Roadmap für den Datentransfer außerhalb der EU
Der Europäische Datenschutzausschuss hat am 18. Juni 2021 die zweite Version der Empfehlungen bezüglich des Datentransfers außerhalb der Europäischen Union (Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data) verabschiedet. Wir haben uns die Empfehlungen angeschaut und für Sie kurz zusammengefasst.
Datentransfer in Drittländer rechtskonform gestalten
Die Roadmap für den rechtskonformen Datentransfer außerhalb der EU richtet sich an alle Verantwortlichen und umfasst folgende sechs Schritte:
1. „Know your transfers“
Jedes Unternehmen muss die eigenen Datentransfers außerhalb der EU kennen. Es geht dabei sowohl um die Datenverarbeitung anhand eines Verarbeitungsauftrags als auch um den Transfer von Daten in eine Cloud außerhalb der EU, wie bei Facebook- oder beim Google-Tracking etc. Es soll bei diesem Schritt auch gleichzeitig überprüft werden, ob die personenbezogenen Daten, die übertragen werden, tatsächlich für die Erfüllung des Verarbeitungszwecks notwendig sind.
2. Transfer-Tools identifizieren
Jedes Unternehmen muss die Grundlage für den Datentransfer (im Sinne von Kap. 5 DSGVO) ermitteln. Prüfen Sie hierfür folgende Fragen:
- Liegt ein Angemessenheitsbeschluss (Art. 45 DSGVO) vor?
- Gibt es geeignete Garantien wie etwa Standarddatenschutzklauseln oder Zertifizierung (Art. 46 DSGVO)?
- Existieren verbindliche interne Datenschutzvorschriften (Art. 47 DSGVO)?
- Liegen für bestimmte Fälle (wie etwa eine explizite informierte Einwilligung der Betroffenen) Ausnahmen vor (Art. 49 DSGVO)?
3. Bewertung der Effizienz der gewählten Transfer-Tools
Jedes Unternehmen muss bewerten, inwiefern das Datenschutzniveau der DSGVO im Transfer-Land eingehalten werden kann. Dies ist beispielsweise dann definitiv nicht der Fall, wenn aufgrund nationaler Gesetze des Transfer-Landes die Erfüllung der DSGVO-Vorschriften unmöglich ist (wie etwa dann, wenn nationale Behörden gesetzlich das Recht haben, Zugriff auf personenbezogene Daten zu erhalten). Demensprechend sollte die Prüfung der nationalen Rechtslage im Transfer-Land als erstes erfolgen. Diese Prüfung sollte dabei bezüglich einer jeden konkreten Datenverarbeitung bzw. bezüglich eines jeden Datentransfers erfolgen und auch die Anwendungspraxis im Transfer-Land mitberücksichtigen. Diese Prüfung kann dabei – abhängig von den Zwecken der Datenverarbeitung (z.B. Marketing oder Durchführung klinischer Studien), der Art von personenbezogenen Daten (Kunden-IP oder Kindergesundheitsdaten), dem Format der Daten (plain text oder verschlüsselt) – sehr unterschiedlich ausfallen. Auch die Möglichkeiten der Auftragsverarbeiter, ihre Pflichten DSGVO-konform zu erfüllen, sollte in die Bewertung einfließen. Am Ende der Bewertung wird entweder feststehen, dass das Transfer-Land personenbezogene Daten DSGVO-konform verarbeiten kann, oder nicht. Die Bewertung muss, wie auch der gesamte Prozess, sauber dokumentiert werden.
4. Vornahme zusätzlicher Schutzmaßnahmen
Ergibt die Bewertung aus dem Schritt 3, dass das Datenschutzniveau der DSGVO nicht eingehalten werden kann, müssen ggf. weitere Möglichkeiten für den Transfer überprüft werden. Es geht dabei explizit um zusätzliche Maßnahmen, also solche, die nicht in Art. 46 DSGVO bereits genannt worden sind. Zusätzliche Maßnahmen sollen verarbeitungsbezogen und konkret sein; können technischer, organisatorischer oder vertraglicher Natur sein. Zu berücksichtigen ist jedoch, dass vertragliche und organisatorische Maßnahmen allein nicht in der Lage sind, gesetzliche Vorschriften des Transfer-Landes außer Kraft zu setzen, sodass in aller Regel zusätzliche technische Maßnahmen (Verschlüsselung, Übertragungstechnik etc.) notwendig sein werden (Beispiele solcher Maßnahmen liefert der Europäische Datenschutzausschuss ab S. 29 der Empfehlungen).
5. Umsetzung
Nun müssen die im Schritt 4 identifizierten zusätzlichen Maßnahmen tatsächlich umgesetzt werden. So müssen beispielsweise Standarddatenschutzklauseln oder verbindliche interne Datenschutzvorschriften oder Vertragsklauseln implementiert werden.
6. Monitoring
Die Transfers außerhalb der EU müssen regelmäßig (neu) überprüft werden, insbesondere auch die Effizienz der vorgenommenen Maßnahmen sowie die Rechtsvorschriften des Transfer-Landes. Darüber hinaus muss ein Verfahren eingeführt werden, damit die Transfers sofort abgestellt werden können, falls dies beispielsweise aufgrund einer neuen Rechtsprechung des EuGH (wie im Schrems II Fall) oder aufgrund eigener internen Überprüfung notwendig wird.
Und vergessen Sie nicht, all die vorgenommenen Schritte sauber und sicher zu dokumentieren!
Sie haben Fragen zum Text? Dann wenden Sie sich gerne an uns!
Autorin: Olga Kunkel