Ziel einfacher Datenexport: Zertifizierungen als Gütesiegel für den Datenschutz

Aufgrund der DSGVO ist der Datenexport ein schwieriges Thema, das viele Unternehmen umtreibt. Die neuen Leitlinien über Zertifizierungen sollen endlich helfen.

In Pocket speichern vorlesen Druckansicht 3 Kommentare lesen
Lesezeit: 4 Min.
Von
  • Arnd Böken
Inhaltsverzeichnis

Der Europäische Datenschutzausschuss (EDSA) hat am 14. Februar 2023 die Leitlinien über Zertifizierungen bei Datenexporten verabschiedet. Zertifizierungen können ein wichtiges Instrument werden, um Datenexporte in Staaten außerhalb Europas zu ermöglichen.

Datenexporte sind ein schwieriges Thema: Die Datenschutzgrundverordnung (DSGVO) sorgt für ein hohes Datenschutzniveau im Europäischen Wirtschaftsraum (EWR). Dieser Schutz würde beeinträchtigt, wenn Daten einfach exportiert werden können, damit sie in Ländern mit niedrigerem Datenschutzniveau verarbeitet werden. Aus diesem Grund errichtet die DSGVO hohe Schranken, wenn personenbezogene Daten in Länder außerhalb des EWR gesendet werden sollen.

Ein deutsches Unternehmen, das Güter exportiert, IT-Dienstleister beauftragt oder sonst mit Partnern außerhalb des EWR zusammenarbeitet, muss sorgfältig vorgehen, bevor es personenbezogene Daten an den ausländischen Partner senden kann. Wenn der Partner seinen Sitz in Großbritannien, der Schweiz oder Israel hat, ist die Lage ähnlich wie im EWR. Die EU-Kommission hat festgestellt, dass dort ein angemessenes Datenschutzniveau herrscht.

Wenn die Daten aber an einen Empfänger beispielsweise in Indien, Brasilien oder China gehen sollen, gilt dies nicht. Dann muss der deutsche Datenexporteur prüfen, wie die Daten im Zielstaat verarbeitet werden, welche Rechtsvorschriften gelten, wie die Rechtspraxis ist, welche Zugriffsmöglichkeiten die dortigen Behörden haben und welche vertraglichen, technischen und organisatorischen Sicherheitsmaßnahmen der Empfänger der Daten im Bestimmungsland ergriffen hat.

Eine solche Prüfung ist schon für Großkonzerne kompliziert. Es ist aufwendig, sich mit Datenschutzgesetzen wie dem Personal Information Protection Law (PIPL) in China, dem Entwurf des Digital Personal Data Protection Bill in Indien oder dem LGPD in Brasilien zu befassen. Gerade für Mittelständler kann dies schwierig werden. Manche verzichten daher auf ganz auf den Datenexport oder verlassen sich auf unbelegte Zusagen ihrer Datenempfänger.

Für solche Fälle greift nun die Zertifizierung ein. Die DSGVO ermöglicht Zertifizierungen beim Datenexport. Beispielsweise kann ein IT-Dienstleister aus Mumbai von einem deutschen Zertifizierer prüfen lassen, ob die Daten dort ausreichend geschützt sind. Die Zertifizierung wirkt dann wie ein Gütesiegel.

In der Praxis des Datenschutzes hat die Zertifizierung bisher allerdings noch keine große Bedeutung. Für den Bereich des Datenexports könnte sich dies in Zukunft ändern. Die neuen Leitlinien des Europäischen Datenschutzausschusses geben nunmehr vor, wie eine solche Zertifizierung auszusehen hat. Dazu gehört beispielsweise eine genaue Prüfung der Gesetzgebung und der Rechtspraxis in Drittstaaten wie Indien, Brasilien und China. Ergibt die Prüfung, dass die Rechtslage für sich allein keinen ausreichenden Schutz gewährt, sind zusätzliche Maßnahmen zum Schutz erforderlich. Hier ist es dann Aufgabe des Zertifizierers, die Umsetzung der Maßnahmen zu prüfen und dies zu bestätigen. Gerade diese Prüfung ist ein wichtiger Teil der Zertifizierung.

Der Zertifizierer wird auch prüfen, welche Pflichten der Datenimporteur übernommen hat. Weiter prüft er, welche Rechte die Betroffenen – also die Personen, deren Daten exportiert werden – durchsetzen können. Hier hilft es, wenn sich beispielsweise ein Datenimporteur in Indien mit einem Gerichtsstand in Deutschland einverstanden erklärt hat. Wichtig für die Prüfung ist auch, ob der deutsche Betroffene die Möglichkeit hat, sich bei einer Datenschutzbehörde im Drittstaat zu beschweren.

Für einen wichtigen Bereich des Datenexports werden die Leitlinien zunächst einmal keine Bedeutung haben: für die USA. Hier haben sich EU-Kommission und US-Regierung auf gesonderte Regelungen verständigt. Die EU-Kommission bereitet gerade den Angemessenheitsbeschluss vor. Dieser wird voraussichtlich noch 2023 erlassen. US-Unternehmen werden eher auf dieser Basis vorgehen und nicht die Zertifizierung in Deutschland suchen.

iX Newsletter: Monatlich spannende Hintergründe zur neuen Ausgabe

Kennen Sie schon den kostenlosen iX-Newsletter? Jetzt anmelden und monatlich zum Erscheinungsdatum nichts verpassen: heise.de/s/NY1E In der nächsten Ausgabe geht's ums Titelthema der März-iX: Phishing-sicheres Login mit Passkeys.

Für Unternehmen aus Staaten wie Indien, China oder Brasilien, genauso wie Südafrika, Vietnam oder Indonesien ist die Zertifizierung aber ein wichtiges Instrument, um den Datentransfer aus Europa heraus zu ermöglichen – sie erleichtert ihn erheblich. Für die Praxis ist es wichtig, dass sich nunmehr viele Zertifizierer für den Bereich Datenexport akkreditieren lassen und dann viele Unternehmen in diesen Drittstaaten die Möglichkeiten ergreifen, dieses Gütesiegel zu erhalten.

(fo)