Drittlandübermittlung

„Drittlandübermittlung“ („Drittstaatentransfer“) begegnet uns aktuell in verschiedenen Zusammenhängen. Sei es beim Thema „Brexit“, bei der Facebook-Fanpage oder bei Kollaborations-Tools in Zeiten von Corona-Home-Office. Doch bevor wir hier ins Detail gehen, müssen wir als erstes klären:

Was ist Drittlandübermittlung?

Drittländer sind zunächst einmal alle Länder außerhalb des Europäischen Wirtschaftsraumes, also auch die Schweiz und künftig Großbritannien. Um festzustellen, ob Sie personenbezogene Daten in ein Drittland übermitteln, prüfen Sie als allererstes Ihre Dienstleister und die übermittelten Datenkategorien in Ihrem Verzeichnis für Verarbeitungstätigkeiten.

Beispiele für Anbieter, bei denen Daten in ein Drittland übermittel werden, sind:

  • Whatsapp (USA)
  • Facebook (USA)
  • Google Analytics (USA)
  • TikTok (vermutlich u.a. China, USA)
  • Mailchimp (USA)
  • Slack (USA)
  • Zoom (USA)
  • Threema (Schweiz)
  • Telegram (Dubai, British Virgin Islands)
  • SugarCRM (USA)
  • Zoho (USA)
  • Asana (USA)
  • Trello (USA)
  • Dropbox (USA)
  • Bitrix24 (USA)

Aber keine Panik: Nicht jeder Anbieter in einem Drittland ist per se „böse“ und deren Nutzung unrechtmäßig. Wollen Sie personenbezogene Daten in eben ein solches Drittland übermitteln, so benötigen Sie dafür als erstes eine Rechtsgrundlage – wie grundsätzlich bei jeder Verarbeitung. Dieses Mal ist jedoch nicht Art. 6 DSGVO ausschlaggebend, sondern die Artikel 44ff DSGVO.

Zweck und Rechtsgrundlage

Haben Sie eine Einwilligung als Rechtsgrundlage, dann schauen Sie bitte genau hin. Einwilligungen Ihrer Kunden/ Mitglieder zur Drittland müssen „ausdrücklich“ sein. Dem Kunden muss also klar sein, dass seine Daten ins Ausland gehen und dort unter Umständen weniger sicher sind. Bei Einwilligungen Ihrer (ehrenamtlichen) Mitarbeitenden gilt §26 Abs. 2 BDSG. Danach müssen Einwilligungen schriftlich sein. Zudem gibt es besondere Anforderungen an die „Freiwilligkeit“, denn es besteht ein Abhängigkeitsverhältnis.

Handelt es sich bei der geplanten Verarbeitung um eine Auftragsverarbeitung? Dann benötigen Sie einen entsprechenden Vertrag. (Atlassian bietet dies für seine Produkte wie Trello, Confluence oder Jira leider nur auf Englisch.) Andernfalls prüfen Sie, welche Rechtsgrundlage die Übermittlung rechtfertigt. (Nicht vergessen: Bei Facebook benötigen Sie einen Vertrag zur gemeinsamen Verantwortung.)

Passt alles? Danach prüfen Sie weiter: Gibt es für das Drittland einen

Angemessenheitsbeschluss

Dieser bescheinigt den Ländern ein vergleichbares Datenschutzniveau. Einen solchen Angemessenheitsbeschluss gibt es für

  • die Schweiz
  • Japan
  • Kanada
  • Andorra
  • Argentinien
  • Färöer-Inseln
  • Guernsey
  • Israel
  • Isle of Man
  • Jersey
  • Neuseeland
  • Uruguay

Wie Sie sehen, ist Großbritannien in dieser Liste nicht dabei. Es gibt wohl bis April 2021 eine „Gnadenfrist“ (Pressemitteilung Datenschutzkonferenz). In dieser Zeit ist GB weiterhin kein Drittland. Ob danach ein Angemessenheitsbeschluss existiert, ist (meiner persönlichen Meinung nach) mehr als fraglich. Dann wird also auch GB zum Drittland ohne Angemessenheitsbeschluss.

Fun Fact: Telegram, das ursprünglich aus Russland stammt und aktuell in Dubai und auf den British Virgin Islands sitzt, hat seinen Datenschutzbeauftragten für EU-Bürger ausgerechnet in Großbritannien sitzen… 🙂

Auch für die USA gibt es einen solchen Beschluss nicht. Dann benötigen Sie zwingend

geeignete Garantien

Die DSGVO sieht mehrere Möglichkeiten vor, den Datenaustausch mit Ländern außerhalb der EU abzusichern. Der für Verantwortliche einfachste Weg sind die

Standardvertragsklauseln/ Standarddatenschutzklauseln

Diese von der EU-Kommission verabschiedeten Vertragsklauseln (SCC = Standard Contractual Clauses) dürfen nicht verändert werden. (Aktuell sind diese in Überarbeitung.) Die SCC gibt es für Auftragsverarbeitungen sowie für gemeinsame Verantwortliche. Problematisch: Der Verantwortliche muss sicherstellen, dass es beispielsweise im Drittland keine Gesetze gibt, die den europäischen Nutzern die Wahrnehmung Ihrer Rechte erschweren. Dies würde also eigentlich sämtliche US-amerikaischen Anbieter ausschließen.

Ein Weg, die Verarbeitung dennoch zu ermöglichen, ist die zusätzliche technische Absicherung. Das geht zum Beispiel durch Verschlüsselung der Daten. Diesen Weg gehen beispielsweise Telegram und Zoom. Also, selbst wenn US-Behörden den Zugriff auf die europäischen Daten verlangen, können sie diese nur verschlüsselt sehen.

Bis Mitte 2020 gab es als „geeignete Garantie“ noch das Privacy Shield. Bekanntlich wurde es durch das so genannte „Schrems II“-Urteil gekippt. („Privacy Shield gekippt„)

weitere geeignete Garantien

  • Binding Corporate Rules
  • genehmigte Verhaltensregeln

Mehr ins Detail gehe ich an dieser Stelle nicht, da diese Garantien eher für größere Unternehmen relevant sind.

Warum das Ganze?

Ganz einfach: Europa möchte seine Bürger schützen. Ja, ganz in echt! Für uns Europäer ist das Recht auf informationelle Selbstbestimmung ein hohes Gut. Die Daten gehören den Bürgern – nicht großen Konzernen (Wink in Richtung Amazon, Google und Facebook) und auch nicht dem Staat (Wink in Richtung China). Deshalb müssen sich alle Unternehmen, die mit EU-Bürgern und deren Daten arbeiten, an die europäischen Spielregeln halten. Um dies zu forcieren, wurden in der DSGVO entsprechende Mechanismen eingebaut.

Prüfschema Drittstaatentransfer des BfDI

Unser Bundesdatenschutzbeauftragter hat ein schönes Fluss-Schema erstellt, aus dem die einzelnen Prüfschritte ersichtlich sind.

Prüfschema Drittstaatentransfer

Sie sollten dabei die letzten beiden Punkte nicht vergessen. Wer schreibt, bleibt 😉

Was muss ich als Verantwortlicher bei der Drittlandübermittlung beachten?

Leider kommen Sie als Verantwortlicher nicht darum herum, „Papierkram“ zu wälzen. Das heißt also: Durchforsten Sie die Datenschutzerklärungen, AGB, Nutzungsbedingungen, Verträge, Anhänge und das Internet…

Prüfen Sie immer, wo der Anbieter seinen Hauptsitz hat und wohin er Daten übermittelt. Am leichtesten haben Sie es tatsächlich mit europäischen Anbietern. Bei allen anderen heißt es: ganz genau lesen, lesen, lesen…. (und leider oft genug ausschließlich auf Englisch…)

Selten geben Plattformen (die sich formal gern als ihr Auftragsverarbeiter darstellen), wirklich alle Informationen, die Sie als Verantwortlicher benötigen… (An wen werden welche Daten zu welchem Zweck übermittelt?) Hinterfragen Sie daher kritisch: Sind es wirklich Auftragsverarbeiter? Und was ist gemeint mit solch wunderbar blumigen Formulierungen wie:

    • „Übermittlung an Analyse- und Messdienstanbieter, um die Plattform zu verbessern“ (Telegram) oder:
    • „Die von uns geteilten Daten helfen uns, das bestmögliche Benutzererlebnis zu gewährleisten und die Sicherheit zu verbessern.“ (Whatsapp)

Wenn Sie keine Vorstellung davon haben, wer oder was damit im Detail gemeint ist, lassen Sie lieber die Finger davon!

Glauben Sie nicht blind dem Werbeversprechen auf der Startseite. Auch Whatsapp wirbt mit Datenschutz! („Deine Privatsphäre hat für uns Priorität„)

Fun Fact 2: Whatsapp beruft sich bis heute (Januar 2021!) noch immer auf das Privacy Shield als Garantie zur Drittlandübermittlung (https://www.whatsapp.com/legal/privacy-shield). Dropbox übrigens auch (https://www.dropbox.com/privacy). Da es dies nicht mehr gibt, ist die Übermittlung im Grunde unrechtmäßig.

Fun Fact 3: Auf der Website von Whatsapp lassen sich die Cookies nicht ablehnen… (vgl. mein Artikel „Cookies nach Einwilligung„).
Ich glaube, dies macht sehr eindrücklich klar, wie ernst es das Tochterunternehmen von Facebook mit dem Datenschutz meint.

Was noch?

Achten Sie darauf, dass Ihre Mitarbeitenden keine ungewollten Alleingänge unternehmen. Was meine ich damit? Manchmal suchen sich Mitarbeitende für auftretende Probleme rasch selbst eine Lösung. Das ist eigentlich eine gute Sache, kann aber im Datenschutz schnell böse Folgen haben.

Beispiel:

Corona-bedingt befinden sich A, B und C im Homeoffice. A erstellt Dokumente zu Kunde X , Y und Z (natürlich mit allen Daten) und stellt es in Dropbox ein, damit B und C auch damit arbeiten können. Der Vorgesetzte V hat keine Aussage getroffen, wie er zum Thema Dropbox steht, hat kein gemeinsames Laufwerk über Remotezugang geschaffen und weiß nichts von der „Arbeitshilfe“. Daher ist Dropbox also nicht im Verzeichnis für Verarbeitungstätigkeiten dokumentiert. (Rechenschaftspflicht) Es fand auch keine Risikobewertung statt. Und es gibt natürlich keine AV-Vereinbarung. Der Kunde wurde ebenfalls nicht informiert (Pflicht zur Transparenz) und kann demnach seine Rechte (Auskunft/ Löschung) nicht durchsetzen. (Treu und Glauben; Rechtmäßigkeit, …) Wir haben also mehrere Verstöße gegen die Grundsätze der DSGVO – allesamt bußbeldbewährt. Stellen sie sich dann noch vor, C verlässt das Unternehmen, hat aber immer noch Zugang zu den Dropbox-Daten, da auch keine Löschroutine oder Rollenverteilung existiert… 

Eine Technisch-Organisatorische Maßnahme, um dies zu verhindern, sind regelmäßige Schulungen und konkrete Richtlinien.

Sie sind verpflichtet, Ihre Auftragsverarbeiter sorgfältig auszuwählen, andernfalls drohen Bußgelder. Holen Sie sich im Zweifel professionelle Hilfe durch einen Datenschutzanwalt oder Datenschutzbeauftragten.

Informieren Sie Ihre Kunden, Mitglieder, Mitarbeitenden vor der geplanten Übermittlung ausreichend! Nicht überall auf der Welt können Nutzer Ihre Rechte (insbesondere Auskunft/ Löschung) gleichermaßen durchsetzen. (vgl.: „Risiken für Rechte und Freiheiten Betroffener„)

Quellen:

Datenschutzkonferenz der Länder (DSK) zu Schrems II

LfDI BW: Was jetzt in Sachen internationaler Datenverkehr?

Empfehlungen zur Drittlandübermittlung (englisch)

Prüfschema des BfDI zu Drittlandtransfers 

Bildquellen

  • vertiefung: pixabay - Manfred Steger
  • drittlanduebermittlung: Pixabay - megan_rexazin