Symbolbild der Erde mit "überspringenden" Signalen

Den datenschutzgerechten Austausch personenbezogener Daten mit Unternehmen aus Drittländern richtig gestalten

Wie lassen sich Geschäftsmodelle retten, die auf den Austausch von personenbezogenen Daten mit Dienstleistern aus Drittländern (vor allem aus den USA) fußen UND die sich keinesfalls mit Dienstleistern aus Europa oder einem sicheren Drittstaat verwirklichen lassen?

Das Urteil des Europäischen Gerichtshofs (EUGH) im sogenannten Schrems II-Urteil hatten Fachleute vorausgesehen. Trotzdem war niemand wirklich vorbereitet. Auch heute, Wochen nach dem Urteil, stehen die meisten (alle?) Unternehmen und Organisationen noch vor der Frage, wie sie ihre Geschäftsmodelle retten, wenn diese denn auf den Leistungen US-amerikanischer Dienstleister und/oder Dienstleister aus anderen Drittstaaten aufbauen.

Davon betroffen sind (fast) alle Unternehmen, die digitale Dienste in Anspruch nehmen. Microsoft 365 ist sicher eines der bedeutendsten Anwendungen, weil es sehr häufig von europäischen Unternehmen eingesetzt wird. Google-Dienste sind (fast) immer betroffen. Von Google Analytics über Google Fonts und Google Maps bis Youtube reichen die Beispiele, die klar machen, wie abhängig europäische Unternehmen von US-Dienstleistern sind. Mailchimp, Zoom, Amazon Web Services, Dropbox und viele andere Namen machen klar, dass sich praktisch kein Unternehmen, das seinen Kunden moderne Dienstleistungen anbieten will, von US-Unternehmen frei machen kann. Für all diese Anbieter gibt es quasi keine adäquaten Alternativen in Europa. Einen Sitz in Europa zu haben nützt seit der Einführung des Cloud Acts, mit dem die USA sich Zugriff auf in Europa gespeicherte personenbezogene Daten von Europäern verschafft haben, auch nichts mehr.

Ist es überhaupt möglich a) weiter arbeiten zu können und b) trotzdem datenschutzkonform zu sein?

Die Antwort lautet: ja, aber. Der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Baden-Württemberg hat am 7. Septembert 2020 eine überarbeitete „Orientierungshilfe“ veröffentlicht, die Wege aufzeigt. Eine Orientierungshilfe eines Landesamtes wird in der Regel von allen anderen anerkannt und ebenso umgesetzt. Die Orientierungshilfe ist also das „ja“. Das „aber“ bedeutet leider, dass die dort aufgezeigten Wege steinig sind.

Ein Muster aus dem Internet zu ziehen, seine eigenen und die Daten des Drittland-Dienstleisters einzutragen und die Sache zu vergessen ist nicht möglich; es reicht jedenfalls auf keinen Fall aus. Die Datenschutz-Aufsichtsbehörden werden sich, das macht der LfDI Baden-Württemberg SEHR klar, ganz genau ansehen, ob sich Unternehmen tatsächlich mit den für sie geltenden Umständen der Verarbeitung personenbezogener Daten durch Drittland-Unternehmen auseinandergesetzt und die erforderlichen Schritte konsequent umgesetzt haben.

Das LfDI Baden-Württemberg stellt für den Fall, dass alle denkbaren Anstrengungen unternommen wurden – inkl. der Überlegung, den Dienstleister zu wechseln, wenn ein anderer besseren Datenschutz gewährleisten kann – in Aussicht, dass sie die Verarbeitung dennoch tolerieren könnten, wenn das Unternehmen nachweisen kann, dass alle unten in der Auflistung genannten Punkte umgesetzt sind und der gewählte Dienstleister kurz- und mittelfristig unersetzlich ist. Dieser Nachweis muss selbstverständlich lückenlos dokumentiert sein. Dringend zu empfehlen ist, sich dazu mit der zuständigen Aufsichtsbehörde zu verständigen. 

Diese fünf Dinge sind aus Sicht des LfDI Baden-Württemberg unbedingt zu tun:

  1. eine Bestandsaufnahme erstellen, in welchen Fällen personenbezogene Daten von Unternehmen in Drittländern verarbeitet werden
  2. sich mit dem Dienstleister im Drittland in Verbindung setzen und ihn über die EUGH-Entscheidung und deren Konsequenzen zu informieren
  3. sich zu informieren, wie die Rechtslage in dem Drittland ist
  4. zu überprüfen, ob die Standard-Datenschutzklauseln für das Drittland anwendbar sind
  5. Verträge mit Drittland-Unternehmen zu schließen, die die Standard-Datenschutzklauseln beinhalten und darüber hinaus Garantien dafür bieten, dass der Schutz personenbezogene Daten nach EU-Standard tatsächlich gewährleistet ist

In meinem Klienten-Kreis gibt es mehrere Unternehmen/Organisationen, die regen Drittländerverkehr haben. Das Thema steht bei mir also derzeit ganz oben auf der Agenda. Ich unterstütze Sie gern bei der Umsetzung der erforderlichen Prozesse. Sie erreichen mich unter dirk.wolf@skriptura.de oder telefonisch unter 0511/54294-44.

Die komplette Orientierungshilfe gibt es hier.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.