre Kunden erfolgreich in Datenschutz & IT-Sicherheit mit TÜV geprüften Datenschutzauditoren und Informationssicherheitsbeauftragten nach ISO 27001.
Firmenkontakt
Immerce GmbH
Frank Müns
Kemptener Straße 9
87509 Immenstadt
+49 (0) 8323 – 209 99 40
info@immerce.de
https://www.immerce-consulting.de/
Pressekontakt
Immerce GmbH
Carvin Müns
Kemptener Straße 9
87509 Immenstadt
+49 (0)8323 – 209 99 40
carvin.muens@immerce.de
https://www.immerce-consulting.de/
Die Bildrechte liegen bei dem Verfasser der Mitteilung.