Internationaler Datenaustausch: So sicher wie möglich
Datenübermittlung in Drittländer
Die gesetzlichen Vorgaben für den internationalen Datenschutz unterscheiden sich danach, zwischen welchen Ländern Daten transferiert werden. Staaten außerhalb der EU lassen sich in zwei Gruppen einteilen.
a) Sichere Drittländer
Sichere Drittländer sind laut DSGVO Staaten, denen die Europäische Kommission ein angemessenes Datenschutzniveau bescheinigt. Das heißt, dass nationale Gesetze ein Datenschutzniveau gewährleisten, das mit dem innerhalb der EU vergleichbar ist. Zu den sicheren Drittstaaten gehören aktuell z. B. Japan, die Schweiz, Neuseeland, Argentinien und Kanada.
b) Unsichere Drittländer
Ein Datentransfer in unsichere Drittländer ist nur unter bestimmten Sicherheitsvorkehrungen erlaubt. Unternehmen können dabei z. B. auf die sog. Standardvertragsklauseln zurückgreifen: Musterverträge der EU für die Datenübermittlung an Auftragsverarbeiter im Drittland und die Übermittlung zwischen zwei selbstständigen verantwortlichen Stellen.
Mit diesen Verträgen verpflichtet sich der Auftragsverarbeiter oder Geschäftspartner, ein Datenschutzniveau einzuhalten, das den Ansprüchen der DSGVO entspricht. Allerdings sorgen auch Standardvertragsklauseln allein nicht immer für Rechtssicherheit bei der Datenübertragung in Drittländer.
Fokus auf die USA
Eine besondere Rolle für den internationalen Datenaustausch spielen die USA. Schließlich handelt es sich bei den großen IT- und Internetkonzernen, wie Google oder Microsoft, um US-amerikanische Unternehmen. Das gleiche gilt für viele einschlägige Newsletter-Dienste oder gar Cloud-Anbieter. Datentransfers zwischen Deutschland und den USA sind damit gang und gäbe.
Eine generelle Regelung gibt es nicht mehr seit der Europäische Gerichtshof im Juli 2020 urteilte, dass die bis vor einiger Zeit geltenden Abkommen Safe Harbor und Privacy Shield nicht ausreichen. Seit Juni 2021 gibt es überarbeitete EU-Standardvertragsklauseln, die den Datentransfer in viele andere Länder rechtssicher machen: Sie verlangen nun zusätzliche Maßnahmen, wie z. B. Beschreibungen der Übertragungen, der Sicherheitsmaßnahmen und des Umgangs mit Unterauftragsverarbeitern. Eine pauschale Absicherung für den Datentransfer in die USA bieten sie jedoch nicht. Deutsche Unternehmen sollten aus Vorsicht zunächst davon ausgehen, dass US-amerikanische Unternehmen diese zusätzlichen Maßnahmen schlicht nicht immer einhalten können.
Wie können Unternehmen ihre Datennutzung daher – neben der Anwendung der überarbeiteten EU-Standardvertragsklauseln – so sicher wie möglich gestalten?
1. Daten verschlüsseln
Indem personenbezogene Daten auf dem Transportweg und bei der Speicherung verschlüsselt werden, können sich Unternehmen zusätzliche Sicherheit verschaffen. Daten sollten am besten stets verschlüsselt sein, um im Ernstfall einen Schaden gering zu halten. Allerdings sind bereits vor der Einführung einer Verschlüsselung mehrere datenschutzrelevante, technische Aspekte zu berücksichtigen, z. B. die Robustheit und Stärke des Verschlüsselungsalgorithmus.
2. Europäische Server nutzen
Die Daten sollten vom Unternehmen selbst nach Möglichkeit nur in europäischen Rechenzentren gespeichert werden, die damit der Datenschutz-Grundverordnung unterliegen. Eine hundertprozentige Sicherheit bietet dies jedoch nicht, denn oftmals können trotzdem Administratorinnen und Administratoren aus einem unsicheren Drittland darauf zugreifen, Teilmengen von Daten ausgelagert werden oder Back-up-Server in den USA liegen. Daher ist es besonders wichtig, dass sich der Administrationsservice des Rechenzentrums in einem Land mit anerkanntem Datenschutzniveau befindet.
3. Rechtsmittel ausschöpfen
Werden Auftragsverarbeiter in einem unsicheren Drittstaat wie den USA beauftragt, sollten sich deutsche Unternehmen vergewissern, dass der Dienstleister alle Rechtsmittel ausschöpft, um die Herausgabe personenbezogener Daten an Behörden des Heimatlandes abzuwenden.
4. Alternativen suchen
Manchmal besteht die beste Lösung darin, auf andere Dienste auszuweichen und Alternativen zu dem aktuell genutzten Internetdienst in Betracht zu ziehen, die mehr kosten, dafür aber Rechenzentren in Europa einsetzen.
5. Interne Unternehmensregeln
Konzerne mit Tochtergesellschaften in anderen Ländern haben zudem die Option, interne Unternehmensregeln, sog. Binding Corporate Rules (BCR), aufzustellen, die festlegen, dass ausländische Tochtergesellschaften das europäische Datenschutzrecht einhalten müssen. Das funktioniert wie ein Datenschutz-Schutzschirm. Auch dieser stößt aber an seine Grenzen, wenn die unternehmensinternen Regeln mit den Regelungen anderer Länder in Konflikt geraten.
6. Sensibilisierung und Schulung
Alle Mitarbeitenden im Unternehmen, auch wenn sie nicht direkt für die Datensicherheit verantwortlich sind, sollten zum Thema Datenschutz sensibilisiert und geschult werden. Schließlich haben sehr viele Mitarbeiterinnen und Mitarbeiter an irgendeinem Punkt im Arbeitsablauf mit personenbezogenen Daten zu tun. Daher sollte neben dem Schaffen eines generellen Bewusstseins auch eine eingehende Schulung über nationale und internationale Datensicherheit durchgeführt werden.
Fazit: So gut es geht
Wenn Unternehmen alle Möglichkeiten ausschöpfen, um für eine maximale Sicherheit zu sorgen, haben sie gute Chancen, den Missbrauch personenbezogener Daten zu vermeiden und nicht ins Visier von Aufsichtsbehörden zu gelangen. Das setzt aber voraus, auf dem Laufenden zu bleiben und die internen Regelungen immer wieder zu überprüfen. Das Thema internationaler Datenschutz ist nichts, was wir heute abschließen können. Es muss kontinuierlich beobachtet werden, denn es gibt immer wieder neue Entwicklungen und Änderungen. Eine hundertprozentige Sicherheit gibt es nicht im internationalen Datenschutz, aber Unternehmen können sich darum bemühen, von ihnen genutzte Daten so gut wie möglich zu schützen.