Datenverarbeitung im Drittland

In diesem Kapitel wird der Umgang mit Daten in EU-Drittländern besprochen. [...]

Tagebuch eines Datenschutz-Beauftragten (c) ITW

Länder, die weder zur EU noch zum EWR gehören werden als Drittländer bezeichnet. Falls Sie die Verarbeitung personenbezogener Daten (“PbD”) in einem Drittland planen, sind gemäß Art. 44 DSGVO zwingend alle in Kapitel V der DSGVO enthaltenen Bedingungen zu erfüllen.

Darüber hinaus sind auch alle anderen Anforderungen der DSGVO einzuhalten. Dabei ist es unerheblich, ob die personenbezogenen Daten von einem Verantwortlichen oder Auftragsverarbeiter innerhalb der EU bereitgestellt werden.

1 Angemessenheitsbeschluss der EU-Kommission

1.1 Ausgangssituation

Gemäß Artikel 45 Absatz 3 der Datenschutzgrundverordnung (DSGVO) kann die Kommission im Wege eines Durchführungsrechtsakts beschließen, dass ein Drittland ein „angemessenes Schutzniveau“ bietet, das heißt einen Schutz personenbezogener Daten, der dem in der EU gebotenen Schutz der Sache nach gleichwertig ist.

Angemessenheitsbeschlüsse haben zur Folge, dass personenbezogene Daten aus der EU (sowie aus Norwegen, Liechtenstein und Island) in ein Drittland übermittelt werden können, ohne dass es weiterer Schutzmaßnahmen bedarf.

Im Art. 45 DSGVO ist festgelegt, dass die EU-Kommission nach erfolgreicher Prüfung gemäß Abs. 2

  • einem Drittland zur Gänze
  • einem Gebiet in einem Drittland
  • für ein oder mehrere spezifische Sektoren in einem Drittland oder
  • für internationale Organisationen

ein angemessenes Schutzniveau bestätigen. Diese Beschlussfassung wird als Angemessenheitsbeschluss bezeichnet.

Sofern eine Verarbeitung unter einen Angemessenheitsbeschluss fällt, muss der Verantwortliche keine Prüfung nach Art. 44 DSGVO durchführen, da die Prüfung bereits durch die EU-Kommission erfolgte. Das entbindet ihn aber nicht davon, zu prüfen, ob die Anforderungen aus Art. 28 DSGVO erfüllt sind.

Fällt eine Verarbeitung in einem Drittland unter keinen anwendbareren Angemessenheitsbeschluss, muss der Verantwortliche bzw. der Auftragsverarbeiter  die Prüfung der Einhaltung der Vorgaben der DSGVO selbst prüfen.

1.2 Neueste Entwicklung

Die Europäische Kommission hat heute ihren Angemessenheitsbeschluss für den Datenschutzrahmen EU-USA angenommen. In dem Beschluss wird festgelegt, dass die Vereinigten Staaten ein angemessenes Schutzniveau – vergleichbar mit dem der Europäischen Union – für personenbezogene Daten gewährleisten, die innerhalb des neuen Rahmens aus der EU an US-Unternehmen übermittelt werden.

Präsidentin Ursula von der Leyen erklärte: „Der neue Datenschutzrahmen EU-USA wird einen sicheren Datenverkehr für die Europäerinnen und Europäer gewährleisten und den Unternehmen auf beiden Seiten des Atlantiks Rechtssicherheit bieten. Nach der grundsätzlichen Einigung, die ich im vergangenen Jahr mit Präsident Biden erzielt habe, haben die USA beispiellose Zusagen zur Schaffung des neuen Rahmens gemacht. Heute kommen wir einen wichtigen Schritt dabei voran, den Bürgerinnen und Bürgern Vertrauen in die Sicherheit ihrer Daten zu geben, unsere wirtschaftlichen Beziehungen zwischen der EU und den USA zu vertiefen und gleichzeitig unsere gemeinsamen Werte zu stärken. Der Rahmen zeigt, dass wir durch Zusammenarbeit die komplexesten Fragen angehen können.“

1.3 Procedere

Aus dem Pressecorner der EU: „US-Unternehmen können sich dem Datenschutzrahmen EU-USA anschließen, indem sie sich zur Einhaltung detaillierter Datenschutzpflichten verpflichten, darunter beispielsweise die Pflichten, personenbezogene Daten zu löschen, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind, und den Fortbestand des Schutzes zu gewährleisten, wenn personenbezogene Daten an Dritte weitergegeben werden.“

„Darüber hinaus sieht der US-Rechtsrahmen bestimmte Garantien in Bezug auf den Zugang von US-Behörden zu innerhalb des Rahmens übermittelten Daten vor, insbesondere für Datenzugriffe zum Zwecke der Strafverfolgung und der nationalen Sicherheit. Der Zugang zu Daten ist auf das zum Schutz der nationalen Sicherheit notwendige und verhältnismäßige Maß zu beschränken.“

„Einzelpersonen in der EU werden im Zusammenhang mit der Erhebung und Verwendung ihrer Daten durch US-Nachrichtendienste auf ein unabhängiges und unparteiisches Rechtsbehelfsverfahren zurückgreifen können, das auch die Befassung eines neu geschaffenen Gerichts zur Datenschutzüberprüfung einschließt. Dieses Gericht soll etwaige Beschwerden unabhängig untersuchen und beilegen, unter anderem durch die Anordnung verbindlicher Abhilfemaßnahmen.“

1.4 Weitere Informationen

1.5 Was heißt das für US-Unternehmen?

US-Unternehmen können sich dem Datenschutzrahmen EU-USA anschließen, indem sie sich zur Einhaltung detaillierter Datenschutzpflichten verpflichten.

Diese Verpflichtung umfasst, folgende Pflichten personenbezogene Daten sind zu löschen, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind der Fortbestand des Datenschutzes ist zu gewährleisten, wenn personenbezogene Daten an Dritte weitergegeben werden.

Das US-Handelsministerium bearbeitet die Zertifizierungsanträge und verwaltet die Zertifizierungsliste. Weiters überwacht es, ob teilnehmende Unternehmen weiterhin die Zertifizierungsanforderungen erfüllen.

1.6 Was heißt das für Verantwortliche?

Datenübermittlungen in die USA sind – zumindest bis auf Weiteres – aus datenschutzrechtlicher Sicht nicht mehr grundsätzlich zu beanstanden, sofern sich der Verantwortliche vor Übermittlung der personenbezogenen Daten überprüft, ob Empfänger in den USA tatsächlich unter dem EU-U.S. Data Privacy Framework zertifiziert sind.

2 Drittland und Schrems II

Der EuGH hat in seinem Urteil vom 16.07.2020 festgestellt: Ein Drittland muss „aufgrund seiner innerstaatlichen Rechtsvorschriften oder seiner internationalen Verpflichtungen tatsächlich ein Schutzniveau der Freiheiten und Grundrechte gewährleisten, dass dem in der EU durch die DSGVO im Lichte der Charta garantierten Niveau der Sache nach gleichwertig ist“.

Das geforderte Schutzniveau muss nicht identisch zu dem der EU sein, aber ein zumindest gleichhohes bzw. vergleichbares Schutzniveau gewährleisten.

2.1 Beurteilung eines Schutzniveaus

Zu beachten ist, dass der Datenexporteur bei der Beurteilung des Schutzniveaus zu berücksichtigen hat, ob ein potenziell möglicher Zugriff durch staatliche Behörden (z.B. Geheimdienste) nicht ausgeschlossen werden kann.

Weiters ist zu prüfen, ob eine betroffene Person das Recht hat, einen wirksamen Rechtsbehelf einzulegen. Nicht nur das, es muss auch gewährleistet sein, dass eine Beschwerde von einem unabhängigen, unparteiischen Gericht – welches gesetzlich verankert ist – in einem fairen, öffentlichen Verfahren innerhalb angemessener Frist verhandelt wird.

2.2 Standarddatenschutzklauseln und Data Transfer Impact Assessment

2021 hat die EU sog. Standarddatenschutzklauseln gemäß Art. 46 DSGVO erlassen und diese mit der Nomenklatur „Standardvertragsklauseln“ (Abkürzung SCC – steht für standard contractual clauses) versehen.

Paradox: Selbst, wenn die Verarbeitung PbD auf Basis der von der EU-Kommission erlassenen SCC erfolgt, ist eine Prüfung der Rechtsvorschriften und Gepflogenheiten im Drittland zu prüfen. Diese Prüfung wird als „TIA“ (Data Transfer Impact Assessment) bezeichnet. Sie ist schriftlich zu dokumentieren und auf Verlangen der Aufsichtsbehörde zur Verfügung zu stellen. Dafür, wie diese Prüfung zu erfolgen hat, gibt es keine Vorgaben, nur Hinweise mancher Aufsichtsbehörden.

Unsere Empfehlung für Inhalte einer TIA

Die Autoren empfehlen, dass eine TIA zumindest folgende Inhalte umfassen sollte:

  • Allgemeine administrative Angaben
  • Die TIA sollte jedenfalls eine Begründung, warum die Verarbeitung in einem Drittland durchgeführt werden muss, enthalten.
  • Bewertung der Rechtslage im Drittland
    • Das geltenden Schutzniveau im Drittland hinsichtlich der Gleichwertigkeit
    • Beurteilung wirksamer Rechtsbehelfe für betroffene Personen
    • Beurteilung der Möglichkeit eines staatlichen Zugriffs
  • Systematische Beschreibung der Verarbeitung
  • Prüfungsergebnis der TOMs gemäß Art. 32 DSGVO
  • Beurteilung des Risikos für betroffene Personen
    • Praxis-Beispiele

Die Praxishilfe wurde von den Verbänden

erarbeitet und unter einen Creative Commons-Lizenz (4.0 Deutschland Lizenzvertrag) veröffentlicht.

Die Lizenzbestimmungen sind unter  „https://creativecommons.org/licenses/by-sa/4.0/deed.de“ bzw. für den vollständigen Lizenztext auf die Webseite „https://creativecommons.org/licenses/by-sa/4.0/legalcode“ publiziert

Beispiele:

TIA allgemein

TIA Beispiel für die USA

Diese Praxisbeispiele sind eine gute Orientierungshilfe, sie müssen auf jeden Fall customized werden.

3  Autoren

Das Tagebuch wird zur Verfügung gestellt von:

DSGVO-ZT GmbH

www.dsgvo-zt.at


Mehr Artikel

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*