Datenschutz sorgt bei vielen Unternehmern immer noch für Unbehagen und beim Outsourcing kann es dann noch komplizierter werden. Nicht aber, wenn Sie sich für das Nearshoring in einem EU-Mitgliedsstaat entscheiden. Denn hier gelten genau die gleichen Datenschutzrahmenvorschriften wie in der ganzen Europäischen Union und damit ist der freie Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet und sicher.
Wegen fehlender Ressourcen und ansteigender Kosten entscheiden sich zunehmend viele Unternehmen, einzelne Geschäftsbereiche an Dienstleister im In- und Ausland auszulagern. Bei Datenübermittlung an Drittländer ausserhalb der EU ist dabei besondere Vorsicht geboten. Dies gilt sowohl für Datentransfers zwischen den Unternehmen als auch beispielsweise bei Verwendung von Cloud-Services (1). Bei Datenschutzverstössen drohen den Unternehmen schwerwiegende Strafen. Ein nach DSGVO verhängtes Bussgeld in Deutschland kann beispielsweise bis zu 20 Millionen Euro oder bis zu 4% des weltweiten Jahresumsatzes des Unternehmens betragen (2).
Abbildung: Gesamtwert der in Europa zwischen Mai 2018 und Januar 2021 verhängten DSGVO-Bußgelder nach Ländern (in Millionen Euro) (3)
Schutz personenbezogener Daten innerhalb der EU
Innerhalb der EU fand die Richtlinie 95/46/EG des Europäischen Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr Anwendung (4), die in 2018 auf gesamteuropäischer Ebene von der Datenschutz-Grundverordnung EU-DSGVO (5) ersetzt wurde. Diese findet vorrangig in allen EU-Staaten Anwendung und bildet zusammen mit den nationalen Rechtsvorschriften einen umfangreichen Datenschutz. So gelten in allen EU Ländern entsprechend die DSGVO Vorschriften zusammen mit den nationalen Datenschutzgesetzen und Ausführungsvorschriften. Die Mindeststandards für Datenschutz und der universelle Schutzumfang der DSGVO, die in allen Mitgliedsstaaten der EU sichergestellt sind, bilden eine Art von objektiver Bürgschaft dafür, dass freier Datenverkehr ohne weitere Sicherheitsprüfung innerhalb der EU stattfinden kann, weil angenommen wird, dass innerhalb des einheitlichen Rechtsraums der EU der Datenschutz stets im gleichen Masse gewährleistet ist.
Doppelte Zulässigkeitsprüfung bei Datenübermittlung
Bei der Datenübermittlung ins Ausland muss diese einer doppelten Zulässigkeitsprüfung standhalten. Erstens unterliegt sie dem individuellen Erlaubnisvorbehalt, zweitens besteht bei Outsourcing in das EU-Ausland die Gewährleistungspflicht, dass das Datenschutzniveau beibehalten wird.
Erlaubnisvorbehalt bei Übermittlung personenbezogener Daten
Grundsätzlich ist jegliche Verarbeitung personenbezogener Daten verboten. In Art. 6 DSGVO werden die Erlaubnistatbestände genannt, wie die Vertragserfüllung, berechtigtes Interesse, gesetzliche Verpflichtung oder der Schutz lebenswichtiger Interessen und schliesslich die ausdrückliche Einwilligung des Betroffenen. Sind diese Voraussetzungen erfüllt, so ist die vorzunehmende Datenübermittlung grundsätzlich zulässig und dies gilt für die gesamte EU, also auch beim Outsourcing in die EU-Mitgliedsstaaten. Beim Outsourcing ins EU-Ausland müssen dagegen weitere Zulässigkeitsvoraussetzungen gem. Art. 44 ff DSGVO beachtet werden.
EU-Ausland ist rechtsstaatlich wie Inland
Solange die Datenauslagerung die EU-Grenzen nicht überschreitet, gilt: Es wird automatisch angenommen, dass der Rechts- und Datenschutz innerhalb der gesamten EU gleichwertig gewährleistet ist und eine weitere Zulässigkeitsprüfung ist nicht erforderlich. In der Praxis bedeutet es, ob Sie die Datenverarbeitung innerhalb von Deutschland, nach Polen oder Italien auslagern, bedarf es keiner weiteren Zulässigkeitsprüfung, denn innerhalb des EU-Raumes gilt unter gleichen Bedingungen ein quasi freier Datenverkehr.
„Sichere Drittländer“ nur dann, wenn von der EU Kommission bestätigt
Werden hingegen Daten in das Ausland ausserhalb der EU ausgelagert, ist zunächst zu prüfen, ob die Übermittlung in sichere bzw. unsichere Drittländer stattfindet. Zu den sicheren Drittländern außerhalb der EU gehören solche, deren Datenschutzniveau im sogenannten Angemessenheitsbeschluss der Europäischen Kommission als angemessen bestätigt wurde, d.h. es wird angenommen, dass die dortigen nationalen Gesetze einen Schutz von personenbezogenen Daten, welcher mit dem des EU-Recht vergleichbar ist, gewährleisten. Als „sichere Drittländer“ werden soweit Andorra, Argentinien, Kanada (nur kommerzielle Organisationen), Färöer, Guernsey, Israel, Isle of Man, Jersey, Neuseeland, Schweiz, Uruguay und Japan anerkannt (6). Ende Juni 2021 hat die Kommission in ihrem Beschluss bestätigt, dass personenbezogene Daten ungehindert aus der EU auch in das Vereinigte Königreich übermittelt werden können (7).
„Unsichere Drittländer“ als Risikofaktor
Mit dem Urteil „Schrems II“ vom 16. Juli 2020 (8) hat der EuGH den Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US-Datenschutzschild (Privacy Shield) gebotenen Schutzes mit sofortiger Wirkung für ungültig erklärt. Damit können Datenübermittlungen in die USA nicht auf das Privacy Shield gestützt werden. Datentransfers in die USA bedürfen anderer Garantien, i.S.v. Art. 44 ff. DSGVO, das heisst ein angemessenes Datenschutzniveau muss fallspezifisch, gegebenenfalls vertraglich, organisatorisch und technisch abgesichert und dies vom Datenübermittlenden auch gegebenenfalls auch geprüft werden. Im Juni 2021 wurden hierzu von der EU Kommission neue Standardvertragsklauseln angenommen (9), die von Unternehmen künftig anzuwenden sind.
Existiert für ein Land kein Angemessenheitsbeschluss der Europäischen Kommission, wird damit eine Übermittlung in dieses Land nicht grundsätzlich ausgeschlossen. Der Verarbeiter muss dann jedoch in einem individuellen Verfahren sicherstellen, dass die personenbezogenen Daten beim Dienstleister auch tatsächlich ausreichend geschützt werden. Er muss folglich selber dafür sorgen, dass die von ihm ausgelagerten Datenbearbeitungsvorgänge so vertraglich, technisch und organisatorisch beschaffen sind, dass bei dem Datenschutz keine Abstriche durch das Outsourcing gemacht werden. Gegebenenfalls müssen Standardvertragsklauseln sorgfältig verhandelt und ausgearbeitet sowie regelmässig auf ihre Aktualität geprüft werden. Zu prüfen, gegebenenfalls vor Ort, ist auch, ob der Outsourcing-Dienstleister ausserhalb der EU auch tatsächlich über einen organisatorischen und technischen Rahmen verfügt und den obligatorischen Datenschutz auf vertraglich zugesicherten Niveau erfüllt.
Datenoutsourcing innerhalb der EU ist die sicherste und bequemste Lösung
Wie dargelegt, muss sich ein Unternehmen bei Auslagerung der Firmenvorgängen, die mit Datenoutsourcing verbunden ist, entscheiden, ob es die diesbezüglich unkomplizierte und sichere Auslagerung in ein EU-Mitgliedsstaat wählt, oder aktiv die Verantwortung für die risikobehaftete Auslagerung außerhalb der EU übernehmen möchte, die ihm weitere mühsame Überprüfungs- und Aufsichtsverpflichtungen bezüglich des Datenschutzes auferlegt. Denn schnell können die vermeintlich eingesparten Arbeits- und Verarbeitungskosten bei Auslagerung in Fernländer außerhalb der EU sich plötzlich als Scheineinsparungen entpuppen. Findet die Auslagerung innerhalb der EU statt, gilt die EU-weite universelle Datenschutzgarantie der EU-DSGVO und für das Unternehmen ändert sich diesbezüglich nichts. Beim Outsourcing außerhalb der EU übernimmt das auslagernde Unternehmen dagegen selbst die Verantwortung dafür, vertraglich sicherzustellen und gegebenenfalls auch regelmäßig zu prüfen, ob die von ihm ausgelagerten Daten auch technisch und organisatorisch richtig und sicher verwaltet werden. Damit erweitert sich nicht nur der territoriale Umfang der gesetzlichen Datenschutzverpflichtung, vielmehr muss das auslagernde Unternehmen mit zusätzlich anfallenden Kosten für juristische Betreuung, gegebenenfalls Reisen und regelmäßige Kontrollen rechnen.
(1) http://www.itandlaw.ch/fileadmin/user_upload/23_Cloud_Computing_13_View.pdf
(2) https://www.datenschutz.org/dsgvo-bussgeld/
(3) https://www.statista.com/statistics/1203641/value-of-gdpr-fines-europe/
(4) https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:31995L0046&from=DE
(5) https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679
(6) https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_de
(7) https://ec.europa.eu/commission/presscorner/detail/de/ip_21_3183
(8) https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:62014CJ0362&from=DE
(9) https://ec.europa.eu/germany/news/20210604-datentransfers-eu_de