Drittlandtransfer
Ein Drittlandtransfer ist die Übermittlung personenbezogener Daten aus der EU oder dem EWR in ein Land außerhalb dieser Gebiete. Er unterliegt besonderen datenschutzrechtlichen Anforderungen gemäß DSGVO-Kapitel V, um das europäische Schutzniveau auch im Zielland sicherzustellen.
Ausführliche Erklärung
Ein Drittlandtransfer liegt vor, wenn personenbezogene Daten an Verantwortliche oder Auftragsverarbeiter in Ländern außerhalb der EU und des Europäischen Wirtschaftsraums übermittelt werden. Der Europäische Datenschutzausschuss hat dafür drei Kriterien definiert: Der Datenexporteur muss der DSGVO unterliegen, es muss eine Übermittlung an einen anderen Verantwortlichen oder Auftragsverarbeiter erfolgen, und dieser Datenimporteur muss sich in einem Drittland befinden. Entscheidend ist dabei der Sitz des Empfängers, nicht der Speicherort der Daten. Auch Cloud-Speicherung oder bloßer Fernzugriff aus einem Drittland können einen Transfer darstellen.
Für KMU ist das Thema hochrelevant, da viele gängige Business-Tools von Anbietern außerhalb Europas stammen. Ob Cloud-Dienste, Newsletter-Software, Videokonferenz-Tools oder Analyse-Anwendungen – häufig erfolgt dabei ein Drittlandtransfer, ohne dass dies auf den ersten Blick ersichtlich ist. Die DSGVO verlangt eine zweistufige Prüfung: Zunächst muss die Datenverarbeitung selbst rechtmäßig sein, dann muss zusätzlich der Transfer in das Drittland legitimiert werden.
Die wichtigsten Transferinstrumente sind Angemessenheitsbeschlüsse der EU-Kommission, die für bestimmte Länder ein ausreichendes Datenschutzniveau attestieren. Aktuell existieren solche Beschlüsse unter anderem für die Schweiz, das Vereinigte Königreich, Japan, Kanada und seit Juli 2023 für die USA im Rahmen des EU-US Data Privacy Framework. Fehlt ein Angemessenheitsbeschluss, müssen Standardvertragsklauseln abgeschlossen werden, die seit Juni 2021 in neuer Fassung vorliegen. Diese allein reichen jedoch nicht: Unternehmen müssen zusätzlich prüfen, ob im Empfängerland Risiken für die Daten bestehen und gegebenenfalls ergänzende Schutzmaßnahmen ergreifen.
Datenschutzbehörden prüfen das Thema intensiv. Bescheide gegen den Einsatz von Google Analytics und Facebook-Pixeln zeigen, dass fehlende oder unzureichende Transferabsicherungen zu Untersagungen führen können. Für KMU bedeutet dies: Vor Einsatz neuer Tools muss geprüft werden, ob ein Drittlandtransfer erfolgt, welche Rechtsgrundlage greift und ob die Dokumentationspflichten erfüllt sind. Die Rechenschaftspflicht verlangt, dass diese Prüfung nachvollziehbar dokumentiert wird.
Praxisbeispiel
Ein oberösterreichischer Maschinenbaubetrieb mit 45 Mitarbeiter:innen setzt ein CRM-System eines US-Anbieters ein, über das Kundendaten verwaltet werden. Der Anbieter ist nicht unter dem EU-US Data Privacy Framework zertifiziert. Das Unternehmen muss daher Standardvertragsklauseln abschließen, eine Datentransfer-Folgenabschätzung durchführen und prüfen, ob ergänzende Maßnahmen wie Verschlüsselung erforderlich sind. Alternativ könnte auf einen europäischen Anbieter gewechselt werden.