Art 49 Abs 1 lit a DSGVO erlaubt es, dass Datenübermittlungen in Drittländer auf eine ausdrückliche Einwilligung gestützt werden kann.
Ist das ein tauglicher Ausweg für Datenübermittlungen in die USA?
Art 49 DSGVO befindet sich in Kapitel V der DSGVO, dh im Kapitel, das sich mit Datenübermittlungen an Empfänger in Drittländern oder internationale Organisationen beschäftigt.
Die Überschrift "Ausnahmen" definiert auch den Anwendungsbereich.
Art 49 Abs 1 lit a DSGVO erlaubt die Datenübermittlung (ohne Angemessenheitsbeschluss oder geignete Garantien) bei einer ausdrücklichen Einwilligung der betroffenen Personen, wobei diese Einwilligung die allgemeinen Voraussetzungen des Art 7 DSGVO (freiwillig, informiert und jederzeit widerrufbar) zu erfüllen hat.
Diese (ausdrückliche) Einwilligung kann eine betroffene Person nur erteilen, wenn sie über die Risken, die für sie durch diese Datenübermittlung ohne ausreichendes Schutzniveau im Empfängerland bestehen, unterrichtet wurde.
Der EDSA hat in der Stellungnahme vom 24.7.2020 auch auf die alternative Möglichkeit der Datenübermittlung auf Basis der Einwilligung Bezug genommen, und ausgeführt:
8) Can I rely on one of the derogations of Article 49 GDPR to transfer data to the U.S.?
8) Kann ich mich noch immer auf die Ausnahmen des Art. 49 DSGVO zur Übermittlung von Daten in die USA berufen?
It is still possible to transfer data from the EEA to the U.S. on the basis of derogations foreseen in Article 49 GDPR provided the conditions set forth in this Article apply. The EDPB refers to its guidelines on this provision.
Es ist noch immer möglich, personenbezogene Daten aus dem EWR in die USA auf Basis der Ausnahmen, die in Art 49 vorgesehen sind, zu übermitteln. Dies setzt voraus, dass die Bedingungen, die in diesem Artikel normiert werden, erfüllt sind. Der EDSA verweist auch in den Leitlinien 2/2018 zu den Ausnahmen nach Artikel 49 der Verordnung 2016/679 angenommen am 25. Mai 2018, S.3 darauf
In particular, it should be recalled that when transfers are based on the consent of the data subject, it should be:
Im Speziellen sollte man sich in Erinnerung rufen, dass Übermittlungen, die auf einer Einwilligung der betroffenen Person, diese Einwilligung wie folgt sein muss:
explicit,
ausdrücklich
specific for the particular data transfer or set of transfers (meaning that the data exporter must make sure to obtain specific consent before the transfer is put in place even if this occurs after the collection of the data has been made), and
für den konkreten Fall der Datenübermittlung oder Serien von Übermittlungen (das bedeutet, dass der Datenexporteur sicherstellen muss, dass die konkrete Einwilligung vor der Übermittlung vorliegt, und zwar auch dann, wenn die Datenerhebung bereits erfolgt ist) und
informed, particularly as to the possible risks of the transfer (meaning the data subject should also informed of the specific risks resulting from the fact that their data will be transferred to a country that does not provide adequate protection and that no adequate safeguards aimed at providing protection for the data are being implemented).
informiert, insbes. in Bezug auf die potentiellen Risken der Übermittlung (das bedeutet, dass die betroffene Person auch über die spezifisichen Risken, die sich aus der Tatsache ergeben, dass die Daten in ein Land übermittelt werden, das kein ausreichendes Schutzniveau sicherstellt, und keine angemessenen Garantien implementiert sind, die auf den Schutz der Daten abzielen).
Festzuhalten ist in diesem Zusammenhang, dass in der Literatur die Meinung vertreten wird, dass die ausdrückliche Einwilligung des Art 49 Abs 1 lit a DSGVO nicht für dauerhafte und strukturierte Übermittlungen in Drittländer genutzt werden kann, sondern nur dann eine taugliche Grundlage darstellt, wenn es sich um nicht wiederholte Übermittlungen handelt, in die im Anlassfall eingewilligt wurde.
"Im Einklang mit den Grundsätzen des Europäischen Rechts6 sind die Ausnahmen deshalb restriktiv auszulegen, damit die Ausnahme nicht zur Regel wird. Diese Sichtweise wird auch vom Wortlaut des Titels des Artikels 49 gestützt, wonach die Ausnahmeregelungen nur in bestimmten Fällen Anwendung finden („Ausnahmen für bestimmte Fälle“)." (EDSA, Leitlinen 2/2018 zu Art 49 DSGVO, S. 4)
Der EDSA weist in den Leitlinien 2/2018 zu Art 49 DSGVO auch darauf hin, dass in ErwG 111 der Begriff "gelegentlich" und auch der Terminus "nicht wiederholt" iZhgm der Ausnahme nach Art 49 Abs 1 Unterabsatz 2 verwendet werden.
Auch die Ausnahmen, die nicht ausdrücklich auf "gelegentliche" oder "nicht wiederholte Übermittlungen" beschränkt sind, so auch die Ausnahme auf Basis der ausdrücklichen Einwilligung iSd Art 49 Abs 1 lit a DSGVO, sind so auszulegen, dass die Anwendung dieser (tauglichen) Rechtsgrundlage nicht gegen das Wesen einer Ausnahme verstößt.
Es handelt sich um eine Ausnahme von der Regel (Angemessenheitsbeschluss, ausreichende Garantien, Binding Coroprate Rules, Zerifizierungsmechanismus - wobei immer ein angemessenes Schutzniveau für die betroffenen Personen im Zielland vom Verantwortlichen sicherzustellen ist).
Die Anwendung dieser (Ausnahme-)Möglichket durch den Verantwortlichen kann bzw. darf nicht dazu führen, diese Ausnahmemöglichkeit für dauerhafte und laufende Übermittlungen zu nutzen, und personenbezogene Daten laufend an Empfänger in Ländern mit fehlendem Schutzniveau übermittelt werden.
Dies wird auch dadurch deutlich, dass es zu einer Übermittlung ohne ausreichende Garantien bzw. ausreichendes Schutzniveau für die betroffene Person kommt. Dies kann nicht der Regelfall sein!
25.7.2020, Autor
Michael Schweiger, zert DSB
Kommentar schreiben
L (Donnerstag, 30 Juli 2020 11:55)
Sehr geehrter Herr Schweiger,
kurze Frage zu einem alten Thema: Mitarbeiter-Daten (Foto, Tätigkeit, Ausbildung, etc.) auf der Firmen-Website.
Sollten die Ausnahmen gemäß Artikel 49, wie Sie im Beitrag erwähnen, nicht für "dauerhafte Übermittlungen" verwendet werden dürfen, welche Rechtsgrundlage gibt es dann für die (weltweite) Veröffentlichung der Mitarbeiter-Daten auf der Firmen-Website?
Meiner Meinung nach stellt die Offenlegung von pB Daten auf einer Website die weltweit aufrufbar ist, eine „dauerhafte und laufende“ Übermittlung an eine Vielzahl von Empfängern in unsicheren Drittländern dar, und bedarf daher einer Ausnahme gemäß Artikel 49. Im Fall des Mitarbeiter-Profils kommt mM nur Art. 49.1.a, also die ausdrückliche Einwilligung in Frage. Wenn diese nun aber auch ungültig ist, wie kann die Veröffentlichung rechtmäßig gestaltet werden? Muss der Zugriff aus unsicheren Drittländern (inklusive den USA) verhindert werden? Wie handhaben Sie das mit Ihren Mitarbeitern?
Beste Grüße