Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Datenübermittlung

Die Datenübermittlung umfasst die Übermittlung personenbezogener Daten eines für die Verarbeitung Verantwortlichen ins inner- und außereuropäische Ausland.

➜ Rechtsgrundlagen der Datenübermittlung

Datenübermittlung in Drittländer

Nur die neuen EU-Standardvertragsklauseln zu verwenden, reicht nicht. Hinzukommen müssen die „ergänzenden Maßnahmen“. Seine Empfehlungen dazu hat der Europäische Datenschutzausschuss (EDSA) nun in einer Endfassung veröffentlicht.

Datenübermittlung in Drittländer

Ausgangspunkt und zentraler Mechanismus, um die „ergänzenden Maßnahmen“ für die Datenübermittlung in Drittländer zu bestimmen und umzusetzen, ist eine Einzelfallbewertung oder Neudeutsch ein „Transfer Impact Assessment“ (kurz TIA). Was steckt genau hinter diesem Prozess?

Am 28. Juni 2021 traten zwei Beschlüsse in Kraft. Damit gilt Großbritannien als sicheres Drittland für die Übermittlung personenbezogener Daten.
Bild: Stadtratte / iStock / GettyImages Plus
Internationaler Datenaustausch

Können Unternehmen und Behörden mit Sitz in der Europäischen Union ohne Probleme personenbezogene Daten nach Großbritannien übermitteln? Ja, denn die Europäische Kommission hat am 28. Juni 2021 zwei Angemessenheitsbeschlüsse für das Vereinigte Königreich angenommen. Damit gilt Großbritannien als sicheres Drittland im Sinne der Europäischen Datenschutzgrundverordnung (DSGVO).

Die Nutzung der Standardvertragsklauseln bei der Datenübermittlung in Drittländer reicht allein nicht aus. Die Rechtslage im Drittland muss geprüft werden!
Bild: PhotoAlto/Odilon Dimier / PhotoAlto Agency RF Collections
Datentransfer

Wer personenbezogen Daten in Drittländer übermittelt und dafür die EU-Standardvertragsklauseln nutzt, muss trotzdem die Rechtslage im Drittland prüfen. Darauf weisen die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) und der Europäische Datenschutzausschuss (EDSA) hin.

Zwei Musterformulare vom 4. Juni 2021

Für die Übermittlung personenbezogener Daten in Drittländer außerhalb der EU hat die Europäische Kommission völlig neu gestaltete Standardvertragsklauseln vorgelegt. Erstmals stehen darüber hinaus auch offizielle Standardvertragsklauseln für die Auftragsverarbeitung zur Verfügung.

Ergänzende Maßnahmen: Technik

Der erste Teil zu den ergänzenden technischen Maßnahmen hat ihre Bedeutung betrachtet und Maßnahmen wie Verschlüsselung und Pseudonymisierung in ihren generellen Möglichkeiten hinterfragt. Nun geht es um die Wirksamkeit einzelner Maßnahmen und die Hinweise, die der Europäische Datenschutzausschuss dazu gibt.

Ergänzende Maßnahmen: Technik

Sind ergänzende Maßnahmen für die Datenübermittlung in einen Drittstaat erforderlich, spielen die technischen Schutzmaßnahmen eine wesentliche Rolle. Es gibt bisher keine allgemeingültigen Vorgaben, wohl aber Empfehlungen. Wie lassen sie sich in der Praxis umsetzen?

Im Gespräch mit Dr. Imke Sommer

Vom DSGVO-Staat über Nacht zum Drittland! So lauteten die Befürchtungen für die Datenschutz-Folgen des Brexits. So schlimm kam es vorerst nicht, eine Übergangsfrist wurde eingeräumt. Im Interview erklärt Dr. Imke Sommer, die bremische Datenschutzbeauftragte, was für den Datentransfer nach UK gilt und welche Maßnahmen getroffen werden sollten.

Paukenschlag des EuGH

In einem Urteil vom 16. Juli hat der Europäische Gerichtshof (EuGH) die Regelungen des Privacy Shield für nicht mehr anwendbar erklärt. Die Verwendung von Standardvertragsklauseln bei der Übermittlung von Daten in Länder außerhalb der EU (also etwa in die USA) knüpft das Gericht an Voraussetzungen, die voraussichtlich kaum zu erfüllen sind.

Brexit, Privacy Shield, China

Brexit mit Deal oder ohne, Privacy Shield, China - Unternehmen müssen bei der Datenübermittlung ins Ausland mit einigen Stolperfallen rechnen. Professor Kugelmann, Landesbeauftragter für den Datenschutz und die Informationsfreiheit in Rheinland-Pfalz, gibt Tipps für die Praxis.

3 von 4

Bei der Datenübermittlung ins Ausland lassen sich zwei Fallkategorien unterscheiden, für die unterschiedliche rechtliche Grundlagen gelten.

1. Datenübermittlung innerhalb der EU, auch zwischen verschiedenen Mitgliedstaaten

Die Rechtsgrundlagen ergeben sich aus Art. 6 DSGVO. Nach Art 4 Nr. 2 DSGVO fällt die Offenlegung durch Übermittlung unter den Begriff der Verarbeitung.

Das umfasst das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten, durch eine Weitergabe an einen Dritten oder durch Einsicht in oder Abruf von dafür bereitgehaltene(n) Daten.

Letzteres schließt den Zugriff im Rahmen von Wartungstätigkeiten ein.

2. Datenübermittlung in Drittländer

Rechtliche Grundlagen leiten sich ab von Kapitel 5 mit Art. 44 DSGVO (Allgemeine Grundsätze) und den Erwägungsgründen 101–102, Art. 45 DSGVO (Datenübermittlung – Angemessenheitsbeschluss) mit den Erwägungsgründen 103–107, Art. 46 DSGVO (Datenübermittlung – geeignete Garantien) mit den Erwägungsgründen 108–109, Art. 48 DSGVO (nicht zulässige Übermittlung oder Offenlegung) mit dem Erwägungsgrund 115, Art. 49 DSGVO (Ausnahmen) mit den Erwägungsgründen 111–115 und Art. 50 DSGVO (Internationale Zusammenarbeit) mit dem Erwägungsgrund 116.

Für die Datenübermittlung ins Ausland bedarf es bei Übermittlungen in einen europäischen Mitgliedsstaat nach Art. 6 DSGVO einer Rechtsgrundlage, die

  • nach Abs. 1 Buchstabe a durch eine Einwilligung der betroffenen Person besteht oder
  • nach Abs. 1 Buchstabe b zur Vertragserfüllung erforderlich ist oder
  • nach Abs. 1 Buchstabe c zur Erfüllung rechtlicher Verpflichtungen erforderlich ist oder
  • nach Abs. 1 Buchstabe d zum Schutz lebenswichtiger Interessen erforderlich ist oder
  • nach Abs. 1 Buchstabe e zur Wahrnehmung einer Aufgabe im öffentlichen Interesse erforderlich ist oder
  • nach Abs. 1 Buchstabe f zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist sowie
  • nach Abs. 2 durch ergänzende nationale Vorschriften erwirkt werden kann.

Für alle Übermittlungen an Stellen, die nicht in den Geltungsbereich europäischen Rechts fallen, sind die Art. 44–50 DSGVO anzuwenden.

Art. 44 DSGVO regelt, dass Datenübermittlungen in ein Drittland oder an eine internationale Organisation durch einen Verantwortlichen oder einen Auftragsverarbeiter nur möglich sind, wenn sie alle Anforderungen aus Kapitel 5 sowie sonstige Regelungen der DSGVO einhalten. Sofern sie die Anforderungen nicht einhalten, unterbleibt die Übermittlung.

Angemessenheitsbeschlüsse

Art. 45 DSGVO ermöglicht es der Europäischen Kommission, Drittländern per Angemessenheitsbeschluss ein angemessenes Datenschutzniveau zu attestieren. In diesem Fall bedarf es keiner zusätzlichen Genehmigung.

Die aktuelle Liste dieser Drittländer ist abrufbar unter
https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en.

Geeignete Garantien

Gemäß Art. 46 Abs. 1 DSGVO ist eine Übermittlung in ein Drittland ohne von der Kommission attestiertes angemessenes Datenschutzniveau möglich, wenn geeignete Garantien vorhanden sind, die den betroffenen Personen die Durchsetzbarkeit ihrer Rechte und wirksame Rechtsbehelfe sicherstellen:

  • Nach Art. 46 Abs. 2 Buchstabe a DSGVO kann dies ein rechtlich bindendes und durchsetzbares Dokument zwischen den Behörden oder öffentlichen Stellen sein oder
  • nach Art. 46 Abs. 2 Buchstabe b DSGVO verbindliche interne Datenschutzvorschriften oder
  • nach Art. 46 Abs. 2 Buchstabe c DSGVO Standarddatenschutzklauseln, die von der Kommission verabschiedet wurden, sowie
  • nach Art. 46 Abs. 2 Buchstabe d DSGVO von einer Aufsichtsbehörde akzeptierte Standarddatenschutzklauseln,
  • nach Art. 46 Abs. 2 Buchstabe e DSGVO in Verbindung mit Art. 40 Abs. 3 DSGVO genehmigte Verhaltensregeln mit rechtsverbindlichen und durchsetzbaren Verpflichtungen oder
  • nach Art. 46 Abs. 2 Buchstabe f DSGVO in Verbindung mit Art. 42 Abs. 2 DSGVO genehmigte Zertifizierungsmechanismen.

Art. 46 Abs. 3 Buchstabe a und b DSGVO ermöglichen es Aufsichtsbehörden, mit Vertragsklauseln oder mit Bestimmungen zwischen Behörden der Verwaltung und Aufsichtsbehörden weitere Ausnahmen im Einzelfall zu treffen, wenn Nachweise zur Gewährleistung des Persönlichkeitsrechtschutzes erbracht werden und ein wirksamer Schutz garantiert wird.

Art. 47 Abs. 3 DSGVO ermöglicht auf Basis von verbindlichen internen Datenschutzvorschriften eine Übermittlung zu Unternehmen in einem Drittland innerhalb einer Unternehmensgruppe.

Art. 48 DSGVO enthält eine Sonderregelung für Fälle, in denen ein Gericht oder eine Behörde in einem Drittland eine Übermittlung personenbezogener Daten erzwingt. Diese darf nur durchgeführt werden, wenn eine internationale Übereinkunft oder ein Rechtshilfeabkommen besteht.

Ausnahmen für Datenübermittlungen

Ausnahmen für Datenübermittlungen in Länder ohne angemessenes Sicherheitsniveau, geeignete Garantien oder verbindliche interne Datenschutzvorschriften regelt Art. 49 DSGVO. So ist eine Übermittlung möglich, wenn beispielsweise

  • die Einwilligung der betroffenen Person (Art. 49 Abs. 1 Buchstabe a DSGVO) vorliegt,
  • die Übermittlung zur Erfüllung vertraglicher Verpflichtungen zwischen der betroffenen Person und dem Verantwortlichen bzw. für vorvertragliche Maßnahmen erforderlich ist (Art. 49 Abs. 1 Buchstabe b DSGVO),
  • die Übermittlung zum Abschluss oder zur Erfüllung vertraglicher Verpflichtungen erforderlich ist (Art. 49 Abs. 1 Buchstabe c DSGVO),
  • ein wichtiges öffentliches Interesse besteht (Art. 49 Abs. 1 Buchstabe d DSGVO),
  • die Übermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist (Art. 49 Abs. 1 Buchstabe e DSGVO),
  • lebenswichtige Interessen der betroffenen Person dies erfordern (Art. 49 Abs. 1 Buchstabe f DSGVO) oder
  • die Daten über ein öffentliches Register veröffentlicht werden (Art. 49 Abs. 1 Buchstabe g DSGVO).

Eine weitere mögliche Ausnahme besteht, wenn die Übermittlung einmalig mit Daten von wenigen betroffenen Personen auf Basis eines zwingenden berechtigten Interesses erforderlich ist, keine schutzwürdigen Interessen überwiegen, die Gesamtheit der Übermittlung sorgfältig beurteilt, dokumentierte Schutzmaßnahmen ergriffen und zusätzlich die Aufsichtsbehörde und die betroffenen Personen informiert wurden.

In der Vergangenheit lagen mit dem Safe-Harbor- und dem Privacy-Shield-Abkommen spezielle Instrumente für Datenübermittlungen in die USA vor. Die Inhalte der Abkommen, die ein vergleichbares Datenschutzniveau sicherstellen sollten, waren bei Datenschützern schon immer in der Kritik.

Das Schrems-II-Urteil des EuGH

Der Europäische Gerichtshof (EuGH) erklärte in der Vergangenheit das Safe-Harbor-Abkommen und am 16. Juli 2020 in der Rechtssache C-311/17 („Schrems II“) das Privacy-Shield-Abkommen für ungültig.

Begründet hat er dies damit, dass das US-Recht den dortigen Sicherheitsbehörden Befugnisse einräumt, die nicht mit der DSGVO zu vereinbaren sind, und dass damit kein angemessenes Datenschutzniveau vorliegt.

Das Urteil hat weitreichende Konsequenzen:

  • Übermittlungen auf Basis des Privacy-Shield-Abkommens sind ungültig.
  • Übermittlungen auf Basis der Standardvertragsklauseln sind weiterhin gültig, aber nur dann, wenn per Einzelfallprüfung festgestellt wurde, dass ein angemessenes Datenschutzniveau weiterhin gewährleistet ist. Ist dies nicht der Fall, so sind zusätzliche Maßnahmen zu treffen oder die Übermittlung zu unterlassen.
  • Übermittlungen auf Basis der verbindlichen internen Datenschutzvorschriften (BCR) sind weiterhin gültig, aber nur dann, wenn per Einzelfallprüfung festgestellt wurde, dass ein angemessenes Datenschutzniveau weiterhin gewährleistet ist. Ist dies nicht der Fall, so sind zusätzliche Maßnahmen zu treffen oder die Übermittlung zu unterlassen.

Zur Klarstellung: Der EuGH stellt diese Anforderung nicht nur an Übermittlungen in die USA, sondern auch an alle sonstigen Drittländer! Das bedeutet, dass diese Prüfungen für alle Übermittlungen in Drittländer erforderlich sind.

Falls keine der genannten Optionen zum Einsatz kommen kann, so bleibt als letztes Mittel die Ausnahmevorschrift nach Art. 49 DSGVO. So könnten sich z.B. Übermittlungen innerhalb eines Konzerns oder direkt mit einer betroffenen Person, mit der ein Vertragsverhältnis besteht, legitimieren lassen.

Auch die Möglichkeit der Einwilligung sei hier genannt, allerdings ist die einwilligende Person vor der Einwilligung transparent auf die Übermittlung in ein unsicheres Drittland und die möglichen Risiken hinzuweisen.

Ein-Stufen-Prüfung für innereuropäische Datenübermittlungen

Für jede Übermittlung an andere Stellen innerhalb des Geltungsbereichs des Europäischen Rechts ist eine Rechtsgrundlage erforderlich. Hier kommen die oben genannten Rechtsgrundlagen von Art. 6 DSGVO infrage. Alternativ ist auch Art. 9 DSGVO in Verbindung mit § 22 BDSG für die Übermittlung besonderer Kategorien personenbezogener Daten denkbar.

Eine weitere Legitimierung ist je nach Zweck der Übermittlung für die in den §§ 22–28 BDSG genannten Zwecke möglich. Der Beschäftigtendatenschutz ist in § 26 BDSG geregelt.

Der Vollständigkeit halber sei hier noch die Auftragsverarbeitung nach Art. 28 DSGVO genannt. Die DSGVO lässt offen, ob es sich bei einer Datenweitergabe an Auftragsverarbeiter um eine Übermittlung nach Art. 4 Nr. 2 DSGVO handelt. In der Literatur gibt es Stimmen, die auch eine Auftragsverarbeitung als berechtigtes Interesse eines Verantwortlichen nach Art. 6 Abs. 1 Buchstabe f betrachten.

Zwei-Stufen-Prüfung für außereuropäische Datenübermittlungen

Gemäß dem Kurzpapier Nr. 4 der Datenschutzkonferenz (DSK) (Zusammenschluss der unabhängigen Datenschutzbehörden des Bundes und der Länder) ist für Datenübermittlungen in ein Drittland wie bisher eine Zwei-Stufen-Prüfung vorzunehmen.

1. Rechtgrundlage für Datenübermittlung vorhanden?

Auf der ersten Stufe erfolgt eine Prüfung, ob eine Rechtsgrundlage für die geplante Übermittlung vorhanden ist, wie unter Stufe 1 beschrieben. Neu ist, dass nun auch die Auftragsverarbeitung nach Art. 28 DSGVO für eine Übermittlung in ein Drittland verwendet werden kann. Ein Auftragsverarbeiter ist nach Art. 4 Abs. Nr. 10 DSGVO kein Dritter. Somit ist für eine Auftragsverarbeitung auch die Übermittlung nach außerhalb der EU möglich.

2. Angemessenes Datenschutzniveau vorhanden?

Auf der zweiten Stufe ist zu prüfen, ob beim Datenempfänger ein angemessenes Datenschutzniveau vorliegt. Dies ist wie oben aufgeführt in den Artikeln 45, 46 und 49 DSGVO geregelt und lässt sich über die Angemessenheitsbeschlüsse für einzelne Länder, durch verbindliche interne Datenschutzvorschriften, durch Standardvertragsklauseln der EU-Kommission oder einer Aufsichtsbehörde, sonstige genehmigte Verhaltensregeln und genehmigte Zertifizierungsmechanismen erzielen.

Der Vollständigkeit halber sei erwähnt, dass die hier beschriebene Zwei-Stufen-Prüfung vorbehaltlich abweichender Regelungen durch den Europäischen Datenschutzausschuss besteht.

Datenschutz PRAXIS - Der Podcast
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.