Datentransfer und internationale Übermittlung

In dieser Lerneinheit erfährst du die wichtigsten Regeln für die rechtskonforme Übermittlung personenbezogener Daten innerhalb der EU/EWR sowie in Drittländer. Du lernst die verschiedenen Mechanismen für internationale Datentransfers kennen, von Standardvertragsklauseln bis hin zu Angemessenheitsbeschlüssen. Diese Kenntnisse sind besonders relevant für die Zusammenarbeit mit internationalen Geschäftspartnern und Cloud-Diensten sowie für die Gestaltung grenzüberschreitender Datenflüsse im Unternehmenskontext.

Einführung

Ein Klick, und deine Daten sind in der Cloud. Aber welche Cloud? Und in welchem Land? Was für dich als Nutzer nur ein einfacher Upload ist, kann für ein Unternehmen eine rechtliche Gratwanderung sein. Sobald personenbezogene Daten die Grenzen der Europäischen Union verlassen – sei es durch die Nutzung von US-Software oder die Zusammenarbeit mit einem Dienstleister in Asien – gelten extrem strenge Regeln. Ein falscher Schritt kann hier zu Bußgeldern in Millionenhöhe führen.

Damit du in dieser globalisierten Datenwelt sicher navigieren kannst, schauen wir uns in dieser Lerneinheit die genauen Spielregeln für den internationalen Datentransfer an. Wir klären, wann Daten einfach fließen dürfen und wann du spezielle Schutzmaßnahmen ergreifen musst, um die Rechte von Personen zu wahren und hohe Strafen zu vermeiden.

Lernziele

Nach dieser Lerneinheit kannst du:

  1. den fundamentalen Unterschied zwischen Datenübermittlungen innerhalb der EU/EWR und Transfers in Drittländer erklären.
  2. die Funktion eines Angemessenheitsbeschlusses erläutern und das EU-U.S. Data Privacy Framework als zentrales Beispiel dafür einordnen.
  3. die wichtigsten geeigneten Garantien, insbesondere Standardvertragsklauseln (SCCs) und verbindliche interne Datenschutzvorschriften (BCRs), benennen und ihre jeweiligen Anwendungsbereiche abgrenzen.
  4. die Notwendigkeit einer Übertragungsprüfung (Transfer Impact Assessment) begründen und die damit verbundenen Risiken bei der Nutzung von Standardvertragsklauseln bewerten.

Überleitung

Die Datenschutz-Grundverordnung (DSGVO) schafft einen gemeinsamen rechtlichen Rahmen für den Umgang mit personenbezogenen Daten. Ein zentraler Aspekt dabei ist, wie diese Daten sicher und legal über Grenzen hinweg bewegt werden können.

Wir beginnen mit dem einfacheren Fall: der Datenübermittlung innerhalb der Europäischen Union (EU) und des Europäischen Wirtschaftsraums (EWR).

Das Grundprinzip: Freier Datenverkehr im Binnenmarkt

Das Fundament der DSGVO für den Datentransfer innerhalb der EU und des EWR ist das Prinzip des freien Datenverkehrs. Das bedeutet, dass personenbezogene Daten zwischen den Mitgliedstaaten grundsätzlich genauso frei und sicher zirkulieren können wie Waren, Dienstleistungen oder Kapital.

Dieses Prinzip ist entscheidend, um den digitalen Binnenmarkt zu stärken und grenzüberschreitende wirtschaftliche Aktivitäten zu erleichtern, ohne den Schutz der Einzelperson zu vernachlässigen.

Einheitliches und hohes Schutzniveau

Damit dieser freie Datenverkehr funktioniert, sorgt die DSGVO für ein einheitliches Datenschutzniveau in allen EU- und EWR-Staaten. Jeder Mitgliedstaat ist gesetzlich dazu verpflichtet, die gleichen hohen Standards für den Schutz personenbezogener Daten zu gewährleisten. Wenn du also Daten von Deutschland nach Spanien übermittelst, kannst du davon ausgehen, dass dort die gleichen grundlegenden Schutzregeln gelten. Zusätzliche Genehmigungen für den reinen Transfer sind deshalb nicht notwendig.

Rollen und Pflichten: Verantwortliche und Auftragsverarbeiter

Auch bei der Datenübermittlung innerhalb dieses geschützten Raums müssen die Rollen und Verantwortlichkeiten klar sein. Hier sind zwei zentrale Akteure zu unterscheiden:

  • Der Verantwortliche ist die Stelle (z. B. ein Unternehmen), die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
  • Der Auftragsverarbeiter ist eine andere Stelle (z. B. ein externer Dienstleister), die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Ein Verantwortlicher ist dazu verpflichtet, nur mit Auftragsverarbeitern zusammenzuarbeiten, die nachweislich die Anforderungen der DSGVO erfüllen und die Sicherheit der Daten garantieren können. Der Auftragsverarbeiter wiederum muss geeignete technische und organisatorische Maßnahmen (TOMs) ergreifen, um die ihm anvertrauten Daten zu schützen.

Diese Pflichten gelten unverändert, egal ob die Datenverarbeitung innerhalb eines Landes oder grenzüberschreitend zwischen Mitgliedstaaten stattfindet.

Datenübermittlung in Drittländer

Nachdem wir die Regeln innerhalb der EU/EWR betrachtet haben, wenden wir uns nun dem komplexeren Fall zu: der Übermittlung von personenbezogenen Daten in Länder außerhalb dieses Raumes, sogenannte Drittländer.

Hier gelten strengere Anforderungen, da nicht automatisch von einem gleichwertigen Datenschutzniveau ausgegangen werden kann. Die DSGVO stellt verschiedene Instrumente zur Verfügung, um solche Transfers dennoch legal und sicher zu gestalten.

Der Angemessenheitsbeschluss: Der einfachste Weg

Der unkomplizierteste Weg für eine Datenübermittlung in ein Drittland ist ein sogenannter Angemessenheitsbeschluss der Europäischen Kommission. Ein solcher Beschluss bestätigt offiziell, dass ein bestimmtes Drittland, ein Gebiet oder ein spezifischer Sektor innerhalb dieses Landes ein Schutzniveau für personenbezogene Daten bietet, das dem der EU im Wesentlichen gleichwertig ist.

Liegt ein solcher Beschluss vor, dürfen Daten in dieses Land übermittelt werden, ohne dass du weitere spezifische Genehmigungen oder Garantien benötigst. Die Europäische Kommission führt eine öffentliche Liste der Länder, für die ein Angemessenheitsbeschluss gilt.

Der Angemessenheitsbeschluss: Der einfachste Weg

Der unkomplizierteste Weg für eine Datenübermittlung in ein Drittland ist ein sogenannter Angemessenheitsbeschluss der Europäischen Kommission. Ein solcher Beschluss bestätigt offiziell, dass ein bestimmtes Drittland, ein Gebiet oder ein spezifischer Sektor innerhalb dieses Landes ein Schutzniveau für personenbezogene Daten bietet, das dem der EU im Wesentlichen gleichwertig ist.

Liegt ein solcher Beschluss vor, dürfen Daten in dieses Land übermittelt werden, ohne dass du weitere spezifische Genehmigungen oder Garantien benötigst. Die Europäische Kommission führt eine öffentliche Liste der Länder, für die ein Angemessenheitsbeschluss gilt.

Geeignete Garantien: Wenn kein Angemessenheitsbeschluss vorliegt

Für die meisten Länder der Welt existiert kein Angemessenheitsbeschluss. In diesen Fällen musst du als Datenexporteur sicherstellen, dass die Daten durch “geeignete Garantien” geschützt werden.

Die wichtigsten sind:

  • Standardvertragsklauseln (Standard Contractual Clauses, SCCs): Dies sind von der Europäischen Kommission vorformulierte Musterverträge, die der Datenexporteur (in der EU) und der Datenimporteur (im Drittland) abschließen. Sie legen die datenschutzrechtlichen Pflichten für den Importeur fest und geben den betroffenen Personen durchsetzbare Rechte.
  • Verbindliche interne Datenschutzvorschriften (Binding Corporate Rules, BCRs): Große, multinationale Unternehmensgruppen können eigene, verbindliche Datenschutzregeln für den Datentransfer innerhalb der Gruppe erstellen. Diese BCRs müssen von der zuständigen europäischen Datenschutzaufsichtsbehörde genehmigt werden und stellen sicher, dass alle Unternehmen der Gruppe weltweit einen einheitlichen, hohen Datenschutzstandard einhalten.
  • Genehmigte Verhaltenskodizes und Zertifizierungsmechanismen: Es ist auch möglich, dass sich ein Datenimporteur zur Einhaltung von genehmigten Verhaltensregeln verpflichtet oder einen anerkannten Zertifizierungsmechanismus nutzt, um zu belegen, dass er geeignete Garantien für den Datenschutz bietet.

Ausnahmen für besondere Fälle

Wenn weder ein Angemessenheitsbeschluss noch geeignete Garantien greifen, erlaubt die DSGVO eine Datenübermittlung in ein Drittland nur in eng definierten Ausnahmefällen. Dazu gehören unter anderem:

  • Die betroffene Person hat der Übermittlung ausdrücklich zugestimmt, nachdem sie über alle damit verbundenen Risiken (insbesondere das Fehlen eines angemessenen Schutzniveaus) informiert wurde.
  • Die Übermittlung ist für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich (z. B. die Übermittlung von Adressdaten an ein Logistikunternehmen in einem Drittland zur Lieferung einer Ware).
  • Die Übermittlung ist aus wichtigen Gründen des öffentlichen Interesses notwendig.

Die Pflicht zur Übertragungsprüfung

Bevor du Daten in ein Drittland übermittelst, insbesondere auf Basis von geeigneten Garantien wie den SCCs, musst du eine Übertragungsprüfung (auch Transfer Impact Assessment, TIA, genannt) durchführen.

Dabei bewertest du, ob die Gesetze und Praktiken im Zielland den Schutz der Daten in der Praxis untergraben könnten (z. B. durch weitreichende Zugriffsrechte von staatlichen Behörden). Wenn ja, musst du zusätzliche Maßnahmen ergreifen, um den Schutz sicherzustellen, oder die Übermittlung unterlassen.

⏳ Lädt Dataview-Inhalt...

Überleitung

Nachdem du die allgemeinen Regeln für Drittlandübermittlungen kennst, schauen wir uns einen der wichtigsten Fälle genauer an: den Datentransfer in die USA.

Aufgrund der wirtschaftlichen Bedeutung und der unterschiedlichen Rechtsauffassungen zum Datenschutz hat die EU hierfür spezielle Regelungen geschaffen, die sich über die Jahre stark verändert haben.

Die Entwicklung:

Die Geschichte des Datentransfers zwischen der EU und den USA ist von mehreren Abkommen geprägt, die vom Europäischen Gerichtshof (EuGH) für ungültig erklärt wurden. Zuerst gab es das “Safe Harbor”-Abkommen, dann den “EU-US Privacy Shield”. Beide wurden gekippt, weil der EuGH befand, dass sie personenbezogene Daten von EU-Bürgern nicht ausreichend vor dem Zugriff durch US-Sicherheitsbehörden schützen.

Seit Juli 2023 gibt es eine neue Grundlage: Das EU-U.S. Data Privacy Framework (DPF). Hierfür hat die Europäische Kommission einen neuen Angemessenheitsbeschluss erlassen.

  • Zweck des DPF: Das Framework soll erneut einen verlässlichen und rechtssicheren Mechanismus für die Übermittlung personenbezogener Daten von der EU an zertifizierte Unternehmen in den USA schaffen.
  • Funktionsweise: US-Unternehmen können sich für das DPF zertifizieren lassen. Dafür müssen sie sich verpflichten, eine Reihe von detaillierten Datenschutzgrundsätzen einzuhalten. Wenn ein US-Unternehmen auf der offiziellen DPF-Liste als zertifiziert geführt wird, kannst du personenbezogene Daten an dieses Unternehmen übermitteln, ohne dass du zusätzliche Garantien wie Standardvertragsklauseln benötigst.
  • Wichtige Verbesserungen: Das neue Framework enthält gegenüber seinen Vorgängern zusätzliche Garantien. Dazu gehört die Einrichtung eines Gerichtshofs zur Überprüfung des Datenschutzes (Data Protection Review Court, DPRC), an den sich EU-Bürger wenden können, wenn sie vermuten, dass ihre Daten unrechtmäßig von US-Nachrichtendiensten erfasst wurden.

Du musst also vor einer Datenübermittlung in die USA immer prüfen, ob das empfangende Unternehmen unter dem EU-U.S. Data Privacy Framework zertifiziert ist.

Globale Instrumente

Das EU-U.S. Data Privacy Framework ist eine spezifische Lösung nur für die USA. Was tust du aber, wenn du Daten an ein nicht-zertifiziertes US-Unternehmen oder in ein anderes Drittland ohne Angemessenheitsbeschluss übermitteln musst?

Hierfür stellt die DSGVO universell einsetzbare Instrumente zur Verfügung, von denen die Standardvertragsklauseln und die verbindlichen internen Datenschutzvorschriften die wichtigsten sind.

Standardvertragsklauseln (Standard Contractual Clauses, SCCs)

Die Standardvertragsklauseln (SCCs) sind von der Europäischen Kommission genehmigte Musterverträge. Du schließt diese als Datenexporteur mit dem Datenimporteur im Drittland ab, um sicherzustellen, dass die übermittelten Daten nach EU-Standards geschützt werden.

  • Zweck: Sie schaffen eine vertragliche Verpflichtung für den Datenempfänger, ein angemessenes Datenschutzniveau einzuhalten.
  • Aufbau: Die aktuellen SCCs sind modular aufgebaut und können für verschiedene Übermittlungsszenarien flexibel eingesetzt werden (z. B. von Verantwortlichem zu Auftragsverarbeiter oder von Verantwortlichem zu Verantwortlichem).
  • Zusätzliche Pflicht: Die alleinige Unterzeichnung der SCCs reicht nicht aus. Du bist verpflichtet, eine Übertragungsprüfung (Transfer Impact Assessment, TIA) durchzuführen. Dabei musst du bewerten, ob die Gesetze im Zielland (z. B. Überwachungsgesetze) die vertraglichen Garantien der SCCs in der Praxis wirkungslos machen. Falls ja, musst du zusätzliche Schutzmaßnahmen (z. B. eine starke Verschlüsselung) ergreifen oder die Übermittlung unterlassen.

Verbindliche interne Datenschutzvorschriften (Binding Corporate Rules, BCRs)

Die verbindlichen internen Datenschutzvorschriften (BCRs) sind eine Lösung für multinationale Konzerne. Es handelt sich um ein maßgeschneidertes, unternehmensinternes Regelwerk, das die weltweite Übermittlung von personenbezogenen Daten innerhalb der Unternehmensgruppe regelt.

  • Zweck: BCRs etablieren einen konzernweit einheitlichen und hohen Datenschutzstandard, der für alle Gesellschaften der Gruppe verbindlich ist.
  • Genehmigungsprozess: Die Erstellung und Implementierung von BCRs ist ein sehr komplexer und zeitintensiver Prozess. Die Regeln müssen von der zuständigen europäischen Datenschutz-Aufsichtsbehörde in einem strengen Verfahren genehmigt werden.
  • Vorteile: Einmal genehmigt, ermöglichen BCRs einen flexiblen und effizienten Datenfluss innerhalb des Konzerns, ohne dass für jede Übermittlung neue Verträge geschlossen werden müssen. Sie gelten als Goldstandard für den internen Datenschutz und schaffen hohes Vertrauen.
  • Herausforderungen: Der hohe Aufwand und die Kosten machen BCRs primär zu einer Option für große, international agierende Konzerne.
⏳ Lädt Dataview-Inhalt...

Zusammenfassung und Ausblick

Zusammenfassung:

In dieser Lerneinheit hast du die zentralen Mechanismen der DSGVO für die Übermittlung personenbezogener Daten über Grenzen hinweg kennengelernt. Du kannst jetzt die fundamentalen Unterschiede zwischen Datenflüssen innerhalb der EU/EWR und Transfers in Drittländer erklären.

Du weißt, dass innerhalb der EU und des EWR das Prinzip des freien Datenverkehrs auf Basis eines einheitlich hohen Schutzniveaus gilt. Für Übermittlungen in Drittländer hast du die entscheidenden Instrumente und deren Hierarchie verstanden:

  1. Angemessenheitsbeschluss: Du kannst erklären, dass dies die einfachste Grundlage für einen Datentransfer ist. Du weißt, dass die Europäische Kommission damit offiziell bestätigt, dass ein Drittland ein der EU gleichwertiges Schutzniveau bietet. Als wichtigstes Beispiel kennst du das EU-U.S. Data Privacy Framework (DPF) für zertifizierte Unternehmen in den USA.

  2. Geeignete Garantien: Wenn kein Angemessenheitsbeschluss vorliegt, kannst du die wichtigsten Alternativen benennen. Du verstehst den Zweck von Standardvertragsklauseln (SCCs) als Musterverträge für Transfers an externe Partner und von verbindlichen internen Datenschutzvorschriften (BCRs) als “Konzern-Grundgesetz” für den internen, globalen Datenfluss. Entscheidend ist, dass du die Notwendigkeit einer Übertragungsprüfung (TIA) bei der Nutzung von SCCs erläutern kannst.

  3. Ausnahmen: Du kennst die engen Voraussetzungen, unter denen eine Übermittlung ausnahmsweise auch ohne diese Instrumente, beispielsweise auf Basis einer ausdrücklichen Einwilligung, möglich ist.

Ausblick:

In der nächsten Lektion verlassen wir die rechtlichen Grundlagen und wenden uns der praktischen Umsetzung des Datenschutzes im Unternehmensalltag zu. Wir werden untersuchen, wie du die abstrakten Anforderungen der DSGVO in konkrete Prozesse und technische Maßnahmen übersetzt. Dabei werden wir uns mit dem Verzeichnis von Verarbeitungstätigkeiten, den technischen und organisatorischen Maßnahmen (TOMs) zur Datensicherheit sowie dem korrekten Umgang mit Datenschutzverletzungen und Betroffenenrechten beschäftigen.