Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Datenübermittlung

Die Datenübermittlung umfasst die Übermittlung personenbezogener Daten eines für die Verarbeitung Verantwortlichen ins inner- und außereuropäische Ausland.

➜ Rechtsgrundlagen der Datenübermittlung

Privacy Shield 2.0

Können die USA ein „angemessenes Schutzniveau“ für personenbezogene Daten gewährleisten? „Ja“ – sagt inzwischen die Europäische Kommission. Nach langen Verhandlungen hat sie den Entwurf für ein neues Datenschutzabkommen mit den USA veröffentlicht und das Verfahren für den Privacy Shield 2.0 eingeleitet.

Auftragsverarbeitung

Wer EU-Tochterfirmen zumeist amerikanischer Cloud- und IT-Service­provider einsetzt, muss einige datenschutzrechtliche Fragen beantworten. Lesen Sie, welche aktuellen Entwicklungen es gibt und worauf Datenschutzbeauftragte (DSB) achten müssen.

Entwurf der EU-Kommission

Die EU-Kommission hat am 13.12. ihren Entwurf für einen An­ge­mes­sen­heits­be­schlus­s für den trans­at­lan­ti­schen Da­ten­schutz­rah­men veröffentlicht. Lesen Sie hier eine deutsche Übersetzung des Textes.

DP+
Was kommt nach Privacy Shield? Unternehmen in den USA und der EU warten dringend auf ein nachfolgendes Datenschutzabkommen.
Bild: Oleksii Liskonih / iStock / Getty Images Plus
Datenübermittlung in die USA

US-Präsident Biden hat eine Anordnung getroffen, die den Forderungen des EuGH aus seiner Schrems-II-Entscheidung entgegenkommen soll. Was genau besagt diese Executive Order?

US-Präsident Joe Biden hat ein Dekret unterzeichnet und den Weg freigemacht für einen Privacy Shield 2.0. Datenschützer äußern sich bereits kritisch.
Bild: Marc Bruxelle / iStock / Getty Images Plus
Privacy Shield 2.0

Ist das der Durchbruch für ein neues Datenschutzabkommen zwischen der Europäischen Union und den USA? Regierungen und Unternehmen hoffen es, Datenschutzaktivisten bezweifeln es – sicher ist im Moment nur: US-Präsident Joe Biden hat ein Dekret unterzeichnet und den Weg freigemacht für einen Privacy Shield 2.0.

Internationaler Datenverkehr

Nutzt Ihr Unternehmen noch die „alten“ Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Länder außerhalb der Europäischen Union (EU) bzw. des Europäischen Wirtschaftsraums (EWR)? Dann sollten Sie bald aktiv werden – denn Ende des Jahres werden diese Klauseln ungültig.

Übergreifende Gehaltsdatenbank

Über Beteiligungen, teils sehr verschachtelter Art, sind auch viele kleinere Unternehmen in Konzernstrukturen eingebunden. Geht es dann darum, für bestimmte Projekte Personaldaten auszutauschen, ist manches nicht erlaubt, was auf den ersten Blick sinnvoll erscheint.

Risikobasierter Ansatz für Datenübermittlung in Drittländer? Nein, sagt die österreichische Datenschutzbehörde DSB und lehnt dies ganz klar ab!
Bild: Lazy_Bear / iStock / Getty Images Plus
Datenübermittlung in Drittländer

Dürfen Unternehmen auf einen „risikobasierten Ansatz“ setzen, wenn es um die Übermittlung von personenbezogenen Daten in die USA geht? Nein, sagt die österreichische Datenschutzbehörde DSB. Sie lehnt diesen Ansatz ganz klar ab.

Das Projekt „EU Data Boundary for the Microsoft Cloud“

Auch wenn Microsoft Rechenzentren in der EU betreibt, können US-­amerikanische Behörden das Unternehmen zwingen, Daten herauszugeben. Microsoft will gegensteuern, kann dies aber nur begrenzt. Wir geben in diesem Beitrag einen Überblick zum aktuellen Stand.

Die Verwendung von Google Analytics ist illegal. Der beliebte Statistikdienst verstößt mit der Datenübermittlung in die USA gegen die DSGVO.
Bild: Bohdan Skrypnyk / iStock / Getty Images Plus
online-Datenschutz

Verstößt Google Analytics gegen die Europäische Datenschutz-Grundverordnung (DSGVO)? In vielen Fällen ja – sagen die österreichische Datenschutzbehörde DSB und die französische Datenschutzbehörde CNIL. Denn der beliebte Statistikdienst übermittelt in einer bestimmten Umsetzung personenbezogene Daten aus der EU in die USA.

2 von 4

Bei der Datenübermittlung ins Ausland lassen sich zwei Fallkategorien unterscheiden, für die unterschiedliche rechtliche Grundlagen gelten.

1. Datenübermittlung innerhalb der EU, auch zwischen verschiedenen Mitgliedstaaten

Die Rechtsgrundlagen ergeben sich aus Art. 6 DSGVO. Nach Art 4 Nr. 2 DSGVO fällt die Offenlegung durch Übermittlung unter den Begriff der Verarbeitung.

Das umfasst das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten, durch eine Weitergabe an einen Dritten oder durch Einsicht in oder Abruf von dafür bereitgehaltene(n) Daten.

Letzteres schließt den Zugriff im Rahmen von Wartungstätigkeiten ein.

2. Datenübermittlung in Drittländer

Rechtliche Grundlagen leiten sich ab von Kapitel 5 mit Art. 44 DSGVO (Allgemeine Grundsätze) und den Erwägungsgründen 101–102, Art. 45 DSGVO (Datenübermittlung – Angemessenheitsbeschluss) mit den Erwägungsgründen 103–107, Art. 46 DSGVO (Datenübermittlung – geeignete Garantien) mit den Erwägungsgründen 108–109, Art. 48 DSGVO (nicht zulässige Übermittlung oder Offenlegung) mit dem Erwägungsgrund 115, Art. 49 DSGVO (Ausnahmen) mit den Erwägungsgründen 111–115 und Art. 50 DSGVO (Internationale Zusammenarbeit) mit dem Erwägungsgrund 116.

Für die Datenübermittlung ins Ausland bedarf es bei Übermittlungen in einen europäischen Mitgliedsstaat nach Art. 6 DSGVO einer Rechtsgrundlage, die

  • nach Abs. 1 Buchstabe a durch eine Einwilligung der betroffenen Person besteht oder
  • nach Abs. 1 Buchstabe b zur Vertragserfüllung erforderlich ist oder
  • nach Abs. 1 Buchstabe c zur Erfüllung rechtlicher Verpflichtungen erforderlich ist oder
  • nach Abs. 1 Buchstabe d zum Schutz lebenswichtiger Interessen erforderlich ist oder
  • nach Abs. 1 Buchstabe e zur Wahrnehmung einer Aufgabe im öffentlichen Interesse erforderlich ist oder
  • nach Abs. 1 Buchstabe f zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist sowie
  • nach Abs. 2 durch ergänzende nationale Vorschriften erwirkt werden kann.

Für alle Übermittlungen an Stellen, die nicht in den Geltungsbereich europäischen Rechts fallen, sind die Art. 44–50 DSGVO anzuwenden.

Art. 44 DSGVO regelt, dass Datenübermittlungen in ein Drittland oder an eine internationale Organisation durch einen Verantwortlichen oder einen Auftragsverarbeiter nur möglich sind, wenn sie alle Anforderungen aus Kapitel 5 sowie sonstige Regelungen der DSGVO einhalten. Sofern sie die Anforderungen nicht einhalten, unterbleibt die Übermittlung.

Angemessenheitsbeschlüsse

Art. 45 DSGVO ermöglicht es der Europäischen Kommission, Drittländern per Angemessenheitsbeschluss ein angemessenes Datenschutzniveau zu attestieren. In diesem Fall bedarf es keiner zusätzlichen Genehmigung.

Die aktuelle Liste dieser Drittländer ist abrufbar unter
https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en.

Geeignete Garantien

Gemäß Art. 46 Abs. 1 DSGVO ist eine Übermittlung in ein Drittland ohne von der Kommission attestiertes angemessenes Datenschutzniveau möglich, wenn geeignete Garantien vorhanden sind, die den betroffenen Personen die Durchsetzbarkeit ihrer Rechte und wirksame Rechtsbehelfe sicherstellen:

  • Nach Art. 46 Abs. 2 Buchstabe a DSGVO kann dies ein rechtlich bindendes und durchsetzbares Dokument zwischen den Behörden oder öffentlichen Stellen sein oder
  • nach Art. 46 Abs. 2 Buchstabe b DSGVO verbindliche interne Datenschutzvorschriften oder
  • nach Art. 46 Abs. 2 Buchstabe c DSGVO Standarddatenschutzklauseln, die von der Kommission verabschiedet wurden, sowie
  • nach Art. 46 Abs. 2 Buchstabe d DSGVO von einer Aufsichtsbehörde akzeptierte Standarddatenschutzklauseln,
  • nach Art. 46 Abs. 2 Buchstabe e DSGVO in Verbindung mit Art. 40 Abs. 3 DSGVO genehmigte Verhaltensregeln mit rechtsverbindlichen und durchsetzbaren Verpflichtungen oder
  • nach Art. 46 Abs. 2 Buchstabe f DSGVO in Verbindung mit Art. 42 Abs. 2 DSGVO genehmigte Zertifizierungsmechanismen.

Art. 46 Abs. 3 Buchstabe a und b DSGVO ermöglichen es Aufsichtsbehörden, mit Vertragsklauseln oder mit Bestimmungen zwischen Behörden der Verwaltung und Aufsichtsbehörden weitere Ausnahmen im Einzelfall zu treffen, wenn Nachweise zur Gewährleistung des Persönlichkeitsrechtschutzes erbracht werden und ein wirksamer Schutz garantiert wird.

Art. 47 Abs. 3 DSGVO ermöglicht auf Basis von verbindlichen internen Datenschutzvorschriften eine Übermittlung zu Unternehmen in einem Drittland innerhalb einer Unternehmensgruppe.

Art. 48 DSGVO enthält eine Sonderregelung für Fälle, in denen ein Gericht oder eine Behörde in einem Drittland eine Übermittlung personenbezogener Daten erzwingt. Diese darf nur durchgeführt werden, wenn eine internationale Übereinkunft oder ein Rechtshilfeabkommen besteht.

Ausnahmen für Datenübermittlungen

Ausnahmen für Datenübermittlungen in Länder ohne angemessenes Sicherheitsniveau, geeignete Garantien oder verbindliche interne Datenschutzvorschriften regelt Art. 49 DSGVO. So ist eine Übermittlung möglich, wenn beispielsweise

  • die Einwilligung der betroffenen Person (Art. 49 Abs. 1 Buchstabe a DSGVO) vorliegt,
  • die Übermittlung zur Erfüllung vertraglicher Verpflichtungen zwischen der betroffenen Person und dem Verantwortlichen bzw. für vorvertragliche Maßnahmen erforderlich ist (Art. 49 Abs. 1 Buchstabe b DSGVO),
  • die Übermittlung zum Abschluss oder zur Erfüllung vertraglicher Verpflichtungen erforderlich ist (Art. 49 Abs. 1 Buchstabe c DSGVO),
  • ein wichtiges öffentliches Interesse besteht (Art. 49 Abs. 1 Buchstabe d DSGVO),
  • die Übermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist (Art. 49 Abs. 1 Buchstabe e DSGVO),
  • lebenswichtige Interessen der betroffenen Person dies erfordern (Art. 49 Abs. 1 Buchstabe f DSGVO) oder
  • die Daten über ein öffentliches Register veröffentlicht werden (Art. 49 Abs. 1 Buchstabe g DSGVO).

Eine weitere mögliche Ausnahme besteht, wenn die Übermittlung einmalig mit Daten von wenigen betroffenen Personen auf Basis eines zwingenden berechtigten Interesses erforderlich ist, keine schutzwürdigen Interessen überwiegen, die Gesamtheit der Übermittlung sorgfältig beurteilt, dokumentierte Schutzmaßnahmen ergriffen und zusätzlich die Aufsichtsbehörde und die betroffenen Personen informiert wurden.

In der Vergangenheit lagen mit dem Safe-Harbor- und dem Privacy-Shield-Abkommen spezielle Instrumente für Datenübermittlungen in die USA vor. Die Inhalte der Abkommen, die ein vergleichbares Datenschutzniveau sicherstellen sollten, waren bei Datenschützern schon immer in der Kritik.

Das Schrems-II-Urteil des EuGH

Der Europäische Gerichtshof (EuGH) erklärte in der Vergangenheit das Safe-Harbor-Abkommen und am 16. Juli 2020 in der Rechtssache C-311/17 („Schrems II“) das Privacy-Shield-Abkommen für ungültig.

Begründet hat er dies damit, dass das US-Recht den dortigen Sicherheitsbehörden Befugnisse einräumt, die nicht mit der DSGVO zu vereinbaren sind, und dass damit kein angemessenes Datenschutzniveau vorliegt.

Das Urteil hat weitreichende Konsequenzen:

  • Übermittlungen auf Basis des Privacy-Shield-Abkommens sind ungültig.
  • Übermittlungen auf Basis der Standardvertragsklauseln sind weiterhin gültig, aber nur dann, wenn per Einzelfallprüfung festgestellt wurde, dass ein angemessenes Datenschutzniveau weiterhin gewährleistet ist. Ist dies nicht der Fall, so sind zusätzliche Maßnahmen zu treffen oder die Übermittlung zu unterlassen.
  • Übermittlungen auf Basis der verbindlichen internen Datenschutzvorschriften (BCR) sind weiterhin gültig, aber nur dann, wenn per Einzelfallprüfung festgestellt wurde, dass ein angemessenes Datenschutzniveau weiterhin gewährleistet ist. Ist dies nicht der Fall, so sind zusätzliche Maßnahmen zu treffen oder die Übermittlung zu unterlassen.

Zur Klarstellung: Der EuGH stellt diese Anforderung nicht nur an Übermittlungen in die USA, sondern auch an alle sonstigen Drittländer! Das bedeutet, dass diese Prüfungen für alle Übermittlungen in Drittländer erforderlich sind.

Falls keine der genannten Optionen zum Einsatz kommen kann, so bleibt als letztes Mittel die Ausnahmevorschrift nach Art. 49 DSGVO. So könnten sich z.B. Übermittlungen innerhalb eines Konzerns oder direkt mit einer betroffenen Person, mit der ein Vertragsverhältnis besteht, legitimieren lassen.

Auch die Möglichkeit der Einwilligung sei hier genannt, allerdings ist die einwilligende Person vor der Einwilligung transparent auf die Übermittlung in ein unsicheres Drittland und die möglichen Risiken hinzuweisen.

Ein-Stufen-Prüfung für innereuropäische Datenübermittlungen

Für jede Übermittlung an andere Stellen innerhalb des Geltungsbereichs des Europäischen Rechts ist eine Rechtsgrundlage erforderlich. Hier kommen die oben genannten Rechtsgrundlagen von Art. 6 DSGVO infrage. Alternativ ist auch Art. 9 DSGVO in Verbindung mit § 22 BDSG für die Übermittlung besonderer Kategorien personenbezogener Daten denkbar.

Eine weitere Legitimierung ist je nach Zweck der Übermittlung für die in den §§ 22–28 BDSG genannten Zwecke möglich. Der Beschäftigtendatenschutz ist in § 26 BDSG geregelt.

Der Vollständigkeit halber sei hier noch die Auftragsverarbeitung nach Art. 28 DSGVO genannt. Die DSGVO lässt offen, ob es sich bei einer Datenweitergabe an Auftragsverarbeiter um eine Übermittlung nach Art. 4 Nr. 2 DSGVO handelt. In der Literatur gibt es Stimmen, die auch eine Auftragsverarbeitung als berechtigtes Interesse eines Verantwortlichen nach Art. 6 Abs. 1 Buchstabe f betrachten.

Zwei-Stufen-Prüfung für außereuropäische Datenübermittlungen

Gemäß dem Kurzpapier Nr. 4 der Datenschutzkonferenz (DSK) (Zusammenschluss der unabhängigen Datenschutzbehörden des Bundes und der Länder) ist für Datenübermittlungen in ein Drittland wie bisher eine Zwei-Stufen-Prüfung vorzunehmen.

1. Rechtgrundlage für Datenübermittlung vorhanden?

Auf der ersten Stufe erfolgt eine Prüfung, ob eine Rechtsgrundlage für die geplante Übermittlung vorhanden ist, wie unter Stufe 1 beschrieben. Neu ist, dass nun auch die Auftragsverarbeitung nach Art. 28 DSGVO für eine Übermittlung in ein Drittland verwendet werden kann. Ein Auftragsverarbeiter ist nach Art. 4 Abs. Nr. 10 DSGVO kein Dritter. Somit ist für eine Auftragsverarbeitung auch die Übermittlung nach außerhalb der EU möglich.

2. Angemessenes Datenschutzniveau vorhanden?

Auf der zweiten Stufe ist zu prüfen, ob beim Datenempfänger ein angemessenes Datenschutzniveau vorliegt. Dies ist wie oben aufgeführt in den Artikeln 45, 46 und 49 DSGVO geregelt und lässt sich über die Angemessenheitsbeschlüsse für einzelne Länder, durch verbindliche interne Datenschutzvorschriften, durch Standardvertragsklauseln der EU-Kommission oder einer Aufsichtsbehörde, sonstige genehmigte Verhaltensregeln und genehmigte Zertifizierungsmechanismen erzielen.

Der Vollständigkeit halber sei erwähnt, dass die hier beschriebene Zwei-Stufen-Prüfung vorbehaltlich abweichender Regelungen durch den Europäischen Datenschutzausschuss besteht.

Datenschutz PRAXIS - Der Podcast
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.