Datenübertragung außerhalb des Europäischen Wirtschaftsraums – Datenschutz
Wenn Sie ein Unternehmen im Europäischen Wirtschaftsraum (EWR) betreiben oder wenn Ihr Unternehmen außerhalb des Europäischen Wirtschaftsraums liegt, aber Waren oder Dienstleistungen für Kunden im Europäischen Wirtschaftsraum bereitstellt, sind Sie zweifellos mit der DSGVO vertraut.1 Die sogenannte DSGVO zielt darauf ab, die grundlegenden Datenschutzrechte der betroffenen Personen zu schützen und ihnen mehr Kontrolle über ihre persönlichen Daten zu geben. In einer Welt, in der personenbezogene Daten weit verbreitet sind, sorgt die DSGVO dafür, dass diese Daten unter strengen Bedingungen gesammelt, verwaltet, verarbeitet, übertragen und geschützt werden.
Obwohl viele Länder Datenschutzgesetze haben, sind sie nicht mit dem Schutz personenbezogener Daten vereinbar. Und einige Länder, wie die Vereinigten Staaten, haben nicht einmal ein Bundesdatenschutzgesetz. Verständlicherweise macht dies die Europäische Kommission darauf aufmerksam, dass personenbezogene Daten, die ihre Grenzen verlassen, möglicherweise nicht geschützt sind. Um dies zu bekämpfen, verfügt die DSGVO über Mechanismen zur Übermittlung personenbezogener Daten außerhalb des Europäischen Wirtschaftsraums.
Die primäre Ausgangsposition für die DSGVO ist diese Die Übermittlung personenbezogener Daten außerhalb des Europäischen Wirtschaftsraums ist nur zulässig, wenn bestimmte Anforderungen erfüllt sind. Um diese Anforderungen zu veranschaulichen, verwenden wir ein Beispiel: Sie betreiben ein Online-Geschäft im Europäischen Wirtschaftsraum und möchten eine CRM-Software (Customer Relationship Management) verwenden, um Ihre Kundenbeziehungen zu verbessern und das Umsatzwachstum zu steigern. Sie haben CRM recherchiert und entschieden, dass ein amerikanisches Unternehmen Ihre Anforderungen am besten erfüllt. Sie haben eine Liste der Kunden, die Sie mit CRM verwalten möchten. Bevor Sie ihre persönlichen Daten an CRM in den USA übertragen können, müssen Sie feststellen, ob die Übertragung gemäß der DSGVO zulässig ist.
Die DSGVO 3 bietet Mechanismen, um die Übermittlung personenbezogener Daten an ein Land außerhalb des Europäischen Wirtschaftsraums zu rechtfertigen. Zuerst, Bietet das Land, in das die Daten übertragen werden, ein angemessenes Maß an Schutz personenbezogener Daten? Die Europäische Kommission verfügt über eine Liste von Ländern, die festgestellt haben, dass sie ein angemessenes Schutzniveau bieten Hier. Überprüfen Sie diese Liste, um festzustellen, ob das Land aufgeführt ist, in das Sie die personenbezogenen Daten übertragen möchten. Wenn es in der Liste enthalten ist, können Sie die Konvertierung durchführen. In unserem Beispiel möchten wir die persönlichen Daten in die USA senden. Die Vereinigten Staaten sind nicht auf der Liste, daher müssen wir feststellen, ob eine Übertragung in die Vereinigten Staaten eine andere Rechtfertigung erfüllen würde. Beachten Sie, dass Sie bis vor kurzem, wenn das US-Unternehmen nach dem EU-US-Datenschutzschild selbst zertifiziert wurde, personenbezogene Daten aus der Europäischen Union an das Unternehmen in den USA übertragen können, bei dem das Datenschutzschild ein angemessenes Schutzniveau bietet. Dies ist jedoch nicht mehr der Fall. Der Gerichtshof der Europäischen Union hat kürzlich den Datenschutzschild EU-USA für ungültig erklärt.2 Daher ist dies kein Mechanismus mehr, um die Übermittlung personenbezogener Daten zu rechtfertigen.
Zweitens müssen Sie angeben, ob das Land, in das die personenbezogenen Daten übertragen werden, kein angemessenes Schutzniveau aufweist, wie von der Europäischen Kommission festgelegt
Wenn Sie geeignete Garantien haben Zum Schutz von Daten. Artikel 46 der DSGVO stellt klar, was diese Schutzmaßnahmen sind, wie verbindliche Unternehmensregeln und Standardvertragsklauseln. Für die Zwecke unseres Beispiels haben Sie jedoch keine verbindlichen Unternehmensregeln, da Ihr Unternehmen klein ist.
Die Standardvertragsklauseln sind eine Garantie, die Unternehmen häufig zur Übermittlung personenbezogener Daten verwenden. In der gleichen Entscheidung des Europäischen Gerichtshofs, wonach der Datenschutzschild zwischen der EU und den USA ungültig ist, entschied das Gericht jedoch auch, dass die Standardvertragsklauseln für die Übermittlung personenbezogener Daten nicht geltend gemacht werden können, wenn die Datenquelle derjenige ist, der sie benötigt Bewertung vornehmen Für Risiken wird durch die Bewertung festgestellt, dass der Schutz personenbezogener Daten angesichts der Übertragungsbedingungen und möglicher ergänzender Präventionsmaßnahmen nicht gewährleistet werden kann. In den Vereinigten Staaten verfügt die Bundesregierung über weitreichende Befugnisse zur Erhebung personenbezogener Daten von Nicht-US-Bürgern für Maßnahmen zur nationalen Sicherheit und Terrorismusbekämpfung. Behörden können auf diese personenbezogenen Daten zugreifen, und das Common Law, das ihnen die Erlaubnis dazu erteilt, hat Vorrang vor geschäftlichen Belangen. Abgesehen von dieser breiten Überwachungsbefugnis verfügen Nicht-US-Bürger in den USA nicht über ausreichende gesetzliche Rechte, die sie zum Schutz ihrer Daten durchsetzen könnten. Die Standardvertragsklauseln allein reichten also nicht mehr aus. Sie müssen zusätzliche technische Maßnahmen ergreifen, um zu verhindern, dass US-Behörden auf personenbezogene Daten zugreifen, um sicherzustellen, dass angemessene Sicherheitsvorkehrungen für deren Übermittlung getroffen werden. Beispielsweise können personenbezogene Daten verschlüsselt werden, jedoch nur, wenn dies die Daten angemessen schützt und wenn die Behörden und Ihr Kundenbeziehungsmanagement keine Möglichkeit haben, die Daten zu entschlüsseln. Wenn keine geeigneten ergänzenden Maßnahmen zum Schutz der Daten getroffen werden können, können Sie sich bei der Übertragung nicht auf Standardvertragsklauseln verlassen. Die Datenschutzbehörden haben begonnen, diese Entscheidung zu berücksichtigen. Anfang dieses Monats hat die irische Datenschutzkommission Facebook angeblich eine vorläufige Anordnung zur Aussetzung der Übermittlung personenbezogener Daten in die USA unter Verwendung von Standardvertragsklauseln übermittelt.
Schweizer Bundesdatenschutz Der Informationskommissar und der Gerichtshof der Europäischen Union kamen zu einem ähnlichen Ergebnis in Bezug auf den schweizerisch-amerikanischen Datenschutzschild und die Standardvertragsklauseln. Der schweizerisch-amerikanische Datenschutzschild war ein Mechanismus für die Übermittlung personenbezogener Daten aus der Schweiz in die USA gemäß dem schweizerischen Bundesgesetz über den Datenschutz (FADP). Am 8. September 2020 erklärte der Schweizerische Datenschutzbeauftragte, er betrachte den schweizerisch-amerikanischen Datenschutzschild nicht mehr als einen angemessenen Schutz für die Übermittlung personenbezogener Daten in die Vereinigten Staaten, wodurch seine Position zu den Vereinigten Staaten geändert werde Staaten auf seiner Liste. Angemessener Schutz in einigen Ländern.3 Diese Bewertung unterliegt Abweichungen von den Urteilen der Schweizer Gerichte. Der Eidgenössische Bundeskommissar für Daten- und Informationsschutz stimmte auch der Einschätzung zu, dass Standardvertragsklauseln ausländische Sicherheitsbehörden rechtlich nicht daran hindern können, auf personenbezogene Daten zuzugreifen, und dass Schweizer Staatsbürger in den USA keine durchsetzbaren gesetzlichen Rechte zum Schutz ihrer personenbezogenen Daten haben. Es gibt keine Sicherheitsvorkehrungen, um sicherzustellen, dass personenbezogene Daten bei der Übermittlung in die USA angemessen geschützt sind. Die Schweiz und die Europäische Union sind sich gegenseitig bewusst, dass ihre Datenschutzgesetze ein gleichwertiges Schutzniveau bieten. Für beide Gerichtsbarkeiten ist es wichtig, dass sie ihre Bewertung der Übermittlung personenbezogener Daten an Drittländer einhalten, insbesondere wenn die zwischen ihnen übermittelten personenbezogenen Daten an ein Drittland übertragen werden. Die Entscheidung des Bundesbundeskommissars für Datenschutz und Information spiegelt dies wider.
Wenn Sie entscheiden, dass das Land, in das Sie personenbezogene Daten übertragen möchten, kein angemessenes Schutzniveau aufweist und Sie keine angemessenen Schutzmaßnahmen zum Schutz dieser personenbezogenen Daten haben, sollten Sie prüfen, ob die Übertragung einem der folgenden Kriterien entspricht Ausnahmen Gemäß Artikel 49 der Allgemeinen Datenschutzverordnung. Eine Ausnahme bildet eine bestimmte Übertragungsbegründung, die für einen bestimmten Fall gilt. Diese Ausnahmen werden eng ausgelegt und können schwierig zu erfüllen sein. Eine der Ausnahmen ist beispielsweise die Zustimmung. Um dies zu erreichen, muss die betroffene Person der Übertragung ausdrücklich zustimmen, ihre Zustimmung muss für eine bestimmte Datenübertragung (eine Reihe von Übertragungen) gelten, und Sie müssen der betroffenen Person im Übertragungsprozess detaillierte Informationen einschließlich der damit verbundenen Risiken zur Verfügung stellen. Eine weitere Einschränkung besteht darin, dass die Übertragung erforderlich ist, um Ihren Vertrag mit der betroffenen Person auszuführen. Auch diese Einschränkung der vertraglichen Notwendigkeit wird eng ausgelegt. Obwohl die Übertragung personenbezogener Kundendaten an CRM in den USA Ihr Geschäft mit dem Kunden effizienter, bequemer oder sogar kostengünstiger machen würde, müssen Sie Ihre Dienstleistungen nicht für Ihren Kunden erbringen. In diesem Fall ist die Übertragung vertraglich nicht erforderlich. Es kann schwierig sein, die Übertragung in das Downsizing zu fallen.
Wenn die Übertragung der personenbezogenen Daten Ihrer Kunden in die USA im Rahmen der GDPR-Übertragungsmechanismen nicht zulässig ist und Sie keine geeigneten technischen Maßnahmen zum Schutz der Daten treffen können, können Sie deren personenbezogene Daten nicht an die CRM-Site in den USA übertragen. Was können Sie tun, wenn Sie das CRM weiterhin verwenden möchten? Viele Cloud-basierte Unternehmen haben jetzt Server in der Europäischen Union, um ihre Plattformen zu hosten. Erkundigen Sie sich bei CRM, ob es einen EU-Server für seine EU-Kunden gibt. In diesem Fall können Sie die Daten auf einen EU-Server übertragen. Die Daten bleiben innerhalb der Europäischen Union und bleiben während der Verwendung von CRM innerhalb der GDPR-Anforderungen. Sie können sich auch an den Europäischen Datenschutzrat und die Nationale Datenschutzbehörde wenden, um weitere Informationen in diesem sich ständig weiterentwickelnden Bereich des Datenschutzes zu erhalten.
Fußnoten
1. Die DSGVO und ihre Transportvorschriften gelten für den Europäischen Wirtschaftsraum (Europäische Union plus Island, Liechtenstein und Norwegen).
2. Am 16. Juli 2020 erklärte der Gerichtshof der Europäischen Union die Entscheidung der Europäischen Kommission von 2016, dass der EU-Datenschutzschild angemessen und ungültig sei. Siehe das Urteil unter
Rechtssache C-311/18, Datenschutzbeauftragter gegen Facebook Irland und Maximillian SchremS („Schrems II“).
3. Weitere Informationen finden Sie im „FDPIC-Strategiepapier zur Übermittlung personenbezogener Daten an die USA und andere Länder, denen ein angemessenes Datenschutzniveau im Sinne von Artikel 6 Absatz 1 des Bundesgesetzes über den Datenschutz fehlt“.
Der Inhalt dieses Artikels soll einen allgemeinen Leitfaden zum Thema bieten. Es wird empfohlen, sich unter Ihren Umständen von einem Fachmann beraten zu lassen.
„Böser Kaffee-Nerd. Analyst. Unheilbarer Speckpraktiker. Totaler Twitter-Fan. Typischer Essensliebhaber.“