Datenübermittlungen in Drittländer

Neues Prüfschema des Landesdatenschutzbeauftragten Rheinland-Pfalz

Häufig werden in Unternehmen automatisiert personenbezogene Daten verarbeitet und diese – meist unbewusst – in Länder außerhalb der EU übermittelt. Auch werden eventuell Dienste oder Programme von Anbietern aus Drittländern genutzt. Besonders praxisrelevant und daher häufig betroffen sind dabei Übermittlungen personenbezogener Daten in die USA. Die Problematik betrifft jedoch jegliche Übermittlungen in Drittländer.

Der Europäische Gerichtshof (EuGH) hat in seinem Grundsatzurteil (C-311/18, sog. Schrems-II-Urteil) vom 16.07.2020 den EU-US Privacy-Shield für ungültig erklärt, da dieser mit Art. 45 Abs. 1 DS-GVO unvereinbar ist. Der EuGH hat die Angemessenheit des Schutzniveaus in Bezug auf die USA u.a. verneint, weil es den dortigen Nachrichtendiensten erlaubt ist, zu Zwecken der Auslandsaufklärung uneingeschränkt und ohne konkretes Ziel auf personenbezogene Daten auch von Nicht-US-Bürgern zuzugreifen. Datenübermittlungen in die USA müssen daher bereits jetzt auf andere Transferinstrumente als den EU-US Privacy Shield gestützt werden.

Durch eine derzeitige Informationsoffensive des Landesdatenschutzbeauftragten Rheinland-Pfalz, Prof. Dr. Dieter Kugelmann, soll das Bewusstsein der datenverarbeitenden Stellen geschärft werden.

Datenübermittlungen sind grundsätzlich nur zulässig, wenn

-    die EU-Kommission die Feststellung der Angemessenheit des Datenschutzniveaus im Drittland getroffen hat (Art. 45 DS-GVO),

-    geeignete Garantien vorliegen (Art. 46 DS-GVO) oder

-    eine Ausnahme für bestimmte Fälle vorliegt (Art. 49 DS-GVO).

Der Einsatz von Standarddatenschutzklauseln für Datenübermittlungen in Drittstaaten ist nur noch unter Verwendung zusätzlicher wirksamer Maßnahmen ausreichend, wenn sich nach Prüfung ergeben hat, dass im Empfängerstaat kein gleichwertiges Schutzniveau gewährleistet werden kann.

Bereits jetzt kündigt der Landesdatenschutzbeauftragte Rheinland-Pfalz stichprobenartige Überprüfungen an. Es sollten daher dringend alle im Unternehmen bzw. der Organisation stattfindende Datenverarbeitungsvorgänge im Zusammenhang mit Drittländern anhand des vom Landesdatenschutzbeauftragten Rheinland-Pfalz bereitgestellten Prüfschemas (https://www.datenschutz.rlp.de/de/themenfelder-themen/schrems-ii/) auf ihre Zulässigkeit überprüft werden, um etwaige Verstöße mit daraus folgenden Sanktionsmöglichkeiten zu verhindern.

Thomas Haschert Mag. iur., Fachanwalt für Arbeitsrecht, Fachanwalt für internationales Wirtschaftsrecht, Datenschutzbeauftragter der Kanzlei, Datenschutzauditor