Summary DSK-Papier Nr. 4: Datenübermittlung in Drittländer

Knowledge Base der Datenbeschützerin

Auf den Punkt gebracht: Datenübermittlung in Drittländer

Auf den Punkt gebracht: Datenübermittlung in Drittländer
  • Als Drittländer gelten alle nicht EU-Staaten. Es wird zwischen sicheren und unsicheren Drittstaaten unterschieden. In sichere Drittländer ist die Datenübermittlung gestattet.
  • Folgende Möglichkeiten erlauben die Übertragung der Daten in ein Drittland: Angemessenheitsbeschluss liegt vor (sicheres Drittland), Es liegen geeignete Garantien für den Datenversand vor (Verhaltensregeln, Vertragsklauseln…)
  • Die Übertragung ist ebenfalls gestattet, wenn eine Einwilligung des Betroffenen vorliegt, die Verarbeitung für die Vertragserfüllung notwendig ist oder ein zwingendes berechtigtes Interesse vorliegt.


Ist die Datenübermittlung überhaupt noch zulässig? Wenn ja, was müssen Sie bei den Sicherheitsmaßnahmen und den Nachweisen beachten? Das DSK-Papier Nr. 4 gibt Antwort auf diese Fragen.

Wann dürfen Daten ins Drittland übermittelt werden?

Prüfen Sie in zwei Schritten, ob Sie Daten in ein Nicht-EU Land übertragen dürfen.

1. Prüfungsschritt

Prüfen Sie, ob alle Anforderungen der DSGVO erfüllt sind. Beachten Sie an dieser Stelle noch nicht die Anforderungen des Art. 45 ff. DSGVO (Datenübermittlung in ein Drittland).

Das heißt, Sie prüfen, ob Ihr Verfahren, in Ihrem eigenen Land, also in der EU überhaupt zulässig wäre. Am besten beginnen Sie dabei beim Verfahrensverzeichnis und prüfen, ob Risiken für den Betroffenen bestehen.

2. Prüfungsschritt

Ihr Verfahren ist datenschutzkonform? Dann kann es weiter gehen. Im nächsten Schritt prüfen Sie, ob Sie die Anforderungen der Drittlandübertragung (Art. 45 ff. DSGVO) erfüllen. Was das genau bedeutet, wird im folgenden Beitrag näher erläutert.

Welche Möglichkeiten des Datentransfers gibt es?

Angemessenheitsbeschluss der Kommission (Art. 45 DSGVO)

  • Die EU-Kommission kann ein Drittland durch einen Beschluss zu einem „sicheren Drittland“ erklären
  • Der Beschluss bzw. die Feststellung kann sich auch nur auf Gebiete/Regionen beziehen und auch auf bestimmte Datenkategorien beschränkt werden
  • liegt ein Angemessenheitsbeschluss vor, so wird keine weitere Genehmigung seitens der Aufsichtsbehörde benötigt
  • vor der DSGVO erlassene Angemessenheitsbeschlüsse bestehen weiter

Vorliegen von geeigneten Garantien

Sofern der Verantwortliche bzw. Auftragsverarbeiter geeignete Garantien vorsieht, dürfen Die Daten in ein Drittland übermittelt werden. 

Folgende Garantien kommen in Betracht:

Verbindliche interne Datenschutzvorschriften (Art. 46 Abs. 2 lit. b, Art. 47 DSGVO) – Binding Corporate Rules (BCR)

  • Festlegung von Regelungen für den Umgang mit personenbezogenen Daten in Drittländer 
  • Die BCR sollten dem Niveau der DSGVO entsprechen
  • Die BCR sind für alle betreffenden Mitglieder verbindlich 
  • Den Betroffenen müssen ihre Rechte gewährt werden
  • Genehmigung der BCR erfolgt durch die zuständige Aufsichtsbehörde 

Standardschutzklauseln der Kommission / Aufsichtsbehörde (Art. 46 Abs. lit. c und d DSGVO)

  • keine Genehmigung seitens der Aufsichtsbehörde nötig, wenn Datenimporteur und -Exporteur Standardvertrag der Kommission schließen
  • Aufsichtsbehörden können ebenfalls Standardschutzklauseln entwerfen, welche durch die Kommission genehmigt werden

Anmerkung der Datenbeschützerin: Der Standardvertrag kann auf der Internetseite der Europäischen Kommission abgerufen werden. Dieser ist auch weiterhin gültig. 

Genehmigte Verhaltensregeln und genehmigter Zertifizierungsmechanismus (Art. 46 Abs. 2 lit. e und f DSGVO)

  • Art. 40 DSGVO: branchenspezifische Verhaltensregeln können legimitiert werden
  • Art. 42 DSGVO: Zertifizierungen können als rechtliche Grundlage für die Datenübermittlung dienen. Die Zertifizierung ist von der Aufsichtsbehörde zu genehmigen. 

Einzeln ausgehandelte Vertragsklausen (Art. 46 Abs. 3 DSGVO)

  • Individuelle Vertragsklauseln können die Datenübermittlung ermöglichen
  • Diese Vertragsklauseln sind von der Aufsichtsbehörde zu genehmigen

Rechte der Betroffenen

Stellen Sie immer sicher, dass den Betroffenen, unabhängig der oben genannten Garantie, ihre durchsetzbaren Rechte und Rechtsbehelfe eingeräumt werden. 

Welche Ausnahmefälle für die Datenübertragung in Drittstaaten (Art. 49 DSGVO) sind möglich?

Natürlich gibt es auch Ausnahmen, welche die oben genannten Möglichkeiten ersetzen. Das heißt, unabhängig der genannten Punkte, ist eine Übermittlung zulässig, wenn einer der folgenden Punkte zutrifft:

Einwilligung (Art. 49 Abs. 1 lit. a DSGVO)

Folgende Voraussetzungen müssen erfüllt sein:

  • Die Zweckbestimmung der Datenweitergabe ist gegeben
  • Hinweis und Aufklärung auf mögliche oder bestehende Risiken (z.B. kein angemessenes Datenschutzniveau im Empfängerland) ist erfolgt
  • Hinweis, dass Einwilligung jederzeit widerrufen werden kann, ist erfolgt

Anmerkung der Datenbeschützerin

Es ist empfehlenswert, wenn Sie die Voraussetzungen des Art. 7 DSGVO (Bedingungen für die Einwilligung) ebenfalls erfüllen.

Erforderlichkeit zur Vertragserfüllung (Art. 49 Abs. 1 lit. b und c)

  • Die Datenübermittlung ist zulässig, wenn es für die Vertragserfüllung mit der betroffenen Person oder
  • zum Abschluss / zur Erfüllung eines Vertrages im Interesse der betroffenen Person erforderlich ist

„Wesentlich ist hier jeweils die strikte Erforderlichkeit gerade dieser Datenübermittlung zur Erfüllung des Vertragszwecks.“

DSK Papier Nummer 4 – Seite 3 Punkt 3b)

Anmerkung der Datenbeschützerin

Die Erforderlichkeit ist dann gegeben, wenn es keine anderen „Wege“ gibt. Juristisch wird dies auch „mildere Mittel“ genannt. Sofern es Alternativen für die Datenübermittlung gibt, sind diese vorher auszuschöpfen.

Zwingendes berechtigtes Interesse (Art. 49 Abs. 1 UAbs. 2 S. 1)

Diese Anforderung ist vom Einzelfall abhängig. Zudem müssen weitere Voraussetzungen erfüllt sein:

  • Die Datenübermittlung erfolgt nicht wiederholt
  • Es betrifft nur eine begrenzte Anzahl von Personen 
  • Es handelt sich um kein überwiegend schutzwürdiges Interesse der betroffenen Personen
  • Gewährleistung geeigneter Garantien seitens des Verantwortlichen wird sichergestellt

Was ist das zwingende berechtigte Interesse?

  • Es hat ein herausgehobenes und eine besondere Bedeutung.
  • Die Übermittlung muss erforderlich im Sinne des berechtigten Interesses sein.
  • Es darf sich auf keine weitere Rechtsgrundlage (Vertrag, Einwilligung, gesetzliche Grundlage etc.) stützen.

Führen Sie eine Datenübermittlung aufgrund des berechtigten Interesses im absoluten Einzelfall durch? Dann müssen Sie die Aufsichtsbehörde und die betroffene Person in Kenntnis zu setzen. 

Anmerkung der Datenbeschützerin

Nach Aussage des DSK-Papiers trifft diese Ausnahme nur auf wenige Einzelfälle zu. Bitte prüfen Sie daher, ob andere Rechtsgrundlagen zutreffender sind.

Weitere Ausnahmefälle

Hier finden Sie eine Aufzählung, über weitere Ausnahmefälle, die jedoch in der Zusammenfassung nicht näher erläutert werden:

  • Wichtige Gründe des öffentlichen Interesses (Art. 49 Abs. 1 lit. d DSGVO) 
  • Verfolgung von Rechtsansprüchen (Art. 49 Abs. 1 lit. e DSGVO)
  • Schutz lebenswichtiger Interessen (Art. 49 Abs. 1 lit. f DSGVO)

Welche Staaten gelten als sichere Drittländer?

Staaten, für die die Europäische Kommission ein angemessenes Datenschutzniveau bestätigt hat, gelten als sichere Drittländer außerhalb der EU. Zum Stand 2018 fallen darunter folgende Staaten (alphabetisch):

  • Andorra
  • Argentinien
  • Kanada (kommerzielle Organisationen)
  • Färöer, Guernsey
  • Israel
  • Isle of Man
  • Jersey
  • Neuseeland
  • Schweiz
  • Uruguay
  • Japan
  • USA (Privacy Shield ist erforderlich beim Empfänger der Daten)
    Auf nachfolgender Internetseite kann geprüft werden, ob ein Unternehmen Privacy-Shield zertifiziert ist: https://www.privacyshield.gov/list

Beim EU-US Privacy Shield wurde die Angemessenheit des Datenschutzniveaus bei zertifizierten Unternehmen in den USA festgestellt.

Dürfen personenbezogene Daten zu Unternehmen in der Schweiz übertragen werden?

Die Schweiz wurde durch die Europäische Kommission als sicheres Drittland außerhalb der EU eingestuft. Aus diesem Grund dürfen personenbezogene Daten mit Unternehmen in der Schweiz ausgetauscht werden.

Die allgemeinen Anforderungen der DSGVO müssen natürlich erfüllt sein. Das heißt, ihr Verfahren, in dem Sie personenbezogene Daten verarbeiten, muss natürlich datenschutzkonform sein.

Fazit Datenbeschützerin

Der Art. 49 DSGVO vereinfacht die Datenübermittlung in Länder außerhalb der EU. Allerdings müssen Sie immer die strikte Erforderlichkeit beachten.

Sie sollten im immer im Einzelfall bei Kunden / Geschäftspartner überprüfen, ob eine Übermittlung in ein Drittland möglich ist. Diese Prüfung bzw. die Begründung der zulässigen Datenübermittlung sollten Sie z.B. im Verfahrensverzeichnis dokumentiert werden. 

Quellen:

Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz): https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_4.pdf

Der Hessische Beauftragte für Datenschutz und Informationssicherheit: https://datenschutz.hessen.de/datenschutz/internationales/angemessenheitsbeschlüsse

Hinweis: Es handelt es sich hier um eine Zusammenfassung des relevanten Inhalts seitens der Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.

Diesen Beitrag teilen

Wie hilfreich war der Artikel?
Danke!

Leave a reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.