Datenschutz & DSGVO: Sichere Länder außerhalb der EU – Neuer Versuch mit den USA | Podcast

sind-meine-daten-im-ausland-sicher-datenschutz

Datenschutz & DSGVO: Sichere Länder außerhalb der EU – Neuer Versuch mit den USA | Podcast

  • Dezember 2022: EU-Kommission will für USA Angemessenheitsbeschluss erreichen, aber Justiz sieht Rechtsbruch
  • Juni 2021: Südkorea ganz normal sicher und UK wieder sicher, aber mit Verfallsdatum 2025 (Grund: Brexit)
  • USA unsicher seit Mitte 2020: Privacy Shield ist tot
  • Podcast-Kommentar zum Geschehen und aktuellen Stand des Datenschutz (folgend zum Anhören und Download)

Für den Austausch personenbezogener Daten außerhalb der Europäischen Union gibt es den sogenannten Angemessenheitsbeschluss. Dieser regelt, welche Nicht-EU-Länder einen EU-adäquaten (oder sogar besseren?) Datenschutz umsetzen. Für welche Länder gilt das aber?

Angemessenheitsbeschluss: Wann ist ein Land sicher?

Was muss alles erfüllt sein, damit die Europäische Kommission einen Angemessenheitsbeschluss (engl. adequacy decision) ausstellt?

  1. ein Vorschlag durch die Europäische Kommission
  2. ein Gutachten durch den Europäischen Datenschutzausschuss (European Data Protection Board)
  3. Zustimmung durch Vertreter der EU-Mitgliedsländer
  4. Umsetzung des Beschlusses durch die Europäische Kommission

Datenschutz mit der EU: Welche Länder sind sichere Länder?

Für den Austausch personenbezogener Daten außerhalb der Europäischen Union gibt es den sogenannten Angemessenheitsbeschluss. Dieser regelt, welche Nicht-EU-Länder einen EU-adäquaten Datenschutz umsetzen.

Nach dem Angemessenheitsbeschluss der Europäischen Kommission (engl. adequacy decision) sind das:

  • Andorra,
  • Argentinien,
  • Kanada (nur kommerzielle Organisationen),
  • Färöer-Inseln,
  • Guernsey,
  • Israel,
  • Isle of Man,
  • Japan,
  • Jersey (Insel),
  • Neuseeland,
  • Schweiz,
  • Südkorea,
  • Uruguay,
  • Vereinigtes Königreich (befristet bis 2025),
  • Vereinigte Staaten von Amerika (nur für Mitglieder des Privacy-Shield-Abkommens) (seit Juli 2020 nicht mehr)

Aufgrund ihres Status als Teil des Europäischen Wirtschaftsraums (EWR) sind die folgenden Länder automatisch sichere Länder beim Datenschutz:

  • Norwegen,
  • Liechtenstein,
  • Island
  • (die Schweiz, in gewissen Umfang)

Eine aktuelle Übersicht finden Sie auch bei SocialMediaStatistik.de, wo meine Seite mal Quelle sein durfte:

Infografik Social Media Statistik zum Thema datenschutz europaeische union adequacy decision

Chronik sicherer und unsicherer Länder:

Dezember 2022

Die US-Regierung und die EU-Kommission einigen sich auf bestimmte Punkte im Rahmen des sog. Data Privacy Framework, dem Nachfolger des Privacy-Shield-Abkommens (2020 vom EuGH gekippt) und dem Safe-Harbor-Abkommen (2015 vom EuGH gekippt).

Auch der neue Anlauf steht unter keinem guten Stern: 

Press corner

Highlights, press releases and speeches

Juni 2021: Südkorea jetzt dabei

Die EU-Kommission gab am 30. März bekannt, dass die Gespräche mit Südkorea abgeschlossen seien und Europäische Kommission nun das Verfahren zur Annahme ihrer Angemessenheitsfeststellung einleiten wird.

Dazu muss sie eine Stellungnahme des Europäischen Datenschutzausschusses (EDPB) und grünes Licht von einem Ausschuss einholen, der sich aus Vertretern der EU-Mitgliedstaaten zusammensetzt. Sobald dieses Verfahren abgeschlossen ist, wird die Kommission den Angemessenheitsbeschluss für die Republik Korea erlassen. Das ist im Juni 2021 passiert – Südkorea gilt jetzt als sicheres Datenschutzland gemäßg Angemessenheitsbeschluss der EU-Kommission.

Juni 2021: Vereinigtes Königreich wieder sicher, aber mit Verfallsdatum?

Seit Juni 2021 gilt UK wieder als sicher, aber nur für vier Jahre. Jeglicher Datenaustausch mit dem Vereinigten Königreich ist aktuell nur sicher bis Juni 2025.

Die Europäische Kommission hat zuvor, im Februar 2021 einen Entwurf für einen Angemessenheitsbeschluss veröffentlicht, nach dem personenbezogene Daten im Vereinigten Königreich einen mit dem Europäischen Datenschutzrecht vergleichbaren Schutz genießen.

Damit soll der Datenaustausch zwischen der EU und dem Vereinigten Königreich künftig ohne weitere Genehmigungen möglich werden. Der Entscheidungsentwurf bedarf noch der Zustimmung durch die Mitgliedstaaten der Europäischen Union.

Ohne diesen Beschluss würde ein Datenstau mit massiven wirtschaftlichen Folgen drohen. Die Kooperationen zwischen EU-Unternehmen und Unternehmen im Vereinigten Königreich sind essenziell für die internationale Datenökonomie und die Wettbewerbsfähigkeit europäischer Unternehmen. Großkonzerne, Mittelständler und Startups in Deutschland und Europa gleichermaßen tauschen Daten mit Standorten auf der Insel aus. Gerade bei Cloud-Diensten sowie im Wartungs- und Kundenservice setzen viele Unternehmen aus der EU auf britische Dienstleister.

2020: USA haben keinen sicheren Datenschutz

Bereits 2015 hat Max Schrems vor Gericht nachgewiesen, dass die USA kein sicheres Drittland für den Datenschutz sind. Der damalige Jura-Student aus Österreich hat vor dem Europäischen Gerichtshof (EuGH) geklagt und damit erwirkt, dass das Safe-Harbor-Abkommen gekippt wird (Schrems I).

2020, fünf Jahre später, hat der jetzt fertig studierte Anwalt und Datenschutzaktivist Max Schrems das neue Abkommen Privacy Shield ebenfalls erfolgreich vom EuGH kassieren lassen (Schrems II), denn:

  • Privacy Shield benachteilige europäische Nutzer, so der EuGH
  • Überwachungsgesetze (Patriot Act etc.), die nach dem 11. September 2001 erlassen wurden, erlauben Spionage von europäischen Nutzern
  • Der Ombudsmannmechanismus, durch den US-Organisationen greifbar werden sollen für europäische Nutzer, funktioniert nicht gut genug
    uvm.

Deswegen sind Datenübertragungen in die USA seit Mitte 2020 eigentlich illegal – doch die rechtliche Situation ist in der Praxis sehr unsicher. Die meisten Unternehmen und auch einige Behörden machen bislang, um es salopp zu formulieren, einfach weiter wie gehabt. Es herrscht einiges an Unsicherheit.

2019: Japan sicheres Drittland im Datenschutz

Seit 23. Januar 2019 zählt Japan zu den sicheren Drittländern. Will ein Unternehmen, Behörde, öffentliche Stelle oder sonstige Organisation also Daten mit einer Organisation in Japan austauschen, sind keine umständlichen Verträge und Prüfungen mehr nötig (empfehlen tue ich sie dennoch!).

Nicht-EU: Welche Länder haben sich an Europa orientiert?

Hier ist es schwierig andere Länder in Einklang zu bringen, denn obwohl vielleicht die Datenschutzgesetze ähnlich sind, können die grundlegenden Rechtstraditionen komplett andere sein. Auch gilt für keines dieser Länder ein Angemessenheitsbeschluss der EU.

Die wichtigsten und mit der DSGVO vergleichbaren Gesetze in Ländern außerhalb der EU sind:

Island, Liechtenstein und Norwegen: DSGVO/GDPR

Nicht wundern: Die DSGVO (engl. GDPR für General Data Protection Regulation) gilt auch in Nicht-EU-Staaten, die aber zum Europäischen Wirtschaftsraum (EWR; engl. EEA für European Economic Area) gehören.

Diese Länder sind:

  • Island,
  • Liechtenstein und
  • Norwegen

Kalifornien: CCPA

Der California Consumer Privacy Act (CCPA; übersetzt: Gesetz zur Verbraucher-Privatsphäre in Kalifornien) legt einen Fokus auf Verbraucherrechte. Gültig seit 1. Januar 2020 wird er durch die kalifornische Staatsanwaltschaft umgesetzt und reguliert, wie mit den persönlichen Daten von Menschen (Cookies, IP-Adressen, biometrische Informationen etc.) umgegangen werden soll.

Der CCPA wird häufig als fast vergleichbar mit der DSGVO eingeordnet; ist jedoch nur ein Bundesstaatengesetz und kann von der US-Bundesverwaltung überstimmt werden. Damit ist Kalifornien schlussendlich leider kein sicherer Staat als die gesamten USA.

Brasilien: LGPD

Das Allgemeine Gesetz zum Datenschutz LGPD (portugiesisch: Lei Geral de Proteção de Dados; engl. Brazilian General Data Protection Act) ist seit 2020 in Kraft reguliert die LGPD sowohl private (Unternehmen) als auch öffentliche (Behörden) Datenverarbeitung. Die Rolle gemäß dem LGPD als Verantwortlicher oder Auftragsverarbeiter ist dieselbe wie gemäß der DSGVO.

Die LGPD ist sehr vergleichbar mit der DSGVO, was ihre Inhalte angeht. Strafzahlungen werden in Brasilien erst ab August 2021 durchgeführt.

Weitere Informationen: Brasilien macht jetzt in DSGVO: Was Sie wissen müssen zur LGPD

Japan (APPI), Südafrika (POPI), Australien etc.

Das japanische Datenschutzgesetz APPI (engl. Act on the Protection of Personal Information; deutsch: Gesetz zum Schutz persönlicher Informationen) trat 2004 in Kraft und wurde zuletzt 2015 reformiert und gilt mit den Änderungen seit 2017 (Download als PDF). Durch den Angemessenheitsbeschluss der EU von 2019 gilt das japanische APPI als vergleichbar zum Datenschutz in der EU, also als vergleichbar mit der DSGVO.

Im Protection of Personal Information Act (POPI) in Südafrika (unterzeichnet 2013) werden Datenschutzverstöße geahndet. Die meisten Teile des Gesetzes sind seit 1. Juli 2020 gültig; die restlichen Teile werden nach dem 30. Juni 2021 gültig.

In Australien gibt es verschiedene Datenschutzgesetzt und -Standards. Der Privacy Act von 1988 markierte den Start und wurde mehrmals aktualisiert und erweitert; darunter auch 2018 im Licht der DSGVO. Seit 2018 müssen manche Unternehmen nach dem sog. „Notifiable Data Breaches“-Schema Meldung machen, seit 2017 gilt außerdem das „Consumer Data Right“ (CDR; deutsch: Verbrauche-Daten-Recht), welches in etwa dem europäischen Recht auf Datenherausgabe laut DSGVO entspricht. Jeder Nutzer kann also jederzeit seine bei einem Anbieter gespeicherten Daten abfragen und erhalten. Verstöße werden von der Australian Competition and Consumer Commission (ACCC; deutsch: Australische Wettbewerbs- und Verbraucher-Kommission) untersucht und können Strafen bis zu 10 Millionen AUD (australische Dollar) nach sich ziehen. Der australische Datenschutzbeauftragte – Office of the Australian Information Commissioner (OAIC) – ist für die generelle Aufsicht zuständig.

Datenschutz vs. Datensicherheit im Ausland

So ein Vergleich ist immer schwierig, denn unabhängig vom Datenschutz muss ein Unternehmen auch Datensicherheit bieten. Der Unterschied ist recht simpel: Datenschutz ist rechtlich, Datensicherheit ist technisch.

Für den technischen Schutz (also Verschlüsselungsalgorithmen für Software, Bewachung oder sonstige Sicherung von physischen Server-Zentren) gibt es keinen allgemeinen Standard. Die ISO/IEC 27001 kommt am ehesten an einen gültigen Datensicherheitsstandard heran. Die ISO-Norm beschäftigt sich damit, wie Informationssicherheit und ein Managementsystem zur Informationssicherheit aufgestellt werden muss.

Internationale Verträge, Abkommen oder Gesetze zur Datensicherheit existieren jedoch nicht – zumindest nicht in der gleichen Form wie zum Datenschutz.

Hören & Download

Und was nun? Unsere Angebote:

DER Datenschutzbeauftragte: Christian Allner ist Experte in Datenschutzrecht und Datenschutzpraxis, beruflich qualifiziert und unabhängig. Seit 2013 führt er regelmäßig Weiterbildungen zu Datenschutz und Datensicherheit durch und coacht Unternehmen. Kontaktieren Sie gern uns oder beauftragen Sie uns direkt hier. Wir helfen Ihnen weiter:

 

Comments: 1

  1. Michael Meren says:

    Spannender Beitrag, danke. Wir haben in unserer Firma gerade so einen Fall. Das Unternehmen ist aus Urugay und wir wussten nicht ob die okay sind.

Comments are closed.


© 2024 DER Datenschutzbeauftragte » Website durch Agentur Schrift-Architekt.de - Social Media und Websites aus Mitteldeutschland | Imprint and Legal Notice | Data Privacy Statement