Internationale Datentransfers: DSGVO-Compliance in der globalen Cloud

Internationale Übermittlungen personenbezogener Daten — jede Übertragung personenbezogener Daten in ein Land oder eine internationale Organisation außerhalb des Europäischen Wirtschaftsraums (EWR) — werden durch Kapitel V der EU-Datenschutz-Grundverordnung (DSGVO, Artikel 44–49) geregelt. Eine Übermittlung darf nur stattfinden, wenn das Zielland von einem Angemessenheitsbeschluss profitiert (Artikel 45) oder wenn der Exporteur geeignete Garantien wie Standardvertragsklauseln (SCCs — Kommissionsbeschluss 2021/914), Binding Corporate Rules (BCRs) oder ein Transfer Impact Assessment (TIA) implementiert, das einen gleichwertigen Schutz bestätigt. Das EU-US Data Privacy Framework (Kommissionsbeschluss 2023/1795) bietet derzeit eine Angemessenheitsgrundlage für Transfers an zertifizierte US-Organisationen. Das Schrems-II-Urteil des EuGH (Rechtssache C-311/18, Juli 2020) hat das frühere Privacy Shield für ungültig erklärt und erfordert eine Einzelfallbewertung der Rechtssysteme von Drittländern für alle auf Standardvertragsklauseln basierenden Transfers.

Die Globalisierung von Technologiediensten hat internationale Übermittlungen personenbezogener Daten zur täglichen Realität für die große Mehrheit spanischer Unternehmen gemacht, unabhängig von ihrer Größe. Die Nutzung eines beliebigen US-Cloud-Dienstes, einer CRM-Plattform, eines Analysetools oder einer Verwaltungssoftware mit Servern außerhalb des EWR umfasst internationale Transfers, die durch Kapitel V der DSGVO geregelt werden. Das Problem ist, dass viele Organisationen diese Transfers ohne gültige Garantien durchführen — und ohne es zu wissen.

Das Erbe von Schrems II

Das Schrems-II-Urteil des EuGH war ein Wendepunkt, dessen volle Auswirkungen von der spanischen Unternehmensgemeinschaft noch nicht vollständig verarbeitet wurden. Die Ungültigerklärung des Privacy Shield und die Anforderung, ein Transfer Impact Assessment durchzuführen, um zu überprüfen, ob Standardvertragsklauseln im Zielland praktisch wirksam sind, verwandelten eine relativ unkomplizierte Übung in eine komplexere rechtliche und technische Analyse. Unternehmen, die einfach die Standardvertragsklauseln von 2021 in ihre Anbieterverträge kopiert haben, ohne das entsprechende TIA durchzuführen, sind weiterhin nicht compliant.

Die Standardvertragsklauseln von 2021 führten modulare Klauseln ein, die vier Verarbeitungsszenarien abdecken (Verantwortlicher zu Verantwortlichem, Verantwortlicher zu Auftragsverarbeiter, Auftragsverarbeiter zu Verantwortlichem und Auftragsverarbeiter zu Auftragsverarbeiter) und ersetzen die drei früheren Klauselsätze. Diese strukturelle Änderung bedeutet, dass Organisationen, die ihre internationalen Transferverträge überprüfen, nicht nur sicherstellen müssen, dass neue Standardvertragsklauseln vorhanden sind, sondern dass für jede spezifische Transferbeziehung das richtige Modul und Addendum verwendet wird.

Was das Audit offenbart

Die vollständige Kartierung internationaler Transfers ist der unverzichtbare Ausgangspunkt. In unserer Erfahrung identifizieren Organisationen typischerweise 30 bis 50 Prozent mehr Transfers, als sie anfangs annahmen: Unterauftragsverarbeiter, die der Hauptanbieter in Drittländern einsetzt, technische Support-Tools mit Fernzugriff von außerhalb des EWR oder Backup-Lösungen in nicht-europäischen Cloud-Regionen, die der Anbieter standardmäßig aktiviert. Jeder dieser Datenflüsse erfordert eine eigene Garantie — Unterauftragsverarbeiter-Transfers sind durch die Standardvertragsklauseln des Hauptverarbeiters nur dann abgedeckt, wenn diese Klauseln ausdrücklich die Unterauftragsvergabe genehmigen und gleichwertige Pflichten in der gesamten Kette auferlegen.

Für multinationale Gruppen sind Binding Corporate Rules die strukturelle Lösung, die es ermöglicht, gruppeninterne Transfers kohärent zu verwalten, ohne mit jeder Gruppengesellschaft separat Standardvertragsklauseln abschließen zu müssen. Das Genehmigungsverfahren ist komplex, aber das Ergebnis ist ein rechtlich robustes Instrument, das von allen europäischen Aufsichtsbehörden anerkannt wird. In einem Kontext, in dem die regulatorische Compliance zunehmend ein Wettbewerbsdifferenzierungsmerkmal ist, ist ein prüffähiges und dokumentiertes internationales Transfersystem ein echter Vorteil in Due-Diligence-Verfahren und institutionellen Kundenbeziehungen.