Datenverkehr mit Drittstaaten
Der Transfer von personenbezogenen Daten in sog. Drittstaaten (dh Länder außerhalb der EU) ist nach der DSGVO (und im Übrigen auch nach DSG 2000) nur unter besonderen Voraussetzungen zulässig. Es soll sichergestellt werden, dass die personenbezogenen Daten im Empfängerland „gleich sicher“ sind, wie in der EU.
Am Ende des Artikels finden Sie eine CHECK-LISTE zur Übermittlung von personenbezogenen Daten ins EU-Ausland zum Download.
1. Was ist eine Übermittlung iSd DSGVO.
Das Übermitteln ist eine Weiterleitung der Daten vom Verantwortlichen an einen Empfänger (dh anderen Verantwortlichen oder einen Auftragsverarbeiter des Verantwortlichen).
Einer Übermittlung an einen Empfänger in einem Drittland ist die Übermittlung an eine internationale Organisation gleichgestellt.
2. Was ist ein „Drittland“
Drittland ist jeder Staat, das kein Mitgliedsstaat der EU ist.
3. Welche Möglichkeiten der rechtlich zulässigen Übermittlung an einen Empfänger in einem Drittland gibt es, ohne die Datenschutzbehörde (DSB) befassen zu müssen.
3.1. Angemessenheitsbeschluss:
Die EU-Kommission kann Staaten definieren, bei denen sie davon ausgeht, dass das Niveau im Datenschutzrecht „angemessen“ ist, sodass eine Übermittlung unter den gleichen Bedingungen wie an Empfänger in einem EU-Staat zulässig ist.
Die bisherigen Angemessenheitsbeschlüsse nach der Datenschutzrichtlinie bleiben aufrecht, und daher sind Übermittlungen in folgende Länder ohne weitere Schritte zulässig:
Länder des EWR: Norwegen, Island, Liechtenstein sowie Andorra, Argentinien, Färöer Inseln, Guernsey, Insel Man, Israel, Jersey, Kanada, Neuseeland, Schweiz und Uruguay
Die Übermittlung an Empfänger in den USA hängt davon ab, ob der Empfänger dem EU-US-Privacy Shield unterliegt, dh sich selbst dazu verpflichtet hat.
3.2. Standarddatenschutzklauseln
Auch bisher war es möglich, mit sog. Standardvertragsklauseln („standard contract clauses“), die von der EU-Kommission veröffentlicht wurden, und zB auch auf der Archiv-Website der DSB zugänglich sind.
Mit 25.05.2018 ist die Übermittlung aufgrund sog. Standarddatenschutzklauseln („standard data protection clauses“), die von der EU-Kommission erlassen werden (siehe Art 46 Abs 2 lit c DSGVO) zulässig. Diese wurden bis dato (Stand: 19.05.2018) noch nicht veröffentlicht, sodass auf die Standardvertragsklauseln zurückgegriffen werden muss.
3.3. Einzelgenehmigung durch eine DSB
Art 46 Abs 3 lit a DSGVO sieht dies vor, dass die DSB konkrete Vertragsklauseln, die zwischen dem Verantwortlichen oder dem Auftragsverarbeiter und dem Verantwortlichen, dem Auftragsverarbeiter oder dem Empfänger der personenbezogenen Daten im Drittland oder der internationalen Organisation vereinbart wurden, genehmigen kann. Auch das kann als Grundlage für den internationalen Datenverkehr herangezogen werden.
3.4. rechtlich bindendes Dokument zwischen Behörden und öffentlichen Stellen
Art 46 Abs 2 lit a DSGVO sieht dies vor.
3.5. verbindliche interne Datenschutzvorschriften:
Unternehmensgruppen haben die Möglichkeit gem. Art 47 sog. „verbindliche interne Datenschutzvorschriften“ (binding corporate rules) den Datenschutzbehörden im Kohärenzverfahren vorzulegen. Diese Reglungen müssen einen bestimmten Inhalt haben, und schaffen gewissermaßen ein „unternehmensweites Datenschutzniveau“, das sich auch auf Unternehmen außerhalb der EU auswirkt.
Die DSB wird für die Prüfung dieser BCR jedoch einige Zeit in Anspruch nehmen, da dies zwischen den beteiligten Aufsichtsbehörden abzustimmen ist.
3.5. von der DSB angenommen Standarddatenschutzklauseln
Es besteht auch die Möglichkeit, dass eine DSB separat Standarddatenschutzklauseln „annimmt“, und diese werden dann von der EU-Kommission im Rahmen eins Prüfverfahrens genehmigt.
3.6. Übermittlung nach genehmigten Verhaltensregeln oder genehmigten Zertifizierungsmechanismus
Auch in diesen beiden Rechtsinstrumenten, die jeweils von der DSB genehmigt sein müssen, können Bestimmungen zum internationalen Datenverkehr enthalten sein, die eine derartige Übermittlung zulässig machen.
4. Weitere Möglichkeiten / Ausnahmen
4.1. ausdrückliche Einwilligung der betroffenen Personen (Art 49 Abs 1 lit a DSGVO)
Betroffene Personen können – nach Information über die Risiken – einer Übermittlung ausdrücklich zustimmen.
Voraussetzung dafür ist, dass die Person über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde.
4.2. Notwendigkeit zur Vertragserfüllung / -anbahnung mit der betroffenen Person (Art 49 Abs 1 lit b DSGVO)
Wenn ein Vertrag zwischen dem Verantwortlichen und der betroffenen Person (oder eine vorvertragliche Maßnahme auf Initiative der betroffenen Person) macht die Übermittlung erforderlich.
4.3. Notwendigkeit zur Vertragserfüllung, sofern der Vertrag im Interesse der betroffenen Person liegt (Art 49 Abs 1 lit c DSGVO)
Wenn die Übermittlung zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einer anderen natürlichen oder juristischen Person geschlossenen Vertrags erforderlich ist, dann ist die Übermittlung ebenfalls zulässig.
4.4. Rechtsansprüche (Art 49 Abs 1 lit e DSGVO)
Es ist zulässig, personenbezogene Daten in ein Drittland zu übermitteln, wenn dies zur Geltendmachung, Ausübung oder zur Verteidigung von Rechtsansprüchen erforderlich ist.
4.5. lebenswichtiges Interesse (Art 49 Abs 1 lit f DSGVO)
Das lebenswichtige Interesse der betroffenen Person oder anderer Personen kann es erforderlich machen, dass personenbezogene Daten übermittelt werden. Dies ist zulässig, sofern die betroffene Person aus physischen oder rechtlichen Gründen außerstande ist, in diesen Vorgang einzuwilligen.
4.6. öffentliches Interesse (Art 49 Abs 1 lit d DSGVO) / Registerdaten (Art 49 Abs 1 lit g DSGVO)
Wenn die Übermittlung aus wichtigen Gründen des öffentlichen Interesses notwendig ist oder die Übermittlung aus einem Register erfolgt, das nach dem Recht der Union oder der Mitgliedstaaten zur Information der Öffentlichkeit bestimmt ist, dann ist dies ebenfalls zulässig.
5. nicht wiederholte Drittlandsübermittlung / begrenzte Anzahl von Personen (Art 49 Abs 1 lt. Satz)
Übermittlungen, die als nicht wiederholt erfolgend gelten können und nur eine begrenzte Zahl von betroffenen Personen betreffen, könnten auch zur Wahrung der zwingenden berechtigten Interessen des Verantwortlichen möglich sein, sofern die Interessen oder Rechte und Freiheiten der betroffenen Person nicht überwiegen und der Verantwortliche sämtliche Umstände der Datenübermittlung geprüft hat, und der Verantwortliche alle Umstände der Datenübermittlung beurteilt und auf der Grundlage dieser Beurteilung angemessene Garantien in Bezug auf den Schutz personenbezogener Daten vorgesehen hat. Der Verantwortliche muss die DSB von der Übermittlung informieren. Die zwingenden berechtigten Interessen sind zusätzlich zu den Informationen nach den Artikeln 13 und 14 offenzulegen.
Kommentar schreiben