Lösungen & Produkte
Datenschutz | DSGVO

Drittland-Dienstleister:

Rechtskonformer Drittland-Transfer

Datenschutz: Zusammenarbeit mit internationalen Dienstleistern
16.11.2023
IT Outsourcing
Digitale Transformation
Datenmanagement
Cloud

In Zeiten der Digitalisierung sind agile IT-Lösungen für Unternehmen essenziell. Neben kontinuierlicher Systemleistung steht der individuelle Kundenbedarf im Fokus. Ohne Dienstleister, die meist auf weitere (internationale) Subdienstleister setzen, ist diese Flexibilität nicht möglich.

Datentransfer und Drittland

AdobeStock_647101647_735x492px

Im Rahmen seiner Tätigkeit ist es für den Dienstleister häufig unumgänglich, auf die personenbezogenen Kundendaten seiner Auftraggeber zuzugreifen. Dies bedingt entweder, dass die Daten physisch weitergeleitet werden, zum Beispiel zur Speicherung in einer Cloud,  oder dass der Dienstleister direkt Zugriff auf die Daten erhält etwa durch Remote-Support-Leistungen. Dabei liegt es in der Verantwortung des Auftraggebers, ein angemessenes Datenschutzniveau mit seinem Dienstleister zu vereinbaren, um das Risiko der Verarbeitung für die betroffenen Personen so gering wie möglich zu halten. Die Verarbeitung personenbezogener Daten erfolgt dann auf Basis eines Auftragsverarbeitungsvertrags (AVV). Geeignete technische und organisatorische Maßnahmen wiederum sorgen für die Sicherheit in der Datenverarbeitung. 

Hat der Dienstleister seinen Sitz innerhalb der EU oder des EWR und erbringt seine Leistung aus dieser Region, unterliegt er direkt der EU-Datenschutzgrundverordnung (DSGVO). Unter diesen Voraussetzungen ist auch ein hohes Datenschutzniveau gegeben.  

Handelt es sich um Dienstleister außerhalb der EU/des EWR oder bindet dieser weitere Unterauftragnehmer ein, die ihre Leistungen aus einem solchen sogenannten Drittland erbringen, gelten andere gesetzliche Bestimmungen. In diesen Fällen kann das Datenschutzniveau von dem abweichen, welches die DSGVO als angemessen definiert. Unter diesen Umständen sind weitere Bedingungen zu erfüllen und Garantien erforderlich, die ein angemessenes Datenschutzniveau ermöglichen. Dabei ist es Aufgabe des Dienstleisters, die mit dem Auftraggeber vereinbarten Anforderungen an den Datenschutz in der gesamten Kette seiner Subdienstleister zu erfüllen. 

Garantien für einen sicheren Drittland-Transfer

Die Datenschutzgesetzgebung sieht eine Reihe von Instrumenten vor, die eine sichere Datenübermittlung in ein Land außerhalb der EU/des EWR gestatten. 

  • Bei der am häufigsten eingesetzten Garantie handelt es sich um die sogenannten EU-Standardvertragsklauseln, die zusätzlich zum Auftragsverarbeitungsvertrag abgeschlossen werden. Die aktuelle Version dieser Klauseln – im Juni 2021 von der Europäischen Kommission erlassen – ist modular aufgebaut und lässt sich in mehreren Konstellationen einsetzen. Im Umfeld der Auftragsverarbeitung ist eine solche Vereinbarung zwischen Auftragsverarbeiter und (Unter-)Auftragsverarbeiter gängige Praxis. 
  • Im Zusammenhang mit den Standardvertragsklauseln ist wiederum eine Risikobewertung (Transfer Impact Assessment) erforderlich. Der Datenexporteur muss die Rechtslage beziehungsweise das Datenschutzniveau des Drittlands prüfen und bewerten, ob der Empfänger durch geltendes Recht im Drittstaat gezwungen sein kann, gegen die Regelungen aus den Verträgen zu verstoßen. Ist dies der Fall, gilt es, zusätzliche Maßnahmen zur Datensicherheit zu ergreifen. 
  • Multinationale Konzerne etwa können die Übermittlung der Daten über Binding Corporate Rules (BCR) absichern. Bei BCRs handelt es sich um verbindliche unternehmensinterne Datenschutzvorschriften, die ein angemessenes Datenschutzniveau schaffen und es ermöglichen, personenbezogene Daten an Tochterfirmen in Drittstaaten zu übermitteln. Somit stellen diese Regelungen ebenfalls eine geeignete Garantie für den Drittlandtransfer dar. Allerdings müssen sie von der Aufsichtsbehörde freigegeben werden. 
  • Auch auf der Grundlage eines Angemessenheitsbeschlusses ist es möglich, personenbezogene Daten in ein Drittland zu übermitteln. Diesen Beschluss fasst die Europäische Kommission, wenn sie feststellt, dass das Schutzniveau in einem bestimmten Land gleichwertig mit dem der DSGVO ist. Liegt ein solcher Angemessenheitsbeschluss vor, darf der Datentransfer in dieses Land ohne weitere Garantien erfolgen. Zu beachten ist jedoch, dass sich die jeweiligen Beschlüsse in ihrer inhaltlichen Reichweite von Land zu Land unterscheiden können. So gilt beispielsweise das EU-U.S. Data Privacy Framework lediglich für teilnehmende Unternehmen in den USA.  

Das EU-U.S. Data Privacy Framework (DPF)

Arvato-Systems-Blogartikel-Datenschutz-AdobeStock_636775901

Für die Datenübermittlung in die USA hat seit kurzem das EU-U.S. Data Privacy Framework (DPF) hohe Relevanz. Es ist am 10.07.2023 in Kraft getreten und stellt eine Garantie für den Drittlandtransfer in Form eines Angemessenheitsbeschlusses dar. Das DPF ermöglicht einen rechtssicheren Datentransfer an jene amerikanischen Unternehmen, die sich dafür ausdrücklich zertifiziert haben. 

Es ist das dritte Abkommen zwischen der EU und den USA zum Datentransfer, nachdem der Europäische Gerichtshof die Vorgänger Safe Harbour (Schrems-I-Urteil, 2015) und Privacy Shield (Schrems-II-Urteil, 2020) für ungültig erklärte. Max Schrems, ein österreichischer Datenschutzaktivist, hatte die Klagen aufgrund des unzureichenden US-Datenschutzniveaus angestoßen. 

Das DPF beinhaltet nun weitere Garantien zum Datenschutz sowie eine Stärkung der Rechte betroffener EU-Bürger. Insbesondere wurde ein zweistufiges Rechtsbehelfssystem eingerichtet, das Beschwerden seitens betroffener EU-Bürger vereinfachen soll und es ermöglicht, gefällte Entscheidungen anzufechten. Die Aktivitäten der Geheimdienste werden stärker überwacht und ein Datenzugriff auf das beschränkt, was zum Schutz der nationalen Sicherheit der USA notwendig und verhältnismäßig ist. Zertifizierte Unternehmen müssen sich an Regelungen wie Zweckbindung, Informationspflichten und Erfüllung von Betroffenenrechten halten und werden regelmäßig kontrolliert. 

Wie lange das DPF Gültigkeit haben wird, bleibt abzuwarten. Die Sicherheitsgesetze der USA haben sich durch den neuen Angemessenheitsbeschluss nicht geändert und bei Max Schrems liegt daher die nächste Klage bereits in der Schublade. Zudem haben auch europäische Datenschutzbehörden bereits erste Kritik an der Angemessenheit der Maßnahmen geäußert. 

Aktuell stellt das DPF allerdings eine valide Garantie für den Transfer personenbezogener Daten in die USA dar und verbessert somit die Bedingungen für eine Datenübermittlung maßgeblich. Es ist fast schon selbstverständlich, dass alle großen Hyperscaler zu den teilnehmenden Unternehmen gehören. 

IT-Kompetenz trifft Datenschutz

Arvato Systems arbeitet seit Jahren erfolgreich mit Dienstleistern innerhalb der EU/des EWR, aber auch in den USA und weiteren Ländern außerhalb Europas zusammen, um bestmögliche Serviceleistungen zu erbringen. Insbesondere mit Microsoft verbindet uns eine langjährige Partnerschaft. Mit unserer Expertise in der kompletten Microsoft Cloud unterstützen wir unsere Kunden in der Digitalen Transformation und beraten unter anderem im Kontext von Microsoft 365. Stets die rechtlichen Rahmenbedingungen im Blick, berücksichtigen wir als IT-Spezialist die Anforderungen unser Auftraggeber und sorgen so für ein angemessenes Schutzniveau der uns anvertrauten personenbezogenen Daten.  

Das könnte Sie auch interessieren

Öffentlicher Sektor

Erfahren Sie hier mehr zu unseren IT-Lösungen für die Digitalisierung im öffentlichen Sektor.

Microsoft 365 Datenschutz

Unsere datenschutzfreundlichen Konfiguration von Microsoft 365 für mehr Datenschutz & Datensouveränität in der Public Cloud.

Digital Workplace mit Microsoft 365

Ihr Digital Workplace mit Microsoft 365 Lösungen. Digitalisieren Sie Ihren Arbeitsplatz mit Arvato Systems!

Verfasst von

Tiny PNG Großjohann
Sonja Großjohann
Data Protection Coordinator