Der regelmäßige Austausch personenbezogener Daten über Landesgrenzen hinweg ist längst Normalität geworden. Selbst viele kleine Unternehmen übermitteln täglich Daten in das Ausland, auch wenn dies den Verantwortlichen nicht immer bewusst ist. Doch aufgepasst, der internationale Datenschutz ist komplex und birgt zahlreiche Stolpersteine.

Wann ist der internationale Datenschutz von Relevanz?

Jedes Land hat seine eigenen Gesetze, auch beim Datenschutz. Sobald personenbezogene Daten über Landesgrenzen hinweg übertragen werden, sind die Datenschutzvorschriften beider Länder einzuhalten. Andernfalls drohen Datenschutzvorfälle, die ernsthafte Konsequenzen nach sich ziehen.

Es gibt zahlreiche Gründe, weshalb Daten mit Personenbezug in andere Länder übermittelt werden. Die häufigsten sind:

  • Durchführung von Rechtsgeschäften
    Zur Auftragserfüllung kann es z.B. erforderlich sein, Daten von Verbrauchern an Geschäftspartner im Ausland weiterzuleiten.
  • Auftragsverarbeitung
    Bestimmte Dienstleistungen, wie z.B. telefonischer Kundenservice, werden an Anbieter im Ausland ausgelagert.
  • Internationale Unternehmensstruktur
    Es findet ein Datenaustausch (z.B. Kundendaten oder Mitarbeiterdaten) mit ausländischen Konzerntöchtern oder Niederlassungen statt.
  • Webservices
    Praktische Online-Features, wie z.B. zur Durchführung von Nutzerbefragungen, werden über Server mit Standort im Ausland realisiert.

Welche Datenschutzvorschriften gelten?

Für die Übermittlung personenbezogener Daten in das Ausland sind die datenschutzrechtlichen Vorschriften zweier Länder zu berücksichtigen. Zunächst die Datenschutzvorgaben des eigenen Landes und darüber hinaus die Vorgaben des Ziellandes. Zur Vorbeugung von Datenschutzverstößen muss gewährleistet sein, dass die Vorschriften beider Länder eingehalten werden.

Datenschutz innerhalb von EU und EWR

Innerhalb der Europäischen Union (EU) gelten die datenschutzrechtlichen Vorgaben der EU-Datenschutzgrundverordnung (DSGVO). Damit gilt zunächst in allen Mitgliedsstaaten der Europäischen Union ein vereinheitlichtes Datenschutzrecht. Die Nicht-EU-Staaten des Europäischen Wirtschaftsraumes (EWR), nämlich Island, Liechtenstein und Norwegen, haben in ihrem Datenschutzrecht die wesentlichen die Vorgaben der EU übernommen.

Es ist zu beachten, dass einige EU Mitgliedstaaten in ihrer nationalen Umsetzung des Datenschutzrechts sowohl Konkretisierungen als auch Ergänzungen vorgenommen haben. So gelten beispielsweise in Deutschland neben den Bestimmungen der DSGVO ebenso die Vorgaben des Bundesdatenschutzgesetzes (BDSG).

Ob sich Unternehmen aus dem Ausland nach der DSGVO zu richten haben, hängt davon ab, welche Daten verarbeitet werden. Die DSGVO definiert einen weiten räumlichen Anwendungsbereich (Marktortprinzip). Sie findet insbesondere auch Anwendung auf Unternehmen im Ausland, wenn diese sich mit ihren Waren oder Dienstleistungen an Verbraucher in der EU richten.

Was hat es mit Datentransfers in Drittstaaten auf sich?

Staaten, die nicht dem EWR angehören, werden als Drittstaaten bezeichnet. Diese Staaten haben eigene und damit von der DSGVO abweichende Datenschutzvorschriften.

Bei Geschäftsbeziehungen, die über die Grenzen von EU und EWR hinausgehen, sind auch die Datenschutzgesetze der Drittstaaten zu berücksichtigen. Ergänzend verlangt die DSGVO bei einem Datentransfer in solche Drittländer zusätzliche Maßnahmen zur Gewährleistung der Sicherheit der Daten und der Rechte der betroffenen Personen.

Deutsche Unternehmen, die auch im Ausland tätig sind, müssen sich dieser Tatsache stellen und sie in ihren Datenschutzkonzepten berücksichtigen. Zugleich haben auch ausländische Unternehmen, die personenbezogene Daten in Deutschland erheben oder verarbeiten, den Datenschutz zu berücksichtigen.

Wer Datentransfers in einen Drittstaat plant, hat im Vorfeld zu prüfen, wie es dort um den Datenschutz steht. Im Idealfall liegt ein Angemessenheitsbeschluss der EU Kommission vor, der dem Land ein angemessenes Datenschutzniveau attestiert. Dann ist es möglich, sich bei der Übermittlung auf den Angemessenheitsbeschluss zu stützen.

Zu beachten ist jedoch, dass ein Angemessenheitsbeschluss in seiner Reichweite eingeschränkt sein kann. Für Datenübermittlungen in die USA gilt beispielsweise, dass der Empfänger der Daten gemäß Trans-Atlantic Data Privacy Framework zertifiziert sein muss.

Sofern kein Angemessenheitsbeschluss vorliegt, sind zusätzliche Garantien (z.B. über Corporate Binding Rules oder Standardvertragsklauseln mit ergänzendem Transfer Impact Assessment) notwendig. Welche zusätzlichen Garantien sich empfehlen, hängt von der Zielsetzung und den Rahmenbedingungen ab. Ohne die zusätzliche Absicherung würde die Übermittlung personenbezogener Daten zu einem Datenschutzvorfall führen.

Gibt es weitere Lösungen für den internationalen Datenschutz?

Die möglichen Ausnahmen richten sich nach dem anzuwendenden Datenschutzrecht – entscheidend ist also immer, in welchen Ländern welche Aktivitäten erfolgen und welche Gesetze in diesen Ländern gelten. Nach EU-Recht kann beispielsweise ein Datentransfer in das Ausland sowie eine dortige Verarbeitung der Daten zulässig sein, sofern die Betroffenen im Vorfeld ihre ausdrückliche Zustimmung erteilt haben.

Es können abweichende oder ergänzende Rechtsbedingungen gelten, sofern diese zwischen der EU und anderen Staaten oder Staatenverbänden vereinbart wurden. Bekannte Beispiele sind das Safe-Harbour Abkommen und das nachfolgende Privacy-Shield Abkommen, die einst einen sicheren Datenaustausch zwischen EU-Ländern und den USA gestatteten. Allerdings wurden diese Abkommen gerichtlich gestoppt, woraufhin zahlreiche Unternehmen dazu gezwungen waren, ihre Datenschutzkonzepte anzupassen.

Ein weiteres gängiges Instrument für die Sicherstellung eines angemessenen Datenschutzniveaus beim Empfänger sind die sogenannten EU‑Standardvertragsklauseln. Hierbei ist zu beachten, dass eine ergänzende Absicherung mittels Transfer Impact Assessment (TIA) notwendig ist.

Herausforderungen im internationalen Datenschutz überwinden

Der internationale Datenschutz ist ein komplexes und facettenreiches Thema, das Unternehmen mit individuellen Aufgabenstellungen konfrontiert. Vielen Unternehmen mangelt es in den eigenen Reihen an Fachwissen, um diese Aufgaben zu meistern. In solchen Fällen stehen wir mit unserer langjährigen Datenschutzerfahrung gerne zur Seite.

Ganz egal, ob Sie ein Transfer Impact Assessment sicher umsetzen, Ihre Dokumentation überprüfen oder gar ein ISMS einführen möchten - wir unterstützen Sie hierbei. Gerne beantworten wir Ihre Fragen, am besten nutzen Sie unsere kostenlose Erstberatung. Wir freuen uns auf Ihre Anfrage.