Internationaler Datentransfer

Die EU-Kommission kann mittels formellem Beschluss feststellen, dass der Datenschutz in einem Drittland, Gebiet oder Sektor oder einer internationalen Organisation¹ mit demjenigen im EU/EWR-Raum vergleichbar bzw. ihm angemessen ist (Art. 45 DSGVO). Der Schutz muss dabei nicht identisch ausgestaltet, aber zumindest im Wesentlichen gleichwertig sein bzgl. seiner praktischen Wirksamkeit. Die festgestellte Angemessenheit wird sodann von der EU-Kommission überwacht und regelmässig überprüft (mindestens alle vier Jahre), was allenfalls in einen Widerruf, einer Änderung oder Aussetzung der Entscheidung münden kann.

Datentransfers in Drittländer, die über ein von der EU-Kommission als angemessen anerkanntes Schutzniveau verfügen, sind denjenigen innerhalb des EU/EWR-Raumes gleichgestellt und unterliegen danach keinen weiteren besonderen Anforderungen mehr. Nach wie vor gültig sind jedoch sämtliche anderen Anforderungen bezüglich der Verarbeitung personenbezogener Daten gemäss DSGVO!

Für folgende Drittländer hat die EU-Kommission bisher einen Angemessenheitsbeschluss erlassen bzw. bestätigt (Stand Januar 2024):

• Andorra (de/en)
• Argentinien (de/en)
• Kanada (de/en)
• Färöer-Inseln (de/en)
• Guernsey (de/en)
• Israel (de/en)
• Isle of Man (de/en)
• Japan (de/en)
• Jersey (de/en)
• Neuseeland (de/en)
• Republik Korea (Südkorea) (de/en)
• Schweiz (de/en)
• Uruguay (de/en)
• Vereinigte Staaten von Amerika (EU-U.S. Data Privacy Framework) (de/en)
• Vereinigtes Königreich (de/en)

Die inhaltliche Reichweite der verschiedenen Angemessenheitsbeschlüsse kann jedoch von Land zu Land sehr unterschiedlich sein. Kanada und die USA verfügen beispielsweise nur über sektorielle Angemessenheitsbeschlüsse. Auch Datenübermittlungen zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschliesslich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, durch zuständige Behörden sind nicht von einem Angemessenheitsbeschluss nach DSGVO gedeckt, sondern fallen unter den Anwendungsbereich der dafür vorgesehenen der Richtlinie (EU) 2016/680. Erst für das Vereinigte Königreich hat die EU-Kommission auch einen Angemessenheitsbeschluss gemäss dieser Richtline erlassen (de/en). Es ist daher im konkreten Fall stets zu prüfen, ob die vorgesehene Datenübermittlung vom betreffenden Angemessenheitsbeschluss überhaupt erfasst ist.

Viele Betriebe in Liechtenstein arbeiten mit Dienstleistern in der Schweiz zusammen. Da die EU-Kommission einen Angemessenheitsbeschluss für die Schweiz erlassen hat, sind Datenübermittlungen in die Schweiz unproblematisch und genehmigungsfrei möglich.

1Im Folgenden wird der Einfachheit halber nur noch von Drittländern und nicht mehr auch von Gebieten oder Sektoren oder internationalen Organisationen gesprochen. Es sind aber jeweils alle gemeint.

Basierend auf dem ausgehandelten EU-U.S. Data Privacy Framework (DPF) hat die EU-Kommission am 10. Juli 2023 einen erneuten, sektoriellen Angemessenheitsbeschluss (de/en) für Datentransfers an Empfänger in den USA erlassen. Der darin vorgesehene Mechanismus sieht vor, dass sich (wie schon zuvor unter dem EU-U.S. Privacy Shield) Unternehmen und Organisationen in den USA freiwillig – bezogen auf bestimmte Datenkategorien und Verarbeitungszwecke – speziellen datenschutzrechtlichen Regeln unterstellen und beim U.S.-Handelsministerium zertifizieren lassen können. Letzeres publiziert auf einer besonders für den DPF-Mechanismus eingerichteten Internetseite die aktuelle Liste der DPF-zertifizierten Unternehmen.

Folglich wird mit diesem Angemessenheitsbeschluss nicht jeder Datentransfer in die USA als unbedenklich eingestuft, sondern lediglich die Übermittlung personenbezogener Daten an solche U.S.-Unternehmen oder Organisationen, die über eine gültige DPF-Zertifizierung verfügen. Ausserdem wird die Übermittlung nur im Rahmen der in der Zertifizierung genannten Datenkategorien und Zwecke sowie unter Einhaltung der übrigen Bestimmungen der DSGVO ohne weiteres zulässig. Sind jedoch etwa andere Datenkategorien oder Verarbeitungszwecke vom Datentransfer betroffen, muss dafür ein anderes Transferinstrument aus Art. 46 f. DSGVO gewählt werden.

Auch beim DPF wird jedoch bereits kritisiert, dass das von ihm garantierte Schutzniveau für personenbezogene Daten aus Europa – trotz verschiedener Nachbesserungen im Vergleich zu den Vorgänger-Mechanismen (Safe Harbor, EU-U.S. Privacy Shield) – nicht adäquat sei. Insbesondere Fragen der unabhängigen Aufsicht und Kontrolle sowie der Datenweiterleitung an Dritte (einschliesslich des Zugriffs durch Geheimdienste) stehen dabei im Vordergrund. Es ist deshalb absehbar, dass auch der neue Angemessenheitsbeschluss wieder gerichtlich angefochten werden wird und der EuGH letztlich darüber befinden muss.

Weitere Informationen: Der Europäische Datenschutzausschuss (EDSA) hat für europäische Unternehmen, die Daten an ein zertifiziertes U.S.-Unternehmen übermitteln wollen, eine Information Note mit Fragen und Antworten (FAQs) zum DPF veröffentlicht. Zudem bietet er FAQ für natürliche Personen und FAQ für Unternehmen an. Und schliesslich stellt er auf seiner Internetseite Informationen und Templates zum speziell dafür eingerichteten Redress Mechanism (Beschwerdeweg) zur Verfügung. Die EU-Kommission hat ebenfalls eine Pressemeldung sowie ein Factsheet und FAQ zum DPF publiziert.  Das U.S.-Handelsministerium hat eine Pressemeldung veröffentlicht sowie eine spezielle Internetseite für den DPF-Mechanismus eingerichtet. Beschwerdeweg: Wenn Sie den Eindruck haben, dass Ihre personenbezogenen Daten von einem U.S.-Unternehmen, das DPF-zertifiziert ist, oder von einer öffentlichen Stelle in den USA aus Gründen der nationalen Sicherheit nicht datenschutzkonform verarbeitet wurden, so steht Ihnen ein Beschwerdeweg (redress mechanism) offen. Bitte nehmen Sie in solch einem Fall Kontakt mit Ihrer zuständigen nationalen Datenschutz-Aufsichtsbehörde auf.

Am 16. Juli 2020 wurde der EU-U.S. Privacy Shield – genauso wie bereits das Vorgängermodell Safe Harbor – vom Europäischen Gerichtshof für ungültig erklärt (EuGH-Urteil C-311/18). Datenübermittlungen in die USA konnten daraufhin nicht mehr damit gerechtfertigt werden. Am 10. Juli 2023 hat die EU-Kommission auf Basis des EU-U.S. Data Privacy Framework einen neuen Angemessenheitsbeschluss für die USA erlassen.

Wenn kein Angemessenheitsbeschluss der EU-Kommission existiert, können sich Verantwortliche auch auf andere geeignete Garantien berufen, um einen rechtmässigen Datentransfer in ein Drittland durchzuführen. Solche Garantien müssen gemäss Art. 46 DSGVO nicht nur einen adäquaten Datenschutz gewährleisten, sondern auch durchsetzbare Rechte und wirksame Rechtsbehelfe für die Betroffenen zur Verfügung stellen.

Der Europäische Datenschutzausschuss (EDSA) hat dazu am 18. Juni 2021 eine Empfehlung verabschiedet. Das Dokument beschreibt im Kern eine 6-stufige Vorgehensweise, um den Datenexporteur (Verantwortlicher oder Auftragsverarbeiter) bei der Abklärung allfälliger zusätzlicher Massnahmen zu den rechtlichen Instrumenten bzw. geeigneten Garantien für Datentransfers in Drittstaaten zu unterstützen (Grafik).

Geeignete Garantien können einerseits vorab pauschal als Regelwerk von der EU-Kommission und den Aufsichtsbehörden genehmigt werden, wodurch sie danach im konkreten Anwendungsfall keiner speziellen Genehmigung mehr bedürfen (z.B. verbindliche interne Datenschutzvorschriften, Standarddatenschutzklauseln, genehmigte Verhaltensregeln oder Zertifizierungen). Andererseits können geeignete Garantien auch stets individuell erbracht und von den Aufsichtsbehörden im Einzelfall genehmigt werden (z.B. spezifische Vertragsklauseln, Bestimmungen in Verwaltungsvereinbarungen).

Ein solches pauschal vorab genehmigtes Regelwerk sind die sogenannten Standarddatenschutzklauseln (auch: Standardvertragsklauseln). Damit verpflichtet sich der Vertragspartner im Ausland, die in den Klauseln enthaltenen Verpflichtungen in Bezug auf den Datenschutz einzuhalten. Auch hiervon gibt es zwei Varianten: So genannte EU-Standarddatenschutzklauseln, die von der EU-Kommission erlassen und zur Verfügung gestellt werden und unverändert von jedem Verantwortlichen oder Auftragsverarbeiter übernommen werden können, sowie besondere Standarddatenschutzklauseln, die zunächst von einer Aufsichtsbehörde angenommen und danach noch durch die EU-Kommission genehmigt werden müssen.

Noch auf Grundlage der alten EU-Datenschutzrichtlinie (Richtlinie 95/46/EG) hat die EU-Kommission bereits verschiedene Sets an EU-Standarddatenschutzklauseln erlassen, die sich in ihrer Ausgestaltung leicht unterschieden und zwischen denen Verantwortliche je nach Bedarf wählen konnten. Diese Klauseln müssen jedoch bis spätestens am 27. Dezember 2022 durch die neuen, am 4. Juni 2021 von der EU-Kommission verabschiedeten, überarbeiteten EU-Standarddatenschutzklauseln ersetzt werden. Die neuen Klauseln erwachsen am 27. Juni 2021 in Rechtskraft und können ab dann als geeignete Garantien für internationale Datentransfers verwendet werden:

• Standardvertragsklauseln für den internationalen Datentransfer in Drittstaaten (de / en)

Hinweis: In der deutschen Fassung der Standardvertragsklauseln findet sich noch ein Übersetzungsfehler. In Klausel 12 Bst. c der Module 2 und 3 heisst es derzeit "haftet der Datenimporteur gegenüber der betroffenen Person". Korrekt müsste es aber heissen "haftet der Datenexporteur gegenüber der betroffenen Person". Sobald der Fehler von offizieller Seite korrigiert wurde, werden wir das oben verlinkte Dokument ersetzen.

Sie sind inhaltlich an die neuen Anforderungen der Datenschutz-Grundverordnung (DSGVO) angepasst und können nun auch während ihrer Laufzeit auf beliebig viele Parteien ausgeweitet werden. Zudem sind die neuen Klauseln modular aufgebaut und können für vier verschiedene, grenzüberschreitende Standard-Konstellationen genutzt werden: zwischen eigenständigen Verantwortlichen, zwischen Verantwortlichen und Auftragsverarbeitern und umgekehrt, sowie zwischen Auftragsverarbeitern. Sie enthalten je nach gewählter Konstellation ausserdem sämtliche nach Art. 28 Abs. 3 und 4 DSGVO geforderten Regelungen für ein Auftragsverarbeitungsverhältnis, weswegen künftig auf ein entsprechendes zweites Vertragswerk verzichtet werden kann. Darüber hinaus berücksichtigen die Klauseln die Rechtsprechung des Europäischen Gerichtshofs im Schrems II-Urteil und bieten praktische Hilfestellung bei der Umsetzung desselben (etwa mittels vorgegebener Vereinbarungen im Rahmen der nach wie vor geforderten Länderprüfung oder Beispielen für mögliche, zusätzlich zu ergreifende Massnahmen).

Die EU-Standarddatenschutzklauseln dürfen von jedem Verantwortlichen und Auftragsverarbeiter ohne weitere Genehmigung verwendet werden. Sie dürfen in ein Vertragswerk eingebaut oder um weitere Bestimmungen ergänzt, aber keinesfalls inhaltlich verändert werden. Andernfalls wären sie wieder genehmigungspflichtig. Die EU-Standarddatenschutzklauseln eignen sich deshalb insbesondere für kleine und mittlere Unternehmen bzw. Organisationen.

Wenn kein Angemessenheitsbeschluss der EU-Kommission vorliegt, muss die Übermittlung personenbezogener Daten in Drittländer auf andere geeignete Garantien gestützt werden. Art. 46 DSGVO sieht hierfür verschiedene Instrumente vor, so auch die verbindlichen internen Datenschutzvorschriften (Binding Corporate Rules (BCR)), welche in Art. 47 DSGVO noch weiter spezifiziert werden.

Diese verbindlichen internen Datenschutzvorschriften sollen es insbesondere international ausgerichteten Unternehmensgruppen wie etwa multinationalen Konzernen (oder Gruppen von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben¹) erleichtern, ihren meist regelmässigen Datenaustausch mit gruppeninternen Empfängern in Drittstaaten genehmigungsfrei durchzuführen. Andernfalls wären sie gezwungen, eine schnell unübersichtliche Zahl an spezifischen und relativ unflexiblen Standarddatenschutzklauseln selbst mit gruppeninternen Unternehmen und Organisationseinheiten abzuschliessen.

Art. 47 Abs. 1 DSGVO hält die Voraussetzungen an die Genehmigung verbindlicher interner Datenschutzvorschriften fest. So müssen sie:

1. rechtlich bindend für alle betroffenen Mitglieder der Unternehmensgruppe sein,
2. den betroffenen Personen ausdrücklich durchsetzbare Rechte übertragen sowie
3. mindestens die in Art. 47 Abs. 2 DSGVO festgelegten inhaltlichen Anforderungen erfüllen.

Davon abgesehen können die verbindlichen internen Datenschutzvorschriften bedarfsabhängig ausgestaltet und in ihrem Anwendungsbereich auch nur auf bestimmte Gruppenmitglieder oder bestimmte Datenverarbeitungen beschränkt werden.

Eine Unternehmensgruppe kann die Genehmigung verbindlicher interner Datenschutzvorschriften bei ihrer zuständigen Aufsichtsbehörde anmelden, welche in der Folge auch federführend im relativ aufwändigen, internationalen Genehmigungsverfahren ist. Derzeit gibt es europaweit bereits deutlich über hundert genehmigte verbindliche interne Datenschutzvorschriften, insbesondere von grossen internationalen Konzernen (Stand Oktober 2019).² Viele davon wurden schon vor Inkrafttreten der DSGVO auf Basis der alten EU-Datenschutzrichtlinie (Richtlinie 95/46/EG) sowie insbesondere der Arbeit der Artikel-29-Datenschutzgruppe genehmigt, doch gelten sie weiter fort unter der Auflage, dass sie an die Bestimmungen der DSGVO angepasst werden.

Weitere Informationen zum Thema verbindliche interne Datenschutzvorschriften (BCR) finden Sie hier.

1Hierbei geht es vor allem um wirtschaftlich eng verbundene, nicht konkurrierende Unternehmen. Selbständige Unternehmen mit nur teilweiser gemeinsamer wirtschaftlicher Zusammenarbeit  oder bloss aus derselben Branche kommen dafür eher nicht in Frage. Für letztere kämen aber z.B. die Verhaltensregeln nach Art. 40 DSGVO in Frage. 2Liste genehmigter BCR bis zum 25. Mai 2018