Im Rahmen unserer Website wird ausschließlich nur ein technisch notwendiges Cookie gesetzt, um die grundlegende Funktionalität der Website - in technischer Hinsicht - zu gewährleisten. 

Internationaler Datenverkehr

Internationaler Datenverkehr oder Datenexport ist die Weitergabe von personenbezogenen Daten in das Ausland oder an eine Internationale Organisation. Die diesbezüglichen Regelungen befinden sich in Art. 44-50 DSGVO. Gemäß den Bestimmungen der Datenschutz-Grundverordnung ist der internationale Datenverkehr bis auf wenige Sonderfälle genehmigungsfrei.

 

EU - U.S. Privacy Shield

Der EuGH hat mit Urteil vom 16. Juli 2020, C-311/18, den Angemessenheitsbeschluss betreffend die USA ("EU - U.S. Privacy Shield") für ungültig erklärt hat. Dies bedeutet jedoch nicht, dass damit jeglicher Datentransfer in die USA unterbunden wäre.

Kapitel V (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen) der Datenschutz-Grundverordnung (DSGVO) sieht auch andere Mittel für einen rechtmäßigen Datentransfer an Drittländer vor, vor allem Standardvertragsklauseln (Standard Contractual Clauses - SCC), deren Gültigkeit der EuGH im genannten Urteil bestätigt hat, sowie verbindliche interne Datenschutzvorschriften (Binding Corporate Rules - BCR). Eine Berufung darauf ist jedoch nur möglich, wenn zusätzliche Sicherheitsgarantien einbezogen werden. Für solche zusätzlichen Sicherheitsgarantien ist der Verantwortliche in der EU, in Kooperation mit dem Datenimporteur in den USA, verantwortlich.

Es wird in diesem Zusammenhang auf die einschlägige Stellungnahme des Europäischen Datenschutzausschusses (EDSA) verwiesen, in welchem alle nationalen Aufsichtsbehörden des EWR vertreten sind.

Der EDSA hat zudem auch FAQs (Fragen und Antworten) zum Urteil und seinen Folgen veröffentlicht.

Hinsichtlich der Frage einer "Übergangsphase" beziehungsweise "Schonfrist":

Eine Übergangsphase ist nicht vorgesehen, der Angemessenheitsbeschluss wurde durch den EuGH mit sofortiger Wirkung aufgehoben. Die Datenschutzbehörde stimmt ihre weitere Vorgangsweise mit den anderen europäischen Aufsichtsbehörden ab.

Es wird jedoch nochmals darauf hingewiesen, dass – unter Einhaltung bestimmter Vorgaben – ein Datentransfer in die USA nach wie vor möglich ist.

Weiterführende Informationen:

 

Empfehlungen des EDSA zu „zusätzlichen Sicherheitsgarantien“ im Zusammenhang mit internationalen Transferinstrumenten nach Art. 46 DSGVO

Wie bereits oben beschrieben, sieht Kapitel V der DSGVO neben einem Angemessenheitsbeschluss nach Art. 45 DSGVO auch andere Instrumente für einen rechtmäßigen Datentransfer an Drittländer vor. Diese werden in Art. 46 DSGVO (Datenübermittlung vorbehaltlich geeigneter Garantien) angeführt. Man muss jedoch dabei berücksichtigen, dass die in Art. 46 erwähnten Instrumente nicht uneingeschränkt gelten. Der EuGH hält hierzu in der oben zitierte Entscheidung fest, dass Verantwortliche oder Auftragsverarbeiter, die im Rahmen der Verarbeitung als Exporteure agieren, dafür verantwortlich sind, im Einzelfall und gegebenenfalls in Zusammenarbeit mit dem Datenimporteur im Drittland zu prüfen, ob das Recht oder die Praxis des jeweiligen Drittlandes die Wirksamkeit der in den Transferinstrumenten nach Art. 46 DSGVO enthaltenen geeigneten Garantien beeinträchtigt.

Sollte eine solche Beeinträchtigung vorliegen, die dazu führt, dass im Rahmen einer Verarbeitung im jeweiligen Drittland nicht ein dem EU-Recht in der Sache gleichwertiges Schutzniveau gewährleistet werden kann, räumt der EuGH dem Exporteur noch die Möglichkeit ein, zusätzliche Sicherheitsgarantien zu ergreifen bzw. zu implementieren, um die Beeinträchtigungen zu beseitigen und dadurch die Verarbeitung auf das vom EU-Recht geforderte Niveau zu bringen. Der EuGH gibt jedoch nicht an, welche Maßnahmen genau zu ergreifen sind.

Um Exporteure bei dieser komplexen Aufgabe (Bewertung des Datenschutzniveaus in Drittländern und gegebenenfalls die Implementierung von geeigneten zusätzlichen Sicherheitsgarantien) zu unterstützen, hat der EDSA am 10.11.2020 Empfehlungen hierzu veröffentlicht. Diese – rechtlich nicht verbindlichen – Empfehlungen beinhalten eine Reihe von vorgeschlagenen Schritten für Exporteure, die nachstehend kurz zusammengefasst werden. Weitere Details, Informationen zu potenziellen Informationsquellen für die Bewertung von Drittländern sowie Beispiele für zusätzliche Sicherheitsgarantien finden Sie in der Empfehlung des EDSA, die untenstehend zum Download als PDF (vorerst nur auf Englisch) bereitgestellt wird.

1. Schritt – Analysieren Sie Ihre internationalen Datentransfers („Know your transfers“)

In einem ersten Schritt sollten Sie als Exporteur zunächst alle Transfers personenbezogener Daten in Drittländer identifizieren und eine Übersicht erstellen.

TippTipp

Ein gemäß Art. 30 DSGVO obligatorisch zu führendes Verzeichnis von Verarbeitungstätigkeiten kann für eine erste Übersicht zu allen Transfers herangezogen werden. Das Verzeichnis sollte alle Verarbeitungstätigkeiten, die Ihrer Zuständigkeit unterliegen, umfassen. Auch allfällige Informationserteilungen Ihrerseits nach Art. 13 und 14 DSGVO an betroffene Personen könnten eine erste Übersicht über allfällige Transfers in Drittländer liefern.

Als Ergebnis sollten Sie eine Datenflussübersicht zu allen internationalen Transfers haben. Dieser erste Schritt ist essentiell, um sicherzustellen, dass die übermittelten Daten in den jeweiligen Drittländern einem nach dem EU-Recht in der Sache gleichwertigen Schutzniveau unterliegen.

2. Schritt – Identifizieren Sie das jeweilige Transferinstrument, auf das Sie den Transfer stützen wollen

Zur Auswahl stehen die in Kapitel V der DSGVO angeführten Transferinstrumente:

  • Angemessenheitsbeschluss gemäß Art. 45 DSGVO
  • Verbindliche interne Vorschriften gemäß Art. 46 Abs. 2 lit. b DSGVO
  • Standarddatenschutzklauseln gemäß Art. 46 Abs. 2 lit. c und d DSGVO
  • Genehmigte Verhaltensregeln gemäß Art. 46 Abs. 2 lit. e DSGVO
  • Genehmigte Zertifizierungsmechanismen gemäß Art. 46 Abs. 2 lit. f DSGVO
  • Ad hoc Standarddatenschutzklauseln gemäß Art. 46 Abs. 3 lit. a DSGVO
  • Ausnahmen nach Art. 49 Abs. 1 und UAbs. 1 DSGVO

Wenn die Europäische Kommission das betreffende Drittland, eine bestimmte Region vom Drittland oder einen Sektor, in das/den Sie die Daten übertragen oder in Zukunft übertragen möchten, bereits durch einen Angemessenheitsbeschluss gemäß Art. 45 DSGVO oder gemäß der  Datenschutz-Richtlinie 95/46 für „sicher“ erklärt hat, müssen Sie bis auf die laufende Kontrolle bzw. Überwachung der Gültigkeit des konkreten Angemessenheitsbeschlusses keine weiteren Schritte unternehmen.

Liegt jedoch kein solcher Angemessenheitsbeschluss für das betroffene Drittland vor, müssen Sie sich bei regelmäßigen und sich wiederholenden Transfers auf eines der in Art. 46 DSGVO angeführten Transferinstrumente stützen. Nur in bestimmten Ausnahmefällen von gelegentlichen und sich nicht wiederholenden Transfers, können Sie sich auf eine der in Art. 49 DSGVO vorgesehenen Ausnahmen berufen, wenn Sie die in Art. 49 DSGVO angeführten Voraussetzungen erfüllen.

3. Schritt – Beurteilung, ob das ausgewählte Transferinstrument, unter Berücksichtigung aller Umstände des Transfers, effektiv genug ist.

Der dritte Schritt besteht darin, zu prüfen, ob im Recht oder im Lichte der Praxis des betroffenen Drittlandes irgendwelche Aspekte bzw. Umstände vorliegen, welche die Wirksamkeit der geeigneten Garantien des ausgewählten Transferinstruments beeinträchtigten könnten. Ihre Beurteilung sollte sich in erster Linie auf die Gesetzgebung des Drittlandes beschränken, die für Ihren Transfer und das Transferinstrument nach Art. 46 DSGVO, auf das Sie sich stützen, relevant ist und dessen Schutzniveau untergraben könnte.

TippTipp

Ziehen Sie dazu auch den (möglichen) Datenimporteur bei, weil dieser mit dem Recht und der Praxis des Empfangsstaates vertraut sein sollte. Gewerbliche Unternehmen können sich auch an die Wirtschaftskammer Österreich als gesetzliche Interessensvertretung wenden: https://www.wko.at/service/aussenwirtschaft/Ansprechpartner_AUSSENWIRTSCHAFT_AUSTRIA.html

Für die Bewertung von Umständen, die mit dem Datenzugriff durch Behörden zum Zwecke der Überwachung im Zusammenhang stehen, verweisen wir auf die untenstehend beigefügte Empfehlung des EDSA zu „European Essential Guarantees“.

Sollte die Beurteilung ergeben, dass Umstände vorliegen, welche die angemessenen Garantien beeinträchtigen könnten, müssen in einem vierten Schritt (siehe unten) zusätzliche Sicherheitsgarantien ermittelt und implementiert werden, um ein dem EU-Recht in der Sache gleichwertiges Schutzniveau zu gewährleisten.

Die Beurteilung des ausgewählten Transferinstruments sollten Sie jedenfalls mit gebotener Sorgfalt durchführen und gründlich dokumentieren, da Sie gegenüber den Datenschutz-Aufsichtsbehörden hierfür nach Art. 5 Abs. 2 DSGVO zur Rechenschaft verpflichtet sind (auf Anfrage einer Behörde, müssen Sie diese Beurteilung bzw. die Dokumentation darüber vorlegen können).

4. Schritt – Ermittlung und Implementierung von zusätzlichen Sicherheitsgarantien

Dieser Schritt ist, wie bereits erwähnt, nur dann erforderlich, wenn Ihre Beurteilung ergibt, dass die Gesetzgebung oder sonstige Umstände im jeweiligen Drittland die Wirksamkeit des ausgewählten Transferinstruments nach Art. 46 DSGVO beeinträchtigen. Sie müssen daher in weiterer Folge zusätzliche Sicherheitsgarantien, unter Berücksichtigung des jeweiligen Transfers und des ausgewählten Transferinstruments, ermitteln und implementieren. Die Empfehlungen des EDSA enthalten (im 2. Anhang) eine – nicht abschließende – Reihe von Beispielen für solche zusätzlichen Sicherheitsgarantien, die von Exporteuren ergriffen werden können.

Wie auch bei den geeigneten Garantien der Transferinstrumente nach Art. 46 DSGVO, können einige der zusätzlichen Sicherheitsgarantien für bestimmte Transfers in bestimmten Drittländern wirksam sein, in anderen Drittländern jedoch nicht.

Es kann durchaus auch erforderlich sein, dass Sie mehrere zusätzliche Sicherheitsgarantien kombinieren müssen (z.B. technische Sicherheitsgarantien in Kombination mit organisatorischen Maßnahmen). Es kann natürlich letztlich auch der Fall eintreten, dass Sie feststellen, dass es keine zusätzlichen Sicherheitsgarantien gibt, die gewährleisten können, dass der konkrete Transfer einem dem EU-Recht in der Sache gleichwertigem Schutzniveau unterliegt. In solchen Fällen müssen Sie den Transfer vermeiden, aussetzen oder beenden, um das Schutzniveau der personenbezogenen Daten nicht zu beeinträchtigen. Auch diese Beurteilung der zusätzlichen Sicherheitsgarantien sollten Sie mit gebotener Sorgfalt durchführen und gründlich dokumentieren.

Schritt 5 – Einleitung formeller Verfahrensschritte

Der fünfte Schritt besteht darin, alle formellen Verfahrensschritte einzuleiten, die für die finale Implementierung Ihrer zusätzlichen Sicherheitsgarantien erforderlich sein könnten, je nachdem, auf welches Transferinstrument nach Art. 46 DSGVO Sie sich berufen. In bestimmten Fällen müssen Sie die für Sie zuständige Aufsichtsbehörde kontaktieren. Im Rahmen der Empfehlungen des EDSA werden diese formalen Verfahrensschritte näher beschrieben.

Schritt 6 – Regelmäßige Kontrolle

Der sechste und letzte Schritt besteht darin, dass Sie in angemessenen Zeitabständen das Schutzniveau des Drittstaates, in den Sie Daten übermitteln, neu bewerten und überwachen, ob es Entwicklungen gegeben hat oder geben wird, die sich darauf auswirken könnten. Der Grundsatz der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO erfordert eine ständige Wachsamkeit über das Schutzniveau der personenbezogenen Daten.

Der EDSA weist zudem darauf hin, dass weiterhin Leitlinien für Exporteure entwickelt und die Maßnahmen innerhalb des EDSA koordiniert werden, um eine einheitliche Anwendung des EU-Datenschutzrechts zu gewährleisten.

Schließlich wird in Bezug auf das Transferinstrument der "Standarddatenschutzklauseln", die von der Europäischen Kommission gemäß dem Prüfverfahren nach Art. 93 Abs. 2 DSGVO genehmigt werden, darauf hingewiesen, dass eine Anpassung der aktuellen Standarddatenschutzklausen der Kommission geplant ist.

Relevante Dokumente und Informationen: