Summary DSK-Papier Nr. 4: Datenübermittlung in Drittländer

Inhaltsverzeichnis

Auf den Punkt gebracht: Datenübermittlung in Drittländer

Als Drittländer gelten alle nicht EU-Staaten. Es wird zwischen sicheren und unsicheren Drittstaaten unterschieden. In sichere Drittländer ist die Datenübermittlung gestattet.
Folgende Möglichkeiten erlauben die Übertragung der Daten in ein Drittland: Angemessenheitsbeschluss liegt vor (sicheres Drittland), Es liegen geeignete Garantien für den Datenversand vor (Verhaltensregeln, Vertragsklauseln…)
Die Übertragung ist ebenfalls gestattet, wenn eine Einwilligung des Betroffenen vorliegt, die Verarbeitung für die Vertragserfüllung notwendig ist oder ein zwingendes berechtigtes Interesse vorliegt.

Ist die Datenübermittlung überhaupt noch zulässig? Wenn ja, was müssen Sie bei den Sicherheitsmaßnahmen und den Nachweisen beachten? Das DSK-Papier Nr. 4 gibt Antwort auf diese Fragen.

Wann dürfen Daten ins Drittland übermittelt werden?

Prüfen Sie in zwei Schritten, ob Sie Daten in ein Nicht-EU Land übertragen dürfen.

1. Prüfungsschritt

Prüfen Sie, ob alle Anforderungen der DSGVO erfüllt sind. Beachten Sie an dieser Stelle noch nicht die Anforderungen des Art. 45 ff. DSGVO (Datenübermittlung in ein Drittland).

Das heißt, Sie prüfen, ob Ihr Verfahren, in Ihrem eigenen Land, also in der EU überhaupt zulässig wäre. Am besten beginnen Sie dabei beim Verfahrensverzeichnis und prüfen, ob Risiken für den Betroffenen bestehen.

2. Prüfungsschritt

Ihr Verfahren ist datenschutzkonform? Dann kann es weiter gehen. Im nächsten Schritt prüfen Sie, ob Sie die Anforderungen der Drittlandübertragung (Art. 45 ff. DSGVO) erfüllen. Was das genau bedeutet, wird im folgenden Beitrag näher erläutert.

Welche Möglichkeiten des Datentransfers gibt es?

Angemessenheitsbeschluss der Kommission (Art. 45 DSGVO)

Die EU-Kommission kann ein Drittland durch einen Beschluss zu einem „sicheren Drittland“ erklären
Der Beschluss bzw. die Feststellung kann sich auch nur auf Gebiete/Regionen beziehen und auch auf bestimmte Datenkategorien beschränkt werden
liegt ein Angemessenheitsbeschluss vor, so wird keine weitere Genehmigung seitens der Aufsichtsbehörde benötigt
vor der DSGVO erlassene Angemessenheitsbeschlüsse bestehen weiter

Vorliegen von geeigneten Garantien

Sofern der Verantwortliche bzw. Auftragsverarbeiter geeignete Garantien vorsieht, dürfen Die Daten in ein Drittland übermittelt werden.

Folgende Garantien kommen in Betracht:

Verbindliche interne Datenschutzvorschriften (Art. 46 Abs. 2 lit. b, Art. 47 DSGVO) – Binding Corporate Rules (BCR)

Festlegung von Regelungen für den Umgang mit personenbezogenen Daten in Drittländer
Die BCR sollten dem Niveau der DSGVO entsprechen
Die BCR sind für alle betreffenden Mitglieder verbindlich
Den Betroffenen müssen ihre Rechte gewährt werden
Genehmigung der BCR erfolgt durch die zuständige Aufsichtsbehörde

Standardschutzklauseln der Kommission / Aufsichtsbehörde (Art. 46 Abs. lit. c und d DSGVO)

keine Genehmigung seitens der Aufsichtsbehörde nötig, wenn Datenimporteur und -Exporteur Standardvertrag der Kommission schließen
Aufsichtsbehörden können ebenfalls Standardschutzklauseln entwerfen, welche durch die Kommission genehmigt werden

Anmerkung der Datenbeschützerin: Der Standardvertrag kann auf der Internetseite der Europäischen Kommission abgerufen werden. Dieser ist auch weiterhin gültig.

Genehmigte Verhaltensregeln und genehmigter Zertifizierungsmechanismus (Art. 46 Abs. 2 lit. e und f DSGVO)

Art. 40 DSGVO: branchenspezifische Verhaltensregeln können legimitiert werden
Art. 42 DSGVO: Zertifizierungen können als rechtliche Grundlage für die Datenübermittlung dienen. Die Zertifizierung ist von der Aufsichtsbehörde zu genehmigen.

Update 08.2020: LDI NRW veröffentlicht Antragsformular und Checkliste für die Prüfung

Das LDI NRW veröffentlicht auf seiner Webseite das Antragsformular für die Genehmigung für die Verhaltensregeln. In diesem wird die Reichweite der Verhaltensregeln (Umfang, räumlicher Anwendungsbereich) und die inhaltlichen Voraussetzungen abgefragt.

Für die Vorbereitung auf die Prüfung stellt die Aufsichtsbehörde noch eine Checkliste zur Verfügung. Diese dienst als Arbeitshilfe und dient zur erleichterten Kommunikation mit der Aufsichtsbehörde.

Die bereits genehmigten Verhaltensregeln können hier eingesehen werden.

Einzeln ausgehandelte Vertragsklausen (Art. 46 Abs. 3 DSGVO)

Individuelle Vertragsklauseln können die Datenübermittlung ermöglichen
Diese Vertragsklauseln sind von der Aufsichtsbehörde zu genehmigen

Rechte der Betroffenen

Stellen Sie immer sicher, dass den Betroffenen, unabhängig der oben genannten Garantie, ihre durchsetzbaren Rechte und Rechtsbehelfe eingeräumt werden.

Welche Ausnahmefälle für die Datenübertragung in Drittstaaten (Art. 49 DSGVO) sind möglich?

Natürlich gibt es auch Ausnahmen, welche die oben genannten Möglichkeiten ersetzen. Das heißt, unabhängig der genannten Punkte, ist eine Übermittlung zulässig, wenn einer der folgenden Punkte zutrifft:

Einwilligung (Art. 49 Abs. 1 lit. a DSGVO)

Folgende Voraussetzungen müssen erfüllt sein:

Die Zweckbestimmung der Datenweitergabe ist gegeben
Hinweis und Aufklärung auf mögliche oder bestehende Risiken (z.B. kein angemessenes Datenschutzniveau im Empfängerland) ist erfolgt
Hinweis, dass Einwilligung jederzeit widerrufen werden kann, ist erfolgt

Anmerkung der Datenbeschützerin

Es ist empfehlenswert, wenn Sie die Voraussetzungen des Art. 7 DSGVO (Bedingungen für die Einwilligung) ebenfalls erfüllen.

Erforderlichkeit zur Vertragserfüllung (Art. 49 Abs. 1 lit. b und c)

Die Datenübermittlung ist zulässig, wenn es für die Vertragserfüllung mit der betroffenen Person oder
zum Abschluss / zur Erfüllung eines Vertrages im Interesse der betroffenen Person erforderlich ist

„Wesentlich ist hier jeweils die strikte Erforderlichkeit gerade dieser Datenübermittlung zur Erfüllung des Vertragszwecks.“
DSK Papier Nummer 4 – Seite 3 Punkt 3b)

Anmerkung der Datenbeschützerin

Die Erforderlichkeit ist dann gegeben, wenn es keine anderen „Wege“ gibt. Juristisch wird dies auch „mildere Mittel“ genannt. Sofern es Alternativen für die Datenübermittlung gibt, sind diese vorher auszuschöpfen.

Zwingendes berechtigtes Interesse (Art. 49 Abs. 1 UAbs. 2 S. 1)

Diese Anforderung ist vom Einzelfall abhängig. Zudem müssen weitere Voraussetzungen erfüllt sein:

Die Datenübermittlung erfolgt nicht wiederholt
Es betrifft nur eine begrenzte Anzahl von Personen
Es handelt sich um kein überwiegend schutzwürdiges Interesse der betroffenen Personen
Gewährleistung geeigneter Garantien seitens des Verantwortlichen wird sichergestellt

Was ist das zwingende berechtigte Interesse?

Es hat ein herausgehobenes und eine besondere Bedeutung.
Die Übermittlung muss erforderlich im Sinne des berechtigten Interesses sein.
Es darf sich auf keine weitere Rechtsgrundlage (Vertrag, Einwilligung, gesetzliche Grundlage etc.) stützen.

Führen Sie eine Datenübermittlung aufgrund des berechtigten Interesses im absoluten Einzelfall durch? Dann müssen Sie die Aufsichtsbehörde und die betroffene Person in Kenntnis zu setzen.

Anmerkung der Datenbeschützerin

Nach Aussage des DSK-Papiers trifft diese Ausnahme nur auf wenige Einzelfälle zu. Bitte prüfen Sie daher, ob andere Rechtsgrundlagen zutreffender sind.

Weitere Ausnahmefälle

Hier finden Sie eine Aufzählung, über weitere Ausnahmefälle, die jedoch in der Zusammenfassung nicht näher erläutert werden:

Wichtige Gründe des öffentlichen Interesses (Art. 49 Abs. 1 lit. d DSGVO)
Verfolgung von Rechtsansprüchen (Art. 49 Abs. 1 lit. e DSGVO)
Schutz lebenswichtiger Interessen (Art. 49 Abs. 1 lit. f DSGVO)

Welche Staaten gelten als sichere Drittländer?

Staaten, für die die Europäische Kommission ein angemessenes Datenschutzniveau bestätigt hat, gelten als sichere Drittländer außerhalb der EU. Zum Stand 2018 fallen darunter folgende Staaten (alphabetisch):

Andorra
Argentinien
Kanada (kommerzielle Organisationen)
Färöer, Guernsey
Israel
Isle of Man
Jersey
Neuseeland
Schweiz
Uruguay
Japan

Update März 2021

Südkorea gilt zukünftig ebenfalls als sicheres Drittland für Datenübermittlungen. Aktuell wird das Verfahren zur Annahme des Angemessenheitsbeschlusses eingeleitet. Sobald das Verfahren abgeschlossen ist, wird die EU-Kommission diesen annehmen.

Dürfen personenbezogene Daten zu Unternehmen in der Schweiz übertragen werden?

Die Schweiz wurde durch die Europäische Kommission als sicheres Drittland außerhalb der EU eingestuft. Aus diesem Grund dürfen personenbezogene Daten mit Unternehmen in der Schweiz ausgetauscht werden.

Die allgemeinen Anforderungen der DSGVO müssen natürlich erfüllt sein. Das heißt, ihr Verfahren, in dem Sie personenbezogene Daten verarbeiten, muss natürlich datenschutzkonform sein.

Fazit Datenbeschützerin

Der Art. 49 DSGVO vereinfacht die Datenübermittlung in Länder außerhalb der EU. Allerdings müssen Sie immer die strikte Erforderlichkeit beachten.

Sie sollten im immer im Einzelfall bei Kunden / Geschäftspartner überprüfen, ob eine Übermittlung in ein Drittland möglich ist. Diese Prüfung bzw. die Begründung der zulässigen Datenübermittlung sollten Sie z.B. im Verfahrensverzeichnis dokumentiert werden.

Quellen:

Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz): https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_4.pdf

Der Hessische Beauftragte für Datenschutz und Informationssicherheit: https://datenschutz.hessen.de/datenschutz/internationales/angemessenheitsbeschlüsse

Europäische Kommission, Erklärung vom 30.03.2021: https://ec.europa.eu/commission/presscorner/detail/de/statement_21_1506

DSK Kurzpapier Nr. 4 – Datenübermittlung Drittstaaten Herunterladen

Hinweis: Es handelt es sich hier um eine Zusammenfassung des relevanten Inhalts seitens der Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.