logo_klein
Update: Datentransfer in Drittländer
Update: Datentransfer in Drittländer

Datentransfer in Drittländer findet in der Praxis häufig statt. Allerdings passieren hierbei oft Fehler. Der Europäische Datenschutzausschuss (EDSA) hat sich das Thema aufgrund von 101 Beschwerden der NGO NOYB näher angeschaut und hierzu ein Paper veröffentlicht.

EDSA-Stellungnahme zum Datentransfer in Drittländer

Wir fassen nachfolgend die Grundaussagen kurz zusammen:

  • Ist bereits die Datenerhebung mangels Rechtsgrundlage nach Art 6 Abs 1 DSGVO rechtswidrig, dann ist auch die Übermittlung in Drittländer unrechtmäßig.
  • Standardvertragsklauseln (SCCs) müssen vor dem Datentransfer abgeschlossen werden. Nachträglich kann ein Datentransfer also nicht saniert werden.
  • Ein Datentransfer kann natürlich nicht auf ein ungültiges EU-US-Abkommen (zB Privacy Shield / Safe harbor) gestützt werden.
  • Zusätzliche geeignete zusätzliche Garantien nach Schrems II müssen die Defizite des Datenschutzrechts des Landes, in das die Daten transferiert werden kompensieren.
  • Verschlüsselung der Daten ist dann keine solche geeignete zusätzliche Garantie wenn der Datenimporteur im Besitz des Schlüssels ist und diesen den Behörden seines Landes offenlegen müsste.
  • Ist der Auftragsverarbeiter der Datenexporteur muss sich der Verantwortliche dies zurechnen lassen.

Neben diesen allgemeinen Prinzipien spricht der EDSA auch Webseitenbetreiber besonders an:

  • Auch der Webseitenbetreiber ist für den Datenexport verantwortlich, wenn er entsprechende Tools auf der Webseite einbindet.
  • Eine Anonymisierung von IP-Adressen (und wohl auch von anderen Daten) ist keine geeignete Maßnahme, wenn diese erst nach dem Export erfolgt.

Praxistipps

Datenverkehr außerhalb des EWR und außerhalb der als sicher eingestuften Drittstaaten mit Angemessenheitsbeschluss stellt für den Datenexporteur oft eine Herausforderung dar. Fehler sind hier häufig und betreffen gerade auch Inhaber von Webseiten, die US-Tools einsetzen. Folgende Punkte sollten jedenfalls beachtet werden:

  • Abschluss der (aktuellen) SCCs vor Datenexport.
  • Prüfung ob zusätzliche geeignete Garantien notwendig sind und Implementierung dieser.
  • Anonymisierungsschritte sollten noch vor Export stattfinden.
  • Verschlüsselung hilft nur dann, wenn der Key nicht mit dem Datenimporteur geteilt werden muss, wenn dieser zur Offenlegung verpflichtet ist.
  • Falls sich der Datenexport nicht über SCCs abbilden lässt kann geprüft werden, ob auf eine Ausnahmeregelung zurückgegriffen werden kann. Oft ist eine Umsetzung mit SCCs nämlich nicht möglich, zum Beispiel dann, wenn keine zusätzlichen geeigneten Garantien implementiert werden können.

Sie haben weitere Fragen im Datenschutzrecht?

Sie haben weitere Fragen zum Thema Datenexport oder wollen sich in anderen Bereichen des Datenschutzrechts beraten lassen? Melden Sie sich gerne bei uns unter office@geuer.at oder telefonisch unter +43-1-4380072. Wir freuen uns auf Ihre Anfrage.

Quelle: Report of the work undertaken by the supervisory authorities within the 101 Task Force

Scroll to Top