Ein komplexes Thema war und ist auch unter dem BDSG die Bewertung der Zulässigkeit von Datenübermittlungen in sogenannte Drittstaaten. Hierbei handelt es sich um Staaten, die weder der EU angehören, noch zu den Staaten des EWR (Europäischer Wirtschaftsraum) zählen. Beispiele für solche Drittstaaten sind die USA, China oder Russland.

Zunächst einmal die gute Nachricht: Auch nach der neuen europäischen Datenschutz-Grundverordnung (DSGVO) bleibt es im Wesentlichen bei den bisherigen Regelungen und Grundsätzen. Einiges wird sogar flexibler und damit einfacher.

Zweistufige Prüfung

Auch wenn es fast trivial klingt; in der Praxis wird folgender Punkt häufig übersehen: Bevor wir prüfen, ob eine Übermittlung in ein Drittland zulässig ist, muss zunächst überprüft werden ob eine Übermittlung überhaupt grundsätzlich zulässig ist. Hier ist also die Frage zu beantworten, ob eine Rechtsgrundlage besteht, die die geplante Übermittlung legitimiert, beispielsweise innerhalb Deutschlands oder in ein anderes Land der EU. Sollte diese Prüfung bereits ergeben, dass eine Übermittlung nicht zulässig ist, kann jede weitere Prüfung hinsichtlich der Übermittlung in ein Drittland entfallen. Diese ist dann natürlich ebenfalls nicht zulässig. Nur wenn diese Prüfung ergibt, dass eine Übermittlung grundsätzlich zulässig wäre, kann im nächsten Schritt eine Prüfung hinsichtlich der Besonderheiten des Drittlandes erfolgen.

Bisherige Rechtsgrundlagen zur Übermittlung

Die folgenden Rechtsgrundlagen zur Übermittlung von Daten in Drittländer gab es bereits nach der bestehenden Regelung des § 4c BDSG und bestehen zumindest in sehr ähnlicher Form nach der DSGVO weiter:

  • wenn eine Einwilligung des Betroffenen vorliegt,
  • zur Erfüllung eines Vertrags zwischen dem Betroffenen und der verantwortlichen Stelle oder zur Durchführung von vorvertraglichen Maßnahmen, die auf Veranlassung des Betroffenen getroffen worden sind,
  • wenn die Übermittlung zum Abschluss oder zur Erfüllung eines Vertrags erforderlich ist, der im Interesse des Betroffenen von der verantwortlichen Stelle mit einem Dritten geschlossen wurde oder geschlossen werden soll,
  • wenn die Übermittlung für die Wahrung eines wichtigen öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor Gericht erforderlich ist,
  • wenn die Übermittlung für die Wahrung lebenswichtiger Interessen des Betroffenen erforderlich ist oder
  • wenn die Übermittlung aus einem Register erfolgt, das zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offen steht, soweit die gesetzlichen Voraussetzungen im Einzelfall gegeben sind.

Darüber hinaus kann eine Übermittlung durch die Aufsichtsbehörde genehmigt werden, wenn Garantien zum Schutz des Persönlichkeitsrechts vorliegen. Das Gesetz nennt als mögliche Garantieformen die Vereinbarung von Vertragsklauseln oder verbindlichen Unternehmensregeln („binding corporate rules“, BCR). Die derzeit von den Behörden veröffentlichten EU-Standardvertragsklauseln können gemäß der bayerischen Aufsichtsbehörde (BayLDA) auch unter dem Geltungsbereich der DSGVO weiterhin verwendet werden.

Neue Rechtsgrundlagen durch die DSGVO

Durch die DSGVO werden die möglichen Rechtsgrundlagen einer Datenübermittlung in Drittländer um zwei interessante Aspekte erweitert.

  • genehmigte Verhaltensregeln (Codes of Conduct)
  • genehmigte Zertifizierungsmechanismen

Beide Möglichkeiten setzen voraus, dass diese zuvor mit den Behörden abgesprochen und durch diese genehmigt werden. Dennoch wird derzeit davon ausgegangen, dass diese Verfahren auf erhebliches Interesse der Wirtschaft stoßen werden.

Ausnahme USA

Wie bisher können Datenübermittlungen in die USA über das vereinbarte Abkommen „Privacy Shield“ durchgeführt werden. Zu diesem Thema hatten wir bereits früher zwei Artikel (Artikel 1, Artikel 2) weitere Informationen veröffentlicht. Voraussetzung ist, dass sich die Unternehmen mit Sitz in den USA in eine entsprechende Liste eintragen und sich selbst dazu verpflichten, die durch das Abkommen definierten Garantien und Beschränkungen einzuhalten. Der Datenübermittler hat im Vorfeld der Übermittlung nur zu überprüfen, ob das betreffende US-Unternehmen in dieser Liste des US-Handelsministeriums gelistet ist uns ob das Ablaufdatum der Zertifizierung noch in der Zukunft liegt.

Aktuelle Prüfung durch die Behörden

Die Aufsichtsbehörden haben erkannt, wie leicht sensible personenbezogene Daten in unsicheren Drittländern der Gefahr unterliegen, in falsche Hände zu gelangen. Dieses Thema ist daher immer wieder Gegenstand von Prüfungen in den Unternehmen. Aktuell schreiben einige Behörden in einer gemeinsamen Aktion zufällig ausgewählte Unternehmen an und verlangen die Beantwortung eines Fragebogens zu durchgeführten Datenübermittlungen in Drittländer. Werden diese Fragebögen gar nicht beantwortet oder entsprechen die Antworten nicht den gesetzlichen Grundlagen, sind weitere Prüfungen oder sogar Maßnahmen wie Bußgelder zu erwarten. Weitere Informationen sowie der Fragebogen zum Download zu der Aktion der Behörden finden sich beispielswiese hier auf der Homepage der bayerischen Aufsichtsbehörde (BayLDA).

Planen Sie, personenbezogene Daten in Drittländer zu übermitteln oder tun dies bereits? Gerne beraten wir Sie zu den datenschutzrechtlichen Anforderungen an derartige Übermittlungen. Sprechen Sie uns an!