Datenschutz Verstehen – Übermittlung von personenbezogenen Daten
Wenn Verantwortliche und auch Auftragsverarbeiter personenbezogene Daten in Drittländer übermitteln, müssen sie zusätzliche Voraussetzungen der DSGVO erfüllen. Diese beinhalten bestimmte Mechanismen, um Übertragungen von personenbezogenen Daten außerhalb der Europäischen Union zu ermöglichen. Für bestimmte Drittländer gelten darüber hinaus Besonderheiten, die sich positiv auf die Zulässigkeit von geplanten personenbezogenen Datenübertragungen auswirken. In unserem Blogbeitrag erfahren Sie, welche Möglichkeiten Unternehmer für geplante Übertragungen von personenbezogenen Daten in Drittländer haben und welche Regelungen eingehalten werden müssen, um Übermittlung von personenbezogenen Daten in Drittländer zu legitimieren.
Gesetzliche Vorgaben der DSGVO
Da eine Übermittlung von personenbezogenen Daten eine Verarbeitung i.S.v. Art. 4 Nr. 2 DSGVO darstellt, müssen auch alle anderen Voraussetzungen der europäischen Datenschutz-Grundverordnung (DSGVO) erfüllt sein. Das betrifft insbesondere die Rechtsgrundlage für die Verarbeitung: Diese richtet sich u.a. nach Art. 6 DSGVO. Die Art. 44 ff. DSGVO regeln und legitimieren lediglich die Übermittlung von personenbezogenen Daten in ein Drittland, vorausgesetzt wird allerdings eine Rechtsgrundlage für die Verarbeitung als solche („und auch die sonstigen Bedingungen dieser Verordnung eingehalten werden”, vgl. Art. 44 4. Hs. DSGVO). Somit müssen für die Übermittlung von personenbezogenen Daten in Drittländer eine Rechtsgrundlage nach Art. 6 DSGVO (oder eine andere spezialgesetzliche Rechtsgrundlage) existieren und zusätzlich die Voraussetzungen der Art. 44 ff. DSGVO erfüllt werden. Auch alle weitere gesetzlichen Vorgaben der DSGVO, wie z.B. die Informationspflichten aus Art. 12 ff. DSGVO und die technisch-organisatorischen Maßnahmen, müssen eingehalten werden.
Angemessenheitsbeschluss und Teilbeschlüsse
Falls die Übermittlung von personenbezogenen Daten in ein Drittland geplant ist, muss zunächst angesichts der Regelungen in Art. 44 ff. DSGVO geprüft werden, ob ein Angemessenheitsbeschluss für das jeweilige Drittland vorliegt, Art. 44 Abs. 1, Abs. 3 DSGVO. Falls dies der Fall ist, gilt das jeweilige Drittland als sog. sicherer Drittstaat. Dann ist eine Übermittlung von personenbezogenen Daten, soweit alle anderen Vorgaben der DSGVO eingehalten werden, zulässig. Für folgende Staaten existiert derzeit ein Angemessenheitsbeschluss und somit eine Einstufung als sicheres Drittland:
- Andorra
- Argentinien
- Färöer
- Guernsey
- Isle of Man
- Israel
- Japan
- Jersey
- Neuseeland
- Schweiz
- Uruguay
Für z.B. Kanada gelten sog. Teilbeschlüsse: Die Angemessenheit für Kanada gilt nur für private Unternehmen, die unter den „Personal Information Protection and Electronic Documents Act“ fallen.
Mehr zum Thema Großbritannien und den Brexit im Zusammenhang mit der DSGVO erfahren Sie hier.
Safe Harbor Abkommen und Privacy Shield Zertifizierung in den USA
Die Privacy Shield Zertifizierung, als sektorspezifischer Angemessenheitsbeschluss, hat, bis zum 16.07.2020, das sog. Safe Harbor Abkommen aus dem Jahr 2000 ersetzt. Auf Basis des Safe Harbor Abkommens war es z.B. für Unternehmen möglich, personenbezogene Daten in Übereinstimmung mit der europäischen Datenschutzrichtlinie aus einem Mitgliedstaat der Europäischen Union in die USA zu übermitteln. Das Safe Harbor Abkommen wurde am 06. Oktober 2015 von dem Europäischen Gerichtshof (EuGH) für ungültig erklärt. Das EU-US Privacy Shield war seit dem 01. August 2016 die nachfolgende Regelung und wurde am 16.07.2020 ebenfalls für ungültig erklärt. Als Begründung führte der EuGH an, dass die Privacy Shield Vereinbarung kein angemessenes Datenschutzniveau im Sinne der DSGVO gewährleistet. Der Europäische Datenschutzausschuss (European Data Protection Board) hat am 10.11.2020 Empfehlungen für den Datentransfer in Länder außerhalb der Europäischen Union verabschiedet und damit einen Leitfaden zur Verfügung gestellt, der Unternehmen dabei unterstützen soll, Möglichkeiten der Übermittlung von personenbezogenen Daten in die USA zu prüfen und ggfs. auch zu realisieren. Aktuell werden die neuen EU-Standarddatenschutzklauseln als geeignete Garantie für eine Übermittlung in ein Drittland verwendet. Allerdings ist stets noch eine Prüfung im Einzelfall notwendig und es sind in jedem Fall zusätzliche Maßnahmen neben den EU-Standarddatenschutzklauseln zu treffen.
Geeignete Garantien
Falls kein Angemessenheitsbeschluss und auch kein sektorspezifischer Angemessenheitsbeschluss in Form einer Privacy Shield Zertifizierung existiert, muss geprüft werden, ob eine Garantie nach Art. 46 DSGVO einschlägig ist. Hier bietet der europäische Gesetzgeber verschiedene Optionen als Garantie an.
Die geeigneten Garantien können, ohne dass hierzu eine besondere Genehmigung einer Aufsichtsbehörde erforderlich wäre, bestehen in einem rechtlich bindenden und durchsetzbaren Dokument zwischen den Behörden oder öffentlichen Stellen (Art. 46 Abs. 2 lit. a) DSGVO), verbindlichen internen Datenschutzvorschriften gemäß Art. 47 DSGVO (Binding Corporate Rules, (Art. 46 Abs. 2 lit. b) DSGVO)), Standarddatenschutzklauseln, die von der Kommission gemäß dem Prüfverfahren nach Art. 93 Abs. 2 DSGVO erlassen werden(Art. 46 Abs. 2 lit. c) DSGVO), von einer Aufsichtsbehörde angenommenen Standarddatenschutzklauseln, die von der Kommission gemäß dem Prüfverfahren nach Art. 93 Abs. 2 DSGVO genehmigt wurden (Art. 46 Abs. 2 lit. d) DSGVO), genehmigten Verhaltensregeln gemäß Art. 40 DSGVO zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters in dem Drittland zur Anwendung der geeigneten Garantien, einschließlich in Bezug auf die Rechte der betroffenen Personen(Art. 46 Abs. 2 lit. e) DSGVO), oder einem genehmigten Zertifizierungsmechanismus gemäß Art. 42 DSGVO zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters in dem Drittland zur Anwendung der geeigneten Garantien, einschließlich in Bezug auf die Rechte der betroffenen Personen(Art. 46 Abs. 2 lit. f) DSGVO).
Die EU-Standarddatenschutzklauseln sind eine beliebtes Rechtsintrument für die Übermittlung von personenbezogenen Daten in Drittländer. Diese werden allerdings in einem aktuellen Verfahren vor dem Europäischen Gerichtshof geprüft, weshalb die Dauer der Gültigkeit derzeit nur schwer eingeschätzt werden kann. Die EU-Standarddatenschutzklauseln können Sie hier downloaden.
Ferner können gem. Art. 46 Abs. 3 DSGVO vorbehaltlich der Genehmigung durch die zuständige Aufsichtsbehörde die geeigneten Garantien gem. Art. 46 Abs. 1 DSGVO auch insbesondere bestehen in
- a) Vertragsklauseln, die zwischen dem Verantwortlichen oder dem Auftragsverarbeiter und dem Verantwortlichen, dem Auftragsverarbeiter oder dem Empfänger der personenbezogenen Daten im Drittland oder der internationalen Organisation vereinbart wurden (Art. 46 Abs. 3 lit. a) DSGVO), oder
- b) Bestimmungen, die in Verwaltungsvereinbarungen zwischen Behörden oder öffentlichen Stellen aufzunehmen sind, sowie durchsetzbare und wirksame Rechte für die betroffenen Personen einschließen (Art. 46 Abs. 3 lit. b) DSGVO). Auch Art. 46 Abs. 4 und Abs. 5 DSGVO enthalten Vorgaben, die berücksichtigt werden müssen.
Binding Corporate Rules
Sog. Binding Corporate Rules (deutsch: Verbindliche interne Datenschutzvorschriften) i.S.v. Art. 46 Abs. 2 lit. b), 47 DSGVO, bilden eine gem. Art. 46 Abs. 1 DSGVO eine geeignete Garantie. Die Corporate Binding Rules müssen inhaltlich die Vorgaben von Art. 47 Abs. 1 und Abs. 2 DSGVO erfüllen. Hierzu gehören u.a. interne und externe Rechtsverbindlichkeiten (Art. 47 Abs. 2 lit. c) DSGVO) der Binding Corporate Rules, geeignete Datenschutzschulungen für Personal mit ständigem oder regelmäßigem Zugang zu personenbezogenen Daten (Art. 47 Abs. 2 lit. n) DSGVO) und die Genehmigung der verbindlichen internen Datenschutzvorschriften durch die zuständige Aufsichtsbehörde (Art. 47 Abs. 1 DSGVO). Zu berücksichtigen ist darüber hinaus der Regelungsgehalt von Art. 47 Abs. 3 DSGVO.
Ausnahmen nach Art. 49 DSGVO
In Art. 49 DSGVO sind einige Ausnahmeregelungen niedergeschrieben, falls weder ein Angemessenheitsbeschluss nach Art. 45 Abs. 3 DSGVO vorliegt noch geeignete Garantien gem Art. 46 DSGVO, einschließlich verbindlicher interner Datenschutzvorschriften, bestehen. Eine Ausnahme liegt z.B. dann vor, wenn eine Einwilligung der betroffenen Person in die vorgeschlagene Datenübermittlung ausdrücklich vorliegt, nachdem diese Person über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde, vgl. Art. 49 Abs. 1 lit. a) DSGVO. Auch die erforderliche Übermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen kann einen Ausnahmetatbestand bilden, vgl. Art. 49 Abs. 1 lit. e) DSGVO. Zusätzlich wird auch die notwendige Übermittlung aus wichtigen Gründen des öffentlichen Interesses gem. Art. 49 Abs. 1 lit. d) DSGVO als Ausnahme aufgezählt. Darüber hinaus sind in Art. 49 DSGVO noch weitere Ausnahmen geregelt.
Das Experten-Team von Keyed berät Sie gerne bei geplanten Datenübermittlungen in Drittländer und erarbeitet mit Ihnen die für Sie ideale und datenschutzrechtlich sicherste Strategie für den Datentransfer.
Herr Dipl.-Jur. Serkan Taskin hat an der Westfälischen-Wilhelms-Universität (WWU) in Münster Rechtswissenschaften studiert und ist seit seinem Abschluss als externer Datenschutzbeauftragter und Consultant für Datenschutz tätig. Gleichzeitig besitzt Herr Taskin eine Zertifizierung als Datenschutzbeauftragter (TÜV Rheinland). Als externer Datenschutzbeauftragter und Consultant für Datenschutz unterstützt er Unternehmen aus verschiedenen Branchen in der Umsetzung datenschutzrechtlicher Vorgaben. Darüber hinaus ist Herr Taskin als Auditor für Konzerne, kleine und mittelgroße Unternehmen (KMU) sowie Startups tätig. Herr Taskin zeichnet sich durch seine juristische Expertise im Datenschutzrecht aus und konfiguriert die Umsetzung und Einhaltung des Datenschutzes derart, dass auch wirtschaftliche Interessen der Unternehmen dennoch berücksichtigt werden.
