Vertragliche Absicherung internationaler Datentransfers
- PDF / 404,592 Bytes
- 9 Pages / 595.276 x 790.866 pts Page_size
- 39 Downloads / 190 Views
Laura Schulte, Johanna Schmale
Vertragliche Absicherung internationaler Datentransfers Konsequenzen der Entscheidung Schrems II Internationale Datentransfers sind für die grenzüberschreitende Unternehmenskooperation von integraler Bedeutung. Cloud- und Videokonferenzdienste stellen lediglich zwei Beispiele für Online-Anwendungen dar, die für viele Unternehmen nicht erst seit der CoronaKrise unverzichtbar geworden sind. Da die Muttergesellschaften der derzeit populärsten Anbieter solcher Dienste in den USA ansässig sind, ist ihre Nutzung regelmäßig mit einem Transfer personenbezogener Daten aus der EU hinaus verbunden. Entsprechend sind die Anforderungen des 5. Kapitels der DSGVO über internationale Datentransfers zu berücksichtigen. Durch die Entscheidung Schrems II des EuGH, in welcher dieser u. a. das EU-US-Privacy-Shield-Abkommen für unwirksam erklärt hat, hat die vertragliche Absicherung internationaler Datentransfers einen enormen Bedeutungszuwachs erfahren. Die in der Entscheidung durch das Gericht konkretisierten rechtlichen Anforderungen werden im Folgenden dargestellt und um praktische Umsetzungshinweise ergänzt.
1 Einführung – Anforderungen an internationale Datentransfers Der europäische Gesetzgeber geht grundsätzlich davon aus, dass außerhalb der EU bzw. des Europäischen Wirtschaftsraums (EWR) ein gegenüber der DSGVO abgeschwächtes Datenschutz-
RAin Dr. Laura Schulte ist in der Kanzlei BRANDI Rechtsanwälte am Standort Bielefeld schwerpunktmäßig im Bereich Datenschutz- und IT-Recht tätig. E-Mail: [email protected]
Johanna Schmale ist wiss. Mitarbeiterin in der Kanzlei BRANDI Rechtsanwälte am Standort Bielefeld und dort schwerpunktmäßig im Bereich Datenschutz tätig. E-Mail: [email protected] 46
niveau herrscht, vgl. Art. 44 S. 2 DSGVO. Um ein hinreichendes Schutzniveau solcher Daten, die unter den Anwendungsbereich der DSGVO fallen und aus der EU bzw. dem EWR transportiert werden, zu gewährleisten, hat die im datenschutzrechtlichen Sinne verantwortliche Stelle zusätzliche Schutzgarantien zu verwirklichen, die das vermutete Datenschutzdefizit kompensieren sollen. Zu diesen zusätzlichen Schutzgarantien zählen insbesondere sog. Binding Corporate Rules (im Folgenden BCR) sowie die von der Europäischen Kommission erarbeiteten Standardvertragsklauseln, Art. 46 Abs. 2 lit. b und lit. c DSGVO. Zusätzlicher Schutzmechanismen bedarf es lediglich dann nicht, wenn die Europäische Kommission ausnahmsweise im Rahmen eines Angemessenheitsbeschlusses verbindlich festgestellt hat, dass in einem Drittland, einem bestimmten Gebiet eines Drittlandes oder einem spezifischen Sektor dieses Drittlandes ein angemessenes Datenschutzniveau herrscht, Art. 45 DSGVO. Gleichwohl ist selbst bei Bestehen eines Angemessenheitsbeschlusses eine vertragliche Absicherung internationaler Datentransfers grundsätzlich empfehlenswert, denn wie die Entscheidung Schrems II gezeigt hat, kann ein solcher Beschluss auch für unwirksam erklärt werden.
1.1 Begriff der Datenübermittlung Der Begriff der Datenübermittlung wird in der D
Data Loading...
