Wenn Sie im Unternehmen mit Datenschutz zu tun haben, werden Sie sicherlich schonmal über das Thema Datenübermittlung in ein Drittland gestoßen sein. Aufgrund der zunehmenden Internationalisierung der Unternehmensprozesse verbleiben personenbezogene Daten häufig nicht in der EU, sondern müssen auch an Drittländer übermittelt werden, sei es an eine im Drittland ansässige Tochtergesellschaft oder an einen beauftragten Dienstleister mit Drittlandbezug.

Gleichwertiger Schutz in Drittländern ist Voraussetzung

Mit der Entscheidung in der Sache „Schrems II“ (Urteil vom 16.07.2020, AZ: C-311/18) hat der EuGH klargestellt, dass personenbezogene Daten von EU-Bürgern nur dann an Drittländer außerhalb des europäischen Wirtschaftsraumes übermittelt werden dürfen, wenn sie in diesem Drittland einen im Wesentlichen gleichwertigen Schutz genießen wie in der EU. Dabei wurde das sog. Privacy Shield, eine Vereinbarung über den Datenaustausch zwischen Europa und den USA, (EU-Durchführungsbeschluss 2016/1250) für unwirksam erklärt. Die darin geregelten Schutzmaßnahmen führen nach Ansicht der Richter nicht zu einem gleichwertigen Schutz und es fehlen ausreichende Rechtsschutzmöglichkeiten.

Die Standardvertragsklauseln der EU (Beschluss der Kommission vom 05.02.2010, 2010/87/EU) werden jedoch aufrechterhalten. Unternehmen können sich daher beim Datentransfer grundsätzlich auf diese Klauseln stützen. Diese enthalten nämlich Regelungen, die den Datenempfänger im Drittland auf das in der EU verlangte Schutzniveau verpflichten. Jedoch muss hier geprüft werden, ob die Standardvertragsklausen im Hinblick auf das Recht des Drittlands überhaupt einen angemessenen Schutz gewährleisten können. Dies zu prüfen ist Aufgabe des Datenübermittlers.

Bei der Datenübermittlung in ein Drittland ist der Datenempfänger auf die Standardvertragsklauseln zu verpflichten. Zusätzlich wird eine Auseinandersetzung mit den Regelungen des Drittlands unausweichlich. Sofern das Schutzniveau der EU nicht erreicht werden kann, sind zusätzliche Maßnahmen notwendig. Dabei können technische, organisatorische oder vertragliche Maßnahmen ergriffen werden, um ein angemessenes Schutzniveau zu erreichen.

Unternehmen wird daher empfohlen, ihre Datentransfers kritisch zu überprüfen und die weiteren Entwicklungen zu beobachten.

Haben Sie Beispiele für Maßnahmen, die ergriffen werden sollten, damit auf jeden Fall ein ausreichender Schutz gewährleistet wird? Teilen Sie diese in den Kommentaren. So können wir als Community gegenseitig von einander lernen.

Ihr Julius S. Schoor