Rechtsanwälte | Patentanwälte
European Trademark Attorneys
European Patent Attorneys
European Design Attorneys
European Trademark Attorneys
European Patent Attorneys
European Design Attorneys
Die rechtssichere Verwendung außereuropäischer Services
Die rechtssichere Verwendung außereuropäischer Services
Die meisten Unternehmen nutzen anwendungen wie Cloud-computing, Apps oder sonstige Software, die datenschutzrechtlich problematisch sein können. Hinter den Diensten steht häufig ein außereuropäischer Anbieter.
Zu beachten ist dabei die gemeinsame Haftung mit diesen Unternehmen für Verstöße gegen das Datenschutzrecht. Wir zeigen Ihnen, wie Sie solche Services dennoch rechtssicher verwenden können.
Grundlegende Vorgaben der DSGVO
Eine Datenübertragung ins EU-Ausland setzt denknotwendigerweise voraus, dass Daten in Europa gesammelt und an ein Unternehmen im EU-Ausland übermittelt werden. Dies ist beispielsweise der Fall bei ausgelagerten Dienstleistungen wie Cloud-Speichern, Apps oder browserbasierten Anwendungen. Der Anwendungsbereich ist demnach enorm. Nahezu jedes Unternehmen nutzt solche Services und überträgt damit Daten an die Anbieter.
Für die Übermittlung von personenbezogenen Daten in das EU-Ausland greifen die Artt. 44 ff. DSGVO ein. Vereinfacht handelt es sich um eine zweistufige Prüfung, nämlich:
- Allgemein zulässige Datenverarbeitung (z.B. Auftragsdatenverarbeitung)
- Angemessenes Datenschutzniveau des Drittlandes
1. Stufe: Allgemein zulässige Datenverarbeitung
Zunächst ist zu prüfen, ob die vorgesehene Verarbeitung der Daten durch den außereuropäischen Dienstleister datenschutzrechtlich zulässig ist. In der Regel ist diese Hürde jedoch im Hinblick auf eine vertragsgemäße Verarbeitung (z.B. Vertragserfüllung), ein berechtigtes Interesse (häufig bei Web-Analyse) oder eine Einwilligung überwindbar.
Daneben bedarf es bei einer Auftragsverarbeitung von Daten auch eines Auftragsdatenverarbeitungsvertrages, in dem Sie sich auch haftungsrechtlich absichern sollten.
Damit gelten für die 1. Stufe dieselben Voraussetzungen wie für die Beauftragung eines innereuropäischen Partners.
2. Stufe: Angemessenes Datenschutzniveau des Drittlandes
Als zusätzliche Voraussetzung muss der Übermittler der Daten ein angemessenes Datenschutzniveau im Drittland garantieren. Ein solches liegt in den folgenden Alternativfällen vor:
- Angemessenheitsbeschluss der EU-Kommission: Ein angemessenes Datenschutzniveau ist derzeit für Andorra, Argentinien, Färöer-Inseln, Guernsey, Isle of Man, Israel (eingeschränkt), Japan, Jersey, Kanada (eingeschränkt), Neuseeland, Schweiz, Uruguay und USA (Sonderfall „Privacy Shield“, nämlich bei Eintragung in das Register (www.privacyshield.gov/list) gegeben. Auch zu Südkorea soll zeitnah ein entsprechender Beschluss gefasst werden.
- Verwendung von Standarddatenschutzklauseln: Durch unveränderte Verwendung von sogenannten Standarddatenschutzklauseln, die von der EU-Kommission oder von Aufsichtsbehörden vorgegeben werden, kann ein Vertrag zwischen dem Datenübermittler und dem empfangenden Unternehmen ein ausreichendes Datenschutzniveau im Einzelfall garantieren. Die Verpflichtungen sind jedoch sehr weitgehend.
- Binding Corporate Rules: Intern verpflichtende Regelungen gewährleisten ebenfalls ein ausreichendes Datenschutzniveau, wenn sie seitens der zuständigen Aufsichtsbehörde in einem aufwendigen Verfahren genehmigt wurden. Der Aufwand für kleine und mittelständische Unternehmen im Rahmen dieser Maßnahme dürfte jedoch kaum rentabel sein.
- Zertifizierungen: Gesetzlich vorgesehen ist auch eine Zertifizierung des Datenschutzniveaus des Datenempfängers im Rahmen des Übertragungsprozesses. Geeignete Prüfverfahren und ‑stellen befinden sich jedoch derzeit noch in der Entwicklungsphase.
Ausnahmen
Art. 49 DSGVO bestimmt einige sehr eng begrenzte Ausnahmen für einzelne Übertragungsvorgänge. Hierunter fällt beispielsweise eine ausdrückliche Einwilligung oder Vertragsgestaltung nach umfassender Aufklärung des Betroffenen. Für umfassende Datenverarbeitungsmaßnahmen sind diese Ausnahmen jedoch nicht geeignet.
Empfehlung für die Praxis
Praktisch am einfachsten zu handhaben ist daher – sofern keine Datenübertragung auf Grundlage eines Angemessenheitsbeschlusses in die o.g. Länder erfolgt – die Verwendung der unveränderten Standarddatenschutzklauseln im Rahmen der übrigen Vertragsgestaltung mit dem datenverarbeitenden ausländischen Unternehmen.
Gerne beraten wir Sie bei Verwendung außereuropäischer Services zur Gewährleistung Ihrer Datenschutzverpflichtungen. Dies beinhaltet die Bereitstellung von tauglichen Vertragsdokumenten sowie die Betreuung im Rahmen des Vertragsschlusses mit Ihrem Partner. Sprechen Sie uns gerne an, wenn Sie außereuropäische Dienste nutzen oder nutzen möchten.
Alexander Brittner, LL.M.
Rechtsanwalt, Datenschutzbeauftragter (TÜV)
E-Mail: alexander.brittner@bolex.de
Telefon: +49 (234) 91360