DWF logo
DWF logo

              Datenübertragung in ein Drittland nach der Datenschutz-Grundverordnung Mit einem besonderen Fokus auf die Folgen des Brexits und am Beispiel der USA

              Das Legal Update gibt einen Kurzüberblick über die Datenübertragung in ein Drittland nach der DS-GVO.

              Date: 22/02/2018

              Eine Nachricht aus Brüssel mit weitreichenden Konsequenzen: Die Generaldirektion für Justiz der EU-Kommission erklärte am 9. Januar 2018 in ihrer Mitteilung, dass das Vereinigte Königreich nach dem Vollzug des Austritts aus der EU zu einem „Drittland“ im Sinne der Datenschutz-Grundverordnung wird. Unter der Bezeichnung „Drittland“ sind jene Länder zu verstehen, die nicht EU-Mitgliedstaaten sind. Sollte es bei dem zurzeit geplanten Austrittsdatum bleiben, bedeutet dies, dass ein Datenaustausch mit Unternehmen aus dem Vereinigten Königreich ab dem 30. März 2019, 00:00 Uhr (MEZ) rechtlich nicht mehr so zu behandeln ist wie ein Datenaustausch mit einem in Deutschland oder in einem anderen Mitgliedstaat der EU ansässigen Unternehmen. Ein Datentransfer in das Vereinigte Königreich ist dann also so zu behandeln, wie in die Vereinigten Staaten von Amerika. Für diese Datenübertragung müssten dann weitere Vorkehrungen getroffen werden, um diese rechtlich zu legitimieren.

              Rechtslage nach dem Austritt des Vereinigten Königreichs

              Die Datenschutz-Grundverordnung („DS-GVO“) verfolgt unter anderem den Zweck, das Datenschutzrecht in der EU zu vereinheitlichen. Da die datenschutzrechtlichen Regelungen dadurch für EU-Mitgliedstaaten gleich sind, ist ein Datentransfer zwischen Unternehmen, die in Mitgliedstaaten ihren Sitz haben deutlich erleichtert. Ab Tag eins nach dem Austritt des Vereinigten Königreichs aus der EU hat dieses als „Nicht-EU-Mitglied“ den Status eines Drittlandes. Dies hat zur Folge, dass der Transfer von Daten zu Unternehmen mit Sitz im Vereinigten Königreich an zusätzliche Voraussetzungen geknüpft ist, die über die rechtlichen Vorgaben der DS-GVO hinsichtlich eines Datentransfers innerhalb der EU hinausgehen. Ein Unternehmen, welches Daten nach England, Schottland, Wales oder Nordirland übermitteln möchte, muss dann dafür Sorge tragen, dass diese weiteren Voraussetzungen erfüllt sind. 

              Wer ist davon betroffen?

              Die Mitteilung der Kommission ist für solche Unternehmen von großer Relevanz, die fortlaufend personenbezogene Daten in das Vereinigte Königreich übermitteln. Denkbar ist dies etwa, wenn die Konzernmutter oder aber ein anderes Unternehmen derselben Unternehmensgruppe ihren bzw. seinen Sitz im Vereinigten Königreich hat und die Personaldaten der Angestellten der deutschen Tochtergesellschaft zentral dort verwaltet werden. Kritisch wird diese Konstellation vor allem dann, wenn bereits Daten aus Bewerbungsunterlagen in das Drittland übermittelt werden. 

              Ebenfalls wichtig ist die Entwicklung für solche Unternehmen, die Daten im Rahmen einer Auftragsdatenverarbeitung in das Vereinigte Königreich übermitteln. Dies mag bei der Verwendung von cloudbasierten IT-Lösungen der Fall sein, wenn dabei z. B. personenbezogene Daten von Kunden auf einem Server gespeichert werden, der im Vereinigten Königreich steht.

              Folgen der Datenübermittlung ohne Legitimation

              Erfolgt eine Datenübermittlung zu einem Datenempfänger im Vereinigten Königreich ohne rechtliche Legitimierung, so liegt ein Verstoß gegen die DS-GVO vor. Aufgrund eines solchen Verstoßes kann die zuständige Aufsichtsbehörde ein Bußgeld i. H. v. bis zu EUR 20.000.000,00 oder von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängen. Mindestens genauso schwer dürfte allerdings der damit einhergehende Imageschaden für das datenverantwortliche Unternehmen wie-gen

              Anforderungen an eine rechtskonforme Datenübermittlung in ein Drittland

              Eine Übermittlung personenbezogener Daten in ein Drittland erfordert weitere Maßnahme zur Rechtfertigung. Dabei ist gewissermaßen eine zweistufige Prüfung vorzunehmen, wobei in der ersten Stufe festgestellt werden muss, ob das zu transferierende Datum überhaupt, also auch innerhalb der EU, transferiert werden darf, z. B. weil eine ausreichende Einwilligung oder eine gesetzliche Rechtfertigung vorliegt. In der zweiten Stufe ist dann zu prüfen, ob die Voraussetzungen für einen Non-EU Transfer vorliegen. Dabei gibt es grds. mehrere Möglichkeiten, um einen solchen Transfer zu rechtfertigen. All diese Möglichkeiten haben jedoch gemein, dass sie das Ziel verfolgen, bei dem nicht in der EU ansässigen Datenempfänger ein den EU-Ansprüchen genügendes Datenschutzniveau herzustellen.

              Angemessenheitsbeschluss der EU-Kommission

              Ein angemessenes Datenschutzniveau besteht, wenn die EU für ein Drittland einen sogenannten Angemessenheitsbeschluss erlassen hat.

              1. Angemessenheitsbeschluss Datenüber-tragung in die USA

              Für die Datenübertragung aus der EU in die USA hat die EU einen Angemessenheitsbeschluss unter Bezugnahme auf das Privacy Shield Abkommen erlassen. Ein Unternehmen, das Daten aus der EU in die USA übermitteln möchte hat sicherzustellen, dass der Vertragspartner in den USA nach diesem Privacy-Shield Abkommen zertifiziert ist. Der zwischen der EU-Kommission und der US-Regierung vereinbarte Privacy Shield (Datenschutzschild) hat das Ziel, ein den europäischen Vorgaben entsprechendes Datenschutzniveau in den USA bzw. bei den am Abkommen teilnehmenden Unternehmen in den USA zu gewährleisten. Diese Zertifizierung kann ein dort ansässiges Unternehmen bei dem Department of Commerce („DOC“) erhalten. Voraussetzung dafür ist, dass das Unternehmen die im Privacy Shield festgeschriebenen Datenschutz-Grundsätze einhält. Um sicherzugehen, dass der Datenempfänger in den USA eine entsprechende Zertifizierung hat, kann der Datenverantwortliche aus der EU über eine Webseite der International Trade Administration („ITA“) eine öffentliche Liste einsehen, auf der alle zertifizierten Unternehmen aufgeführt sind. 

              2. Angemessenheitsbeschluss Datenübertragung in das Vereinigte Königreich

              Sobald der Brexit im März 2019 vollzogen ist, wird das Vereinigte Königreich ebenfalls als Drittland zu behandeln sein. Ein Unternehmen, welches Daten nach England, Schottland, Wales oder Nordirland übermitteln möchte, muss dann dafür Sorge tragen, dass diese weiteren Voraussetzungen erfüllt sind. Ein Angemessenheitsbeschluss hinsichtlich des Datenschutzniveaus im Vereinigten Königreich ist noch nicht absehbar.
              Datenübermittlung vorbehaltlich geeigneter Garantien

              Sofern kein Angemessenheitsbeschluss zur rechtlichen Absicherung des Datentransfers in ein Drittland besteht, kann die Datenübermittlung durch geeignete Garantien hinsichtlich des Schutzes der Daten im Drittland sichergestellt werden. Die DS-GVO kennt verschiedene Möglichkeiten für die an der Übermittlung beteiligten Unternehmen, eine solche Garantie zu erbringen:

              3. Verwendung von EU-Standarddatenschutzklauseln

              Die beteiligten Unternehmen können die von der EU-Kommission bereitgestellten Standardvertragsklauseln zum Datenschutz verwenden. Dabei handelt es sich um einen Mustervertrag, der zwischen den Beteiligten abgeschlossen werden muss. Entscheidend ist allerdings nicht bloß der Abschluss des Vertrags, sondern auch, dass der Datenempfänger die vertraglichen Verpflichtungen zum Datenschutz auch tatsächlich umsetzt und einhält. Ist dies der Fall, gilt für den Datenempfänger im Drittland ein angemessenes Datenschutzniveau.

              4. Verbindliche Unternehmensvorschriften – Binding Corporate Rules

              Bei Bestehen von verbindlichen Vorschriften für Unternehmen derselben Unternehmensgruppe können diese innerhalb dieser Gruppe personenbezogene Daten auch in ein Drittland übermitteln. Diese Unternehmensvorschriften müssen einen bestimmten Anforderungskatalog erfüllen und sind von der zuständigen Aufsichtsbehörde zu genehmigen.

              5. Genehmigte Verhaltensregeln – Code of Conduct

              Eine weitere geeignete Garantie zum Schutz personenbezogener Daten kann durch die Verwendung von genehmigten Verhaltensregeln erfolgen. Diese Verhaltensregeln sind von Verbänden und Vereinigungen aufzustellen und müssen insbesondere Rechtsschutzmöglichkeiten für die Betroffenen der Datenverarbeitung umfassen. Der Datenverantwortliche hat dafür Sorge zu tragen, dass sich der Datenempfänger an diese Verhaltensregeln bindet. Dies kann etwa durch eine vertragliche Vereinbarung geschehen. 

              6. Zertifizierung

              Zudem ist es möglich, bestimmte Verarbeitungsvorgänge zertifizieren zu lassen. Durch diese Zertifizierung wird dem Datenempfänger eine Datenverarbeitung nach den Vorgaben der DS-GVO bescheinigt. Zusätzlich zur Zertifizierung muss allerdings auch rechtlich verbindlich – etwa durch einen Vertrag – sichergestellt werden, dass der Datenempfänger die Zertifizierungskriterien auch tatsächlich einhält.

              Ausnahme für bestimmte Fälle

              Die DS-GVO kennt zudem noch einige Ausnahmetatbestände. So kann die Datenübermittlung etwa dann zulässig sein, wenn der Betroffene ausdrücklich in die Übertragung einwilligt. Zur Wirksamkeit der Einwilligung muss diese zunächst an den allgemeinen Voraussetzungen der DS-GVO für eine Datenübermittlung innerhalb der EU gemessen werden. Zusätzlich muss der Betroffene vor Abgabe seiner Einwilligung über die bestehenden Risiken der Datenübermittlung ohne Vorliegen eines Schutzmechanismus der DS-GVO unterrichtet werden. Dies mag bisweilen impraktikabel sein. Zudem ist zu berücksichtigen, dass das Modell der Einwilligung in die Daten-übertragung zu einem Empfänger in einem Drittland als Ausnahme-Erlaubnistatbestand restriktiv anzuwenden ist.

              Datenübermittlung zwischen dem Vereinigten Königreich und den USA post Brexit

              Für Unternehmen, die ihren Sitz entweder in den USA oder im Vereinigten Königreich haben wird sich nach dem Brexit die Frage stellen, wie eine Datenübermittlung zwischen Unternehmen mit Sitz in diesen Ländern legitimiert werden kann. Mit dem Austritt aus der EU wird das Vereinigte Königreich nämlich auch das Privacy Shield Abkommen verlassen. Jedenfalls dürfte eine Regelung mit den USA nicht das Schutzniveau untergraben, welches das Vereinigte Königreich sicherstellen muss, um einen Datentransfer mit der EU möglich zu machen. 

              Was ist für EU und UK-Unternhmen hinsichtlich des Brexit‘s zu tun?

              „Preparing for the withdrawal is not just a matter for EU and national authorities but also for private parties“ lässt die EU-Kommission am Ende ihrer Mitteilung verlauten. Die verantwortlichen Personen eines Unternehmens sollten überprüfen, ob ihr Unternehmen Daten zu Empfängern in England, Schottland, Wales oder Nordirland übermittelt. Ist dies der Fall, gilt es im Frühjahr 2019 eine rechtliche Legitimierung für diesen Datentransfer parat zu haben und für den Fall gewappnet zu sein, dass die EU-Kommission keinen Angemessenheitsbeschluss erlässt. Für diesen Fall stellen die in dieser Übersicht beschriebenen Möglichkeiten eine gesetzliche Grundlage für die Datenübertragung dar.

              Kontaktieren Sie uns

              Sprechen Sie uns gerne an, wenn Sie Fragen zur Datenschutz-Grundverordnung haben. Unsere Experten helfen Ihnen gerne bei der Umsetzung der neuen rechtlichen Vorgaben zum Datenschutz in Ihrem Unternehmen.

              Sollten Sie Fragen zu dem Legal Update haben, können Sie sich gerne jederzeit an Klaus Brisch wenden.

              Related people

              Klaus Brisch, LL.M. (USA)

              • Partner // Global Head of Technology // Fachanwalt für Informationstechnologierecht