privacy shield safe harbor usa übermittlung ausland drittländer drittstaat binding corporate rules bcr angemessenheitsbeschluss japan

Datenübermittlung in Drittländer im Kontext der DSGVO

/von

Gemäß einer aktuellen Pressemitteilung der EU-Kommission vom 05.09.2018 wird für Japan ein sogenanntes Verfahren zur Annahme eines Angemessenheitsbeschlusses eingeleitet. Diese Nachricht nehmen wir zum Anlass, um uns mit der Thematik des „internationalen Datenverkehrs“ etwas ausführlicher zu beschäftigen.

Datenübermittlung in einer globalen Welt

In unserer globalisierten Welt übermitteln viele Unternehmen nicht nur geschäftliche Informationen, sondern unter anderem auch personenbezogene Daten ins außereuropäische Ausland (sog. Drittländer). Das Datenschutzniveau ist außerhalb Europas jedoch sehr uneinheitlich, so dass das erklärte Ziel der DSGVO, der Schutz der personenbezogenen Daten, nicht immer und überall ohne weiteres erreicht werden kann. Unternehmen, die personenbezogene Daten in ein Drittland übermitteln, haben jedoch unabhängig davon, welche Standards im Drittland gelten, dafür zu sorgen, dass ihre Datenverarbeitung den EU-Standards genügt. Die Europäische Kommission macht es sehr anschaulich und sagt, dass der Schutz, den die DSGVO gewährt, mit den Daten „reist“. Was bedeutet diese „Reise“ konkret für Ihr Unternehmen? Welche Vorschriften sind zu beachten, wenn personenbezogene Daten in ein Drittland übermittelt werden und welche Maßnahmen sind gegebenenfalls zu ergreifen? Etwas allgemeiner hatten wir schon einmal hier und hier Artikel zu dieser Thematik veröffentlicht. Was bedeutet schließlich die Nachricht der EU-Kommission, dass sie ein Verfahren zur Annahme eines Angemessenheitsbeschlusses einleitet? Gilt Japan damit bereits jetzt schon als sicheres Drittland?

Allgemeine Grundsätze der Datenübermittlung in Drittländer

Bevor die aufgeworfenen Fragen beantwortet werden (können), ist es notwendig, sich kurz mit den allgemeinen Grundsätzen der Datenübermittlung in Drittländer zu befassen. Die DSGVO kennt folgende zulässige Möglichkeiten des Datentransfers in ein Drittland:

  • Beschluss der EU-Kommission über die Angemessenheit des gebotenen Schutzniveaus (Angemessenheitsbeschluss) gemäß Art. 45 DSGVO,
  • Geeignete Garantien, die das nicht ausreichende Datenschutzniveau kompensieren sollen gemäß Art. 46 DSGVOArt. 47 DSGVO,
  • Rechtshilfeabkommen gemäß Art. 48 DSGVO,
  • Sonderfälle und Ausnahmen gemäß Art. 49 DSGVO.

Angemessenheitsbeschlüsse der EU-Kommission

Der für Verantwortliche unkomplizierteste und damit der angenehmste Fall ist der sogenannte Angemessenheitsbeschluss der EU-Kommission. Hierbei werden die Datenschutzbestimmungen bestimmter Länder umfassend durch die Kommission geprüft und das Datenschutzsystem des jeweiligen Landes bewertet. Wenn im Ergebnis festgestellt wird, dass das Datenschutzniveau im betreffenden Land den europäischen Datenschutz-Standards im Wesentlichen genügt, so wird nach einem förmlichen Verfahren ein Angemessenheitsbeschluss erlassen. Erst danach ist eine Datenübermittlung in ein Drittland aufgrund eines solchen Angemessenheitsbeschlusses ohne weitere Beschränkungen zulässig. Dabei ist zu beachten, dass gemäß Art. 46 Abs. 5 S. 2 DSGVO Feststellungen der Kommission, die bereits vor Wirksamkeit der DSGVO getroffen wurden, auch weiterhin gelten, solange diese nicht geändert oder aufgehoben werden.

Die Angemessenheitsbeschlüsse der EU-Kommission kommen, wie bereits erwähnt wurde, nicht etwa per Abstimmung der Kommissionsmitglieder (aktuell 28 EU-Kommissare) zustande, sondern durchlaufen ein mehrstufiges Annahmeverfahren, bei dem zunächst eine Stellungnahme des Europäischen Datenschutzausschusses und des Ausschusses aus Vertretern der EU-Mitgliedstaaten eingeholt wird. Danach wird der Ausschuss des EU-Parlaments für bürgerliche Freiheiten, Justiz und Inneres unterrichtet. Erst wenn dieses Verfahren abgeschlossen ist, wird ein Angemessenheitsbeschluss angenommen und wird damit zu geltendem EU-Recht. Die EU-Kommission hat ein solches Verfahren für Japan eingeleitet. Mit hoher Wahrscheinlichkeit wird Japan also demnächst zu den sicheren Drittländern gehören, sobald der Angemessenheitsbeschluss erlassen wurde. Bis dahin bleibt Japan vorerst ein nicht sicheres Drittland.

Ihre Angemessenheitsbeschlüsse veröffentlicht die EU-Kommission übrigens hier.

Im vorliegenden Zusammenhang möchten wir noch darauf hinweisen, dass nach dem Austritt Großbritanniens (UK) aus der EU (Brexit) das Vereinigte Königreich ab dem 30.03.2019 (00:00 Uhr CET) laut einer Mitteilung der EU-Kommission zum Drittland wird. Das hätte zur Folge, dass eine bisher zulässige Übermittlung personenbezogener Daten nach UK ab dem 30.03.2019 unzulässig wäre. Ebenso wäre zu überprüfen, inwiefern bereits bestehende Verarbeitungen in UK weiterhin durchgeführt werden dürfen. Hier zeichnet sich jedoch ab, dass die Lösung des Problems ebenfalls in einem Angemessenheitsbeschluss der EU-Kommission liegen könnte, denn die britische Regierung plant, das UK-Datenschutzrecht an die DSGVO anzupassen. Damit steht erfreulicherweise fest, dass UK keinen datenschutzrechtlichen Alleingang plant, sondern mit der EU trotz Brexit auch im Datenschutz weiterhin in enger Kooperation zusammenarbeiten möchte. Über aktuelle Entwicklungen in diesem Zusammenhang halten wir Sie natürlich auf dem Laufenden.

Geeignete Garantien

Soweit ein Angemessenheitsbeschluss nicht existiert, was regelmäßig der Fall ist (derzeit existieren nur 12 Angemessenheitsbeschlüsse), können die sogenannten „geeigneten Garantien“ die Gewähr dafür bieten, dass die Datenverarbeitung auf einem ausreichenden Datenschutzniveau stattfindet. Sinnvoll und hilfreich sind diese geeigneten Garantien außerdem auch für den Fall, dass ein Angemessenheitsbeschluss (wie dies bei Safe Harbor der Fall war) widerrufen wird. Ganz getreu dem Motto: Doppelt hält besser!

Was sind aber diese „geeigneten Garantien“? Wer muss und kann sie wie, in welcher Form bieten? Reicht vielleicht eine formlose „Garantieerklärung nach bestem Wissen und Gewissen“ aus?

Wenn in der DSGVO von „geeigneten Garantien“ die Rede ist, dann ist damit insbesondere folgendes gemeint:

Standarddatenschutzklauseln

Bisher als „Standardvertragsklauseln“ bekannt, sind die Standarddatenschutzklauseln keine einzelnen Vertragsklauseln, wie der Name es suggerieren könnte, sondern ein komplexes vertragliches Regelwerk, welches von der EU-Kommission erlassen wird und von Unternehmen genutzt werden kann, um mit den Geschäftspartnern im außereuropäischen Ausland datenschutzrechtliche Fragen rechtskonform zu regeln und damit ein angemessenes Datenschutzniveau zu erreichen. Zu beachten ist dabei, dass dieses Vertragswerk inhaltlich nicht geändert werden darf. Es sind lediglich durch die Vertragsparteien einige „Lücken“ zu füllen (zum Beispiel der Zweck der Verarbeitung und die verarbeiteten Datenkategorien), die restlichen Regelungen jedoch dürfen weder inhaltlich angepasst, noch umformuliert werden.

Unternehmensinterne Datenschutzvorschriften (engl. Binding Corporate Rules – BCR)

Die unternehmensinternen Datenschutzvorschriften sind in Art. 4 Nr. 20 DSGVO legaldefiniert als „Maßnahmen zum Schutz personenbezogener Daten, zu deren Einhaltung sich ein im Hoheitsgebiet eines Mitgliedstaats niedergelassener Verantwortlicher oder Auftragsverarbeiter verpflichtet im Hinblick auf Datenübermittlungen oder eine Kategorie von Datenübermittlungen personenbezogener Daten an einen Verantwortlichen oder Auftragsverarbeiter derselben Unternehmensgruppe oder derselben Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, in einem oder mehreren Drittländern“. Übersetzt heißt dies, dass Konzerne oder Unternehmensgruppen mit einer gemeinsamen wirtschaftlichen Tätigkeit eigene Vorschriften entwickeln können, die für alle beteiligten Unternehmen verbindlich gelten. Diese müssen von der zuständigen Datenschutzaufsichtsbehörde genehmigt werden.

Genehmigte Verhaltensregeln (engl. Code of Conduct – CoC)

Genehmigte Verhaltensregeln sind im Unterschied zu den BCR nicht von einzelnen Konzernen, sondern von ganzen Branchen-Verbänden und anderen Vereinigungen, die die Interessen von Verantwortlichen des jeweiligen Industriezweigs bzw. Dienstleistungssektors vertreten, ausgearbeitete Regelungen, die ohne eine weitere Genehmigung der Aufsichtsbehörde im Einzelfall als geeignete Garantien genutzt werden können, soweit sie von einer Aufsichtsbehörde insgesamt genehmigt wurden und von dem Europäischen Datenschutzausschuss veröffentlicht wurden. Aktuell sind uns solche genehmigten Verhaltensregeln, die den Anforderungen der Artt. 40, 46 DSGVO entsprechen würden, nicht bekannt.

Zertifizierungen

Im Rahmen eines Zertifizierungsverfahrens gemäß Art. 42 DSGVO können sich Unternehmen gemäß Art. 46 Abs. 2 lit. f DSGVO von einer akkreditierten Stelle zertifizieren lassen, um die rechtskonforme Datenverarbeitung auch in Bezug auf Datenübermittlung in Drittländer nachzuweisen. Dieser Nachweis (Zertifizierung) würde als eine geeignete Garantie im Sinne der DSGVO gelten. Aktuell gibt es allerdings noch keine offiziell akkreditierten Zertifizierungsstellen. Sobald ein entsprechendes Verfahren angeboten wird und entsprechende akkreditierten Zertifizierungsstellen geschaffen werden, werden wir darüber berichten.

Selbsterstellte einzelne Vertragsklauseln

Unternehmensintern ausgearbeitete, einzelne Vertragsklauseln bzw. abgeänderte Standarddatenschutzklauseln, die als geeignete Garantien benutzt werden sollen, müssen von der zuständigen Aufsichtsbehörde im Einzelfall geprüft und genehmigt werden. Wenn eine Genehmigung erteilt wird, können auch selbsterstellte Vertragsklauseln als geeignete Garantien verwendet werden.

Rechtshilfeabkommen

Als Verantwortlicher können Sie in einem internationalen Gerichtsverfahren oder im Rahmen eines ausländischen Verwaltungsverfahrens aufgefordert werden, personenbezogene Daten zu übermitteln. Nach Art. 48 DSGVO ist eine zulässige Datenübermittlung in diesen Fällen nur dann möglich, wenn zwischen der EU und dem ersuchenden Drittland ein sogenanntes Rechtshilfeabkommen existiert. Die Angemessenheitsbeschlüsse der EU-Kommission und die geeigneten Garantien reichen hier für eine Datenübermittlung nicht aus!

Soweit Sie als Verantwortlicher von einem ausländischen Gericht oder einer ausländischen staatlichen Verwaltungsstelle aufgefordert werden sollten, personenbezogene Daten zu übermitteln, dürfen Sie nicht ohne weiteres solchen Aufforderungen Folge leisten, sondern müssen sich erst vergewissern, dass eine Übermittlung zulässig ist. Hierzu empfiehlt es sich vor einer Datenübermittlung unbedingt, einen Rechtsanwalt zu konsultieren bzw. sich mit den Vorgaben der Aufsichtsbehörden vertraut zu machen, die für entsprechende Fälle bereits veröffentlicht wurden.

Keine Regel ohne Ausnahme

Gemäß Art. 49 Abs. 1 DSGVO können, soweit die oben dargestellten Alternativen nicht bestehen, personenbezogene Daten in folgenden Ausnahmefällen an ein Drittland zulässigerweise übermittelt werden:

  • Die betroffene Person willigt in die Übermittlung ein,
  • Die Übermittlung ist zur Vertragserfüllung zwischen der betroffenen Person und dem Verantwortlichen erforderlich,
  • Es besteht ein öffentliches Interesse an der Übermittlung,
  • Die Übermittlung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich,
  • Die Übermittlung erfolgt zum Schutz lebenswichtiger Interessen einer betroffenen Person, soweit diese außerstande ist, ihre Einwilligung zu geben,
  • Die Übermittlung betrifft Informationen aus öffentlichen Registern.

Als ein Auffangtatbestand dient der Art. 49 Abs. 1 U-Abs. 2 DSGVO, der zwecks Wahrung zwingender Interessen des Verantwortlichen eine Übermittlung in ein Drittland unter sehr engen Voraussetzungen für zulässig erklärt.

Was ist nun zu tun?

Die obigen Ausführungen zeigen, dass eine rechtskonforme Datenübermittlung in ein Drittland durchaus einige Risiken birgt. Wie geht man hier als Verantwortlicher nun am besten vor?

Wir fassen zusammen:

Wenn Ihr Unternehmen personenbezogene Daten in ein Drittland übermittelt, so sollten Sie zunächst prüfen, ob es einen Angemessenheitsbeschluss der EU-Kommission für das Land gibt, in welches Sie die personenbezogenen Daten übermitteln möchten. Ist dies der Fall, so ist der Datentransfer ohne weiteres zulässig, soweit es sich nicht um eine Datenübermittlung im Rahmen eines Gerichts- oder Verwaltungsverfahrens handelt, denn hierfür gelten andere Regeln (s.o.).

Wenn es keinen Angemessenheitsbeschluss gibt, so erreichen Sie über die geeigneten Garantien die Zulässigkeit der Datenübertragung in ein Drittland, indem Sie sich als Verantwortlicher für eine der oben genannten Alternativen (Standarddatenschutzklauseln, BCR, CoC, Zertifizierungen) soweit diese bereits verfügbar sind, entscheiden. Bei den unternehmensinternen Datenschutzvorschriften ist zu beachten, dass insbesondere deren Ausarbeitung mit einem hohen administrativen Aufwand und entsprechenden Kosten verbunden ist und diese nur innerhalb einer Unternehmensgruppe verbindlich gelten. Dies ist ein großer Nachteil gegenüber den Standarddatenschutzklauseln, die bereits ausgearbeitet wurden, Unternehmen seitens der EU-Kommission kostenlos zur Verfügung gestellt werden und Beziehungen nicht nur innerhalb einer Unternehmensgruppe, sondern auch mit Geschäftspartnern rechtskonform regeln können.

Wenn Sie keine geeigneten Garantien bieten können, ist an die Ausnahmen des Art. 49 DSGVO zu denken. Jedoch gerade bei den Ausnahmen ist zu berücksichtigen, dass die Aufsichtsbehörden die Ausnahmetatbestände bei einer Prüfung tendenziell eher restriktiv auslegen werden.

Übermittelt Ihr Unternehmen personenbezogene Daten in ein Drittland? Möchten Sie sicherstellen, dass diese Übermittlung rechtskonform erfolgt und zulässig ist? Wenden Sie sich an uns, wir unterstützen Sie gerne!


Diesen Beitrag teilen

Das könnte Dich auch interessieren
einwilligung auftragsverarbeitung auftragsdatenverarbeitung accountability rechenschaftspflicht informationspflicht besucherliste 6 1 a dsgvoEinwilligungserklärungen und Koppelungsverbot unter der DSGVO
Teilnehmerlisten im Kontext des BDSG
privacy shield safe harbor usa übermittlung ausland drittländer drittstaat binding corporate rules bcr angemessenheitsbeschluss japanPrivacy Shield – Abkommen zur Datenübermittlung in Kraft getreten
fingerabdruckBußgeld: Fingerabdrücke für 725.000 Euro
facebook fanpageFacebook ändert die AGB im Businessbereich – bleibt alles neu?
betriebliches Eingliederungsmanagement bem dienstleisterBEM – das betriebliche Eingliederungsmanagement