Internationale Datentransfers Teil 4: Technische und organisatorische Maßnahmen

23. August 2024

Die Datenschutz-Grundverordnung (DSGVO) verpflichtet Unternehmen, geeignete technische und organisatorische Maßnahmen (TOM) zu ergreifen, um den Schutz personenbezogener Daten bei der Übermittlung in Drittländer zu gewährleisten. Diese Maßnahmen sollen das Risiko eines unbefugten Zugriffs, einer unbefugten Nutzung oder einer unbefugten Offenlegung personenbezogener Daten minimieren und sicherstellen, dass die Rechte des Einzelnen geachtet werden. 

Die allgemeinen Maßnahmen im Überblick (nicht abschließend)

Zu den technischen Maßnahmen gehört beispielsweise der Einsatz von Protokollen (Logging), Vorgaben für die Passwortvergabe und -komplexität und andere Sicherheitstechnologien, um personenbezogene Daten vor unbefugtem Zugriff oder Offenlegung zu schützen. So können Unternehmen beispielsweise personenbezogene Daten verschlüsseln, bevor sie sie an Drittländer übermitteln, und Firewalls einsetzen, um einen unbefugten Zugriff auf die Daten zu verhindern.  

Zu den organisatorischen Maßnahmen gehört die Umsetzung von Richtlinien und Verfahren, um den Schutz personenbezogener Daten zu gewährleisten. So können Unternehmen beispielsweise Zugangskontrollen einführen, um den Zugriff auf personenbezogene Daten einzuschränken, und von ihren Mitarbeitern verlangen, dass sie Vertraulichkeitsvereinbarungen zum Schutz personenbezogener Daten unterzeichnen. 

Eine der wichtigsten organisatorischen Maßnahmen ist die Verwendung von Standarddatenschutzklauseln, die von der Europäischen Kommission erlassen wurden. Diese Klauseln bieten einen Rahmen für den Schutz personenbezogener Daten bei der Übermittlung in Drittländer und sollen ein angemessenes Schutzniveau für die Rechte und Freiheiten des Einzelnen gewährleisten. 

Eine weitere wichtige Maßnahme sind verbindliche unternehmensinterne Datenschutzregelungen (Binding Corporate Rules – BCR), die von Unternehmen erlassen werden, um ein angemessenes Schutzniveau bei der Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe zu gewährleisten.  

Die in Artikel 46 DSGVO vorgesehenen Übermittlungsinstrumente umfassen in erster Linie geeignete vertragliche Garantien, die für alle Drittländer einheitlich angewendet werden können. Aufgrund der besonderen Gegebenheiten in dem Drittland, in das die Daten übermittelt werden, kann es jedoch erforderlich sein, dass der Datenexporteur diese Übermittlungsinstrumente durch zusätzliche Maßnahmen ergänzt, um ein im Wesentlichen gleichwertiges Schutzniveau zu gewährleisten. 

Zusätzlich zu diesen Maßnahmen sollten Verantwortliche eine Risikobewertung (Transfer Impact Assessment) durchführen, um die potenziellen Risiken für die Rechte und Freiheiten natürlicher Personen bei der Übermittlung personenbezogener Daten in Drittländer zu bewerten. Auf der Grundlage der Ergebnisse dieser Bewertung, sollten die Unternehmen gegebenenfalls zusätzliche Maßnahmen ergreifen, um die festgestellten Risiken zu mindern. 

Privacy by Design und Privacy by Default 

Um auch bei Drittstaatenübermittlungen den Grundsätzen des Datenschutzes durch Technik und durch datenschutzfreundliche Voreinstellungen im Allgemeinen zu entsprechen, sind gemäß Art. 32 Abs. 1 DSGVO u.a. folgende Maßnahmen zu ergreifen: 

  • Pseudonymisierung und Verschlüsselung personenbezogener Daten 
  • dauerhafte Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung 
  • Verfügbarkeit der personenbezogenen Daten 
  • Wiederherstellung des Zugangs zu den personenbezogenen Daten bei einem physischen oder technischen Zwischenfall 
  • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen.

Weitere technische Maßnahmen meistens notwendig 

Behörden in Drittländern können auf verschiedene Weise versuchen, auf die übermittelten Daten zuzugreifen:

  • Während der Übermittlung, indem die Behörden auf die Kommunikationsleitungen zugreifen, die für die Übermittlung der Daten ins Empfängerland verwendet werden. Dieser Zugriff kann passiv erfolgen, z. B, indem die Kommunikationsinhalte, möglicherweise nachdem eine Auswahl getroffen wurde, einfach kopiert werden. Es kann sich aber auch um einen aktiven Zugriff handeln, indem sich die Behörden aktiv in den Kommunikationsprozess einschalten und den Inhalt nicht nur lesen, sondern ihn auch manipulieren oder zum Teil unterdrücken;  
  • Während sich die Daten im Besitz des vorgesehenen Datenempfängers befinden, indem die Behörden entweder auf die Verarbeitungseinrichtungen selbst zugreifen oder aber den Datenempfänger dazu anhalten, die Daten zu finden und die Daten, die für die Behörden interessant sind, zu extrahieren und herauszugeben. 

Weitere Maßnahmen sind insbesondere dann erforderlich, wenn das Regime des betreffenden Drittlandes dem Datenimporteur Verpflichtungen auferlegt, die in Widerspruch zu den genannten Garantien der Übermittlungsinstrumente in Artikel 46 DSGVO stehen. 

Situationen, für die sich nach den Empfehlungen des Europäischen Datenschutzausschusses (ab Seite 27) effektive Maßnahmen finden ließen

  • Datenspeicherung zu Backup- und anderen Zwecken, die nicht den Zugang zu unverschlüsselten Daten erfordern 
  • Übermittlung pseudonymisierter Daten 
  • Verschlüsselte Daten im Transit durch Drittländer 
  • Geschützter Empfänger 
  • Aufgeteilte Verarbeitung oder Verarbeitung durch mehrere Beteiligte (Multi-party Processing) 

Situationen, für die sich keine wirksamen Maßnahmen finden ließen

  • Übermittlung an Cloud-Service-Anbieter oder andere Verarbeiter, die Zugang zu unverschlüsselten Daten benötigen 
  • Datenfernzugriff zu Geschäftszwecken 

Fazit 

Zusammenfassend lässt sich sagen, dass die DSGVO sowie die Rechtsprechung des Europäischen Gerichtshofes von Unternehmen verlangt, geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung in Drittländer zu treffen. Unternehmen sollten sicherstellen, dass sie diese Anforderungen erfüllen, um die personenbezogenen Daten von Einzelpersonen zu schützen und deren Rechte zu achten.  

Vertragliche und organisatorische Maßnahmen allein werden im Allgemeinen nicht genügen, dem Zugriff staatlicher Stellen des Drittlands auf personenbezogene Daten entgegenzuwirken. Es wird Situationen geben, insbesondere wenn der Zugriff zu Überwachungszwecken erfolgt, in denen es nur mit technischen Maßnahmen möglich ist, den Zugriff staatlicher Stellen im Drittland auf personenbezogene Daten zu verhindern. In diesen Situationen können vertragliche oder organisatorische Maßnahmen die technischen Maßnahmen ergänzen und das Datenschutzniveau insgesamt erhöhen. Zum Beispiel indem sie es staatlichen Stellen erschweren, auf Daten in einer Weise zuzugreifen, die nicht den Standards des Unionsrechts entspricht. 

Rückblick auf diese Beitragreihe

In den vergangenen Teilen der Reihe über die Grundlagen zu Internationalen Datentransfers wurden Standardvertragsklauseln, das Transfer Impact Assessment und Datenübermittlungen vorbehaltlich geeigneter Garantien nach Art. 46 DSGVO behandelt. Wenn ein neuer Beitrag auf unserem Blog erscheint, erfahren sie dies stets auf X.

Die Einhaltung internationaler Datenschutzstandards stellt Unternehmen vor große Herausforderungen. Wir helfen Ihnen bei der Einhaltung von Compliance-Regeln – Fordern Sie noch heute Ihr Angebot bei uns an.