Inhaltsverzeichnis
Auf den Punkt gebracht: Datenübermittlung in Drittländer
- Als Drittländer gelten alle nicht EU-Staaten. Es wird zwischen sicheren und unsicheren Drittstaaten unterschieden. In sichere Drittländer ist die Datenübermittlung gestattet.
- Folgende Möglichkeiten erlauben die Übertragung der Daten in ein Drittland: Angemessenheitsbeschluss liegt vor (sicheres Drittland), Es liegen geeignete Garantien für den Datenversand vor (Verhaltensregeln, Vertragsklauseln…)
- Die Übertragung ist ebenfalls gestattet, wenn eine Einwilligung des Betroffenen vorliegt, die Verarbeitung für die Vertragserfüllung notwendig ist oder ein zwingendes berechtigtes Interesse vorliegt.
Ist die Datenübermittlung überhaupt noch zulässig? Wenn ja, was müssen Sie bei den Sicherheitsmaßnahmen und den Nachweisen beachten? Das DSK-Papier Nr. 4 gibt Antwort auf diese Fragen.
Wann dürfen Daten ins Drittland übermittelt werden?
Prüfen Sie in zwei Schritten, ob Sie Daten in ein Nicht-EU Land übertragen dürfen.
1. Prüfungsschritt
Prüfen Sie, ob alle Anforderungen der DSGVO erfüllt sind. Beachten Sie an dieser Stelle noch nicht die Anforderungen des Art. 45 ff. DSGVO (Datenübermittlung in ein Drittland).
Das heißt, Sie prüfen, ob Ihr Verfahren, in Ihrem eigenen Land, also in der EU überhaupt zulässig wäre. Am besten beginnen Sie dabei beim Verfahrensverzeichnis und prüfen, ob Risiken für den Betroffenen bestehen.
2. Prüfungsschritt
Ihr Verfahren ist datenschutzkonform? Dann kann es weiter gehen. Im nächsten Schritt prüfen Sie, ob Sie die Anforderungen der Drittlandübertragung (Art. 45 ff. DSGVO) erfüllen. Was das genau bedeutet, wird im folgenden Beitrag näher erläutert.
Welche Möglichkeiten des Datentransfers gibt es?
Angemessenheitsbeschluss der Kommission (Art. 45 DSGVO)
- Die EU-Kommission kann ein Drittland durch einen Beschluss zu einem „sicheren Drittland“ erklären
- Der Beschluss bzw. die Feststellung kann sich auch nur auf Gebiete/Regionen beziehen und auch auf bestimmte Datenkategorien beschränkt werden
- liegt ein Angemessenheitsbeschluss vor, so wird keine weitere Genehmigung seitens der Aufsichtsbehörde benötigt
- vor der DSGVO erlassene Angemessenheitsbeschlüsse bestehen weiter
Vorliegen von geeigneten Garantien
Sofern der Verantwortliche bzw. Auftragsverarbeiter geeignete Garantien vorsieht, dürfen Die Daten in ein Drittland übermittelt werden.
Folgende Garantien kommen in Betracht:
Verbindliche interne Datenschutzvorschriften (Art. 46 Abs. 2 lit. b, Art. 47 DSGVO) – Binding Corporate Rules (BCR)
- Festlegung von Regelungen für den Umgang mit personenbezogenen Daten in Drittländer
- Die BCR sollten dem Niveau der DSGVO entsprechen
- Die BCR sind für alle betreffenden Mitglieder verbindlich
- Den Betroffenen müssen ihre Rechte gewährt werden
- Genehmigung der BCR erfolgt durch die zuständige Aufsichtsbehörde
Standardschutzklauseln der Kommission / Aufsichtsbehörde (Art. 46 Abs. lit. c und d DSGVO)
- keine Genehmigung seitens der Aufsichtsbehörde nötig, wenn Datenimporteur und -Exporteur Standardvertrag der Kommission schließen
- Aufsichtsbehörden können ebenfalls Standardschutzklauseln entwerfen, welche durch die Kommission genehmigt werden
Anmerkung der Datenbeschützerin: Der Standardvertrag kann auf der Internetseite der Europäischen Kommission abgerufen werden. Dieser ist auch weiterhin gültig.
Genehmigte Verhaltensregeln und genehmigter Zertifizierungsmechanismus (Art. 46 Abs. 2 lit. e und f DSGVO)
- Art. 40 DSGVO: branchenspezifische Verhaltensregeln können legimitiert werden
- Art. 42 DSGVO: Zertifizierungen können als rechtliche Grundlage für die Datenübermittlung dienen. Die Zertifizierung ist von der Aufsichtsbehörde zu genehmigen.
Update 08.2020: LDI NRW veröffentlicht Antragsformular und Checkliste für die Prüfung
Das LDI NRW veröffentlicht auf seiner Webseite das Antragsformular für die Genehmigung für die Verhaltensregeln. In diesem wird die Reichweite der Verhaltensregeln (Umfang, räumlicher Anwendungsbereich) und die inhaltlichen Voraussetzungen abgefragt.
Für die Vorbereitung auf die Prüfung stellt die Aufsichtsbehörde noch eine Checkliste zur Verfügung. Diese dienst als Arbeitshilfe und dient zur erleichterten Kommunikation mit der Aufsichtsbehörde.
Die bereits genehmigten Verhaltensregeln können hier eingesehen werden.
Einzeln ausgehandelte Vertragsklausen (Art. 46 Abs. 3 DSGVO)
- Individuelle Vertragsklauseln können die Datenübermittlung ermöglichen
- Diese Vertragsklauseln sind von der Aufsichtsbehörde zu genehmigen
Rechte der Betroffenen
Stellen Sie immer sicher, dass den Betroffenen, unabhängig der oben genannten Garantie, ihre durchsetzbaren Rechte und Rechtsbehelfe eingeräumt werden.
Welche Ausnahmefälle für die Datenübertragung in Drittstaaten (Art. 49 DSGVO) sind möglich?
Natürlich gibt es auch Ausnahmen, welche die oben genannten Möglichkeiten ersetzen. Das heißt, unabhängig der genannten Punkte, ist eine Übermittlung zulässig, wenn einer der folgenden Punkte zutrifft:
Einwilligung (Art. 49 Abs. 1 lit. a DSGVO)
Folgende Voraussetzungen müssen erfüllt sein:
- Die Zweckbestimmung der Datenweitergabe ist gegeben
- Hinweis und Aufklärung auf mögliche oder bestehende Risiken (z.B. kein angemessenes Datenschutzniveau im Empfängerland) ist erfolgt
- Hinweis, dass Einwilligung jederzeit widerrufen werden kann, ist erfolgt
Anmerkung der Datenbeschützerin
Es ist empfehlenswert, wenn Sie die Voraussetzungen des Art. 7 DSGVO (Bedingungen für die Einwilligung) ebenfalls erfüllen.
Erforderlichkeit zur Vertragserfüllung (Art. 49 Abs. 1 lit. b und c)
- Die Datenübermittlung ist zulässig, wenn es für die Vertragserfüllung mit der betroffenen Person oder
- zum Abschluss / zur Erfüllung eines Vertrages im Interesse der betroffenen Person erforderlich ist
„Wesentlich ist hier jeweils die strikte Erforderlichkeit gerade dieser Datenübermittlung zur Erfüllung des Vertragszwecks.“
DSK Papier Nummer 4 – Seite 3 Punkt 3b)
Anmerkung der Datenbeschützerin
Die Erforderlichkeit ist dann gegeben, wenn es keine anderen „Wege“ gibt. Juristisch wird dies auch „mildere Mittel“ genannt. Sofern es Alternativen für die Datenübermittlung gibt, sind diese vorher auszuschöpfen.
Zwingendes berechtigtes Interesse (Art. 49 Abs. 1 UAbs. 2 S. 1)
Diese Anforderung ist vom Einzelfall abhängig. Zudem müssen weitere Voraussetzungen erfüllt sein:
- Die Datenübermittlung erfolgt nicht wiederholt
- Es betrifft nur eine begrenzte Anzahl von Personen
- Es handelt sich um kein überwiegend schutzwürdiges Interesse der betroffenen Personen
- Gewährleistung geeigneter Garantien seitens des Verantwortlichen wird sichergestellt
Was ist das zwingende berechtigte Interesse?
- Es hat ein herausgehobenes und eine besondere Bedeutung.
- Die Übermittlung muss erforderlich im Sinne des berechtigten Interesses sein.
- Es darf sich auf keine weitere Rechtsgrundlage (Vertrag, Einwilligung, gesetzliche Grundlage etc.) stützen.
Führen Sie eine Datenübermittlung aufgrund des berechtigten Interesses im absoluten Einzelfall durch? Dann müssen Sie die Aufsichtsbehörde und die betroffene Person in Kenntnis zu setzen.
Anmerkung der Datenbeschützerin
Nach Aussage des DSK-Papiers trifft diese Ausnahme nur auf wenige Einzelfälle zu. Bitte prüfen Sie daher, ob andere Rechtsgrundlagen zutreffender sind.
Weitere Ausnahmefälle
Hier finden Sie eine Aufzählung, über weitere Ausnahmefälle, die jedoch in der Zusammenfassung nicht näher erläutert werden:
- Wichtige Gründe des öffentlichen Interesses (Art. 49 Abs. 1 lit. d DSGVO)
- Verfolgung von Rechtsansprüchen (Art. 49 Abs. 1 lit. e DSGVO)
- Schutz lebenswichtiger Interessen (Art. 49 Abs. 1 lit. f DSGVO)
Welche Staaten gelten als sichere Drittländer?
Staaten, für die die Europäische Kommission ein angemessenes Datenschutzniveau bestätigt hat, gelten als sichere Drittländer außerhalb der EU. Zum Stand 2018 fallen darunter folgende Staaten (alphabetisch):
- Andorra
- Argentinien
- Kanada (kommerzielle Organisationen)
- Färöer, Guernsey
- Israel
- Isle of Man
- Jersey
- Neuseeland
- Schweiz
- Uruguay
- Japan
Update März 2021
Südkorea gilt zukünftig ebenfalls als sicheres Drittland für Datenübermittlungen. Aktuell wird das Verfahren zur Annahme des Angemessenheitsbeschlusses eingeleitet. Sobald das Verfahren abgeschlossen ist, wird die EU-Kommission diesen annehmen.
Dürfen personenbezogene Daten zu Unternehmen in der Schweiz übertragen werden?
Die Schweiz wurde durch die Europäische Kommission als sicheres Drittland außerhalb der EU eingestuft. Aus diesem Grund dürfen personenbezogene Daten mit Unternehmen in der Schweiz ausgetauscht werden.
Die allgemeinen Anforderungen der DSGVO müssen natürlich erfüllt sein. Das heißt, ihr Verfahren, in dem Sie personenbezogene Daten verarbeiten, muss natürlich datenschutzkonform sein.
Fazit Datenbeschützerin
Der Art. 49 DSGVO vereinfacht die Datenübermittlung in Länder außerhalb der EU. Allerdings müssen Sie immer die strikte Erforderlichkeit beachten.
Sie sollten im immer im Einzelfall bei Kunden / Geschäftspartner überprüfen, ob eine Übermittlung in ein Drittland möglich ist. Diese Prüfung bzw. die Begründung der zulässigen Datenübermittlung sollten Sie z.B. im Verfahrensverzeichnis dokumentiert werden.
Quellen:
Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz): https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_4.pdf
Der Hessische Beauftragte für Datenschutz und Informationssicherheit: https://datenschutz.hessen.de/datenschutz/internationales/angemessenheitsbeschlüsse
Europäische Kommission, Erklärung vom 30.03.2021: https://ec.europa.eu/commission/presscorner/detail/de/statement_21_1506
Hinweis: Es handelt es sich hier um eine Zusammenfassung des relevanten Inhalts seitens der Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.