• Datenschutz

Rechtmäßige Datenübermittlung in ein Drittland nach der DSGVO

EU–Datenschutz­standard und Rechtmäßigkeits­voraussetzungen

Mit der Einführung der DSGVO wurde in der EU ein hoher Datenschutz­standard erreicht. Jedoch werden personen­bezogene Daten nicht nur innerhalb der EU ausgetauscht, sondern auch an Drittländer übermittelt. Um den europäischen Mindest­standard nicht zu untergraben, regelt die DSGVO in den Art. 44 – 50 den Datenaustausch mit Ländern, die nicht in der EU liegen. Adressat der Regelung sind sowohl Verantwortliche als auch Auftragsverarbeiter.

Die rechtmäßige Übertragung in ein Drittland besteht aus zwei Stufen.

  • Stufe 1: Es müssen die allgemeinen Rechtmäßigkeits­voraussetzungen beachtet werden (z.B. die Einwilligung des Betroffenen, berechtigtes Interesse des Unternehmens)
  • Stufe 2: Auf dieser Stufe sind die zusätzlichen Anforderungen nach Art. 44 – 50 DSGVO zu beachten.

Bei der Übermittlung in ein Drittland besteht häufig die Fehlannahme, dass lediglich die zweite Stufe erfüllt werden müsse. Jedoch stellt Art. 44 S. 1 DSGVO klar, dass die Übermittlung nur dann zulässig ist, wenn auch die sonstigen Bestimmungen dieser Verordnung eingehalten werden. Daher ist unbedingt darauf zu achten, die Anforderungen beider Stufen zu erfüllen.

Um das Datenschutz­niveau der EU in andere Länder zu exportieren, sieht die DSGVO eine Vielzahl von Möglichkeiten vor.

  • Angemessenheits­beschluss der EU-Kommission (Art. 45 DSGVO)
  • Standarddatenschutz­klauseln (46 II lit. c oder d DSGVO), Standard­vertrags­klauseln (26 IV DSRL iVm Art. 46 V S. 2 DSGVO)
  • Verbindliche interne Datenschutz­vorschriften (Art. 47 DSGVO)
  • Sonstige geeignete Garantien (z.B. Zertifizierung nach Art. 42 DSGVO)

Besonders praxisrelevant sind dabei der Angemessenheits­beschluss der EU sowie die Standard­datenschutz­klauseln, auf die daher näher eingegangen wird.

Angemessenheitsbeschluss

Soweit die allgemeinen Rechtsmäßigkeits­voraussetzungen vorliegen, ist die Übermittlung in ein Drittland immer dann möglich, wenn die Kommission ein angemessenes Niveau festgestellt hat. Auf der Basis der DSGVO liegt noch kein Angemessenheits­beschluss vor. Jedoch entfalten die Feststellungen, die die Kommission nach der alten Datenschutz­richtlinie festgestellt hat, rechtliche Wirkung unter der DSGVO nach Art. 45 IX. Dazu gehören Länder wie z.B. USA, Kanada und die Schweiz. Für bestimmte Länder ergeben sich aus dem Angemessenheitsbeschluss jedoch Einschränkungen, sodass ein Datentransfer nicht ohne die Erfüllung weiterer Voraussetzungen möglich ist.

EU-US Privacy Shield

Von besonderer Bedeutung sind die USA, denn der Angemessenheitsbeschluss erfasst nur Daten­übermittlungen an Unternehmen in den USA, die EU-US Privacy Shield zertifiziert sind. Der EU-US Privacy Shield ist aus einer informellen Absprache zwischen der EU-Kommission und dem Handels­ministerium der USA entstanden. Interessierte amerikanische Unternehmen können sich in eine Datenschutz­schild-Liste eintragen lassen, die vom US-Handels­ministerium geführt wird. Dadurch verpflichten sie sich die folgenden Rechte von EU-Betroffenen zu achten:

  • Recht auf Information
  • Recht auf Auskunft
  • Ggf. Recht auf Löschung
  • Ggf. Recht auf Widerspruch gegen eine Daten­verarbeitung
  • Recht auf Inanspruchnahmen von Beschwerde-/Abhilfe­verfahren
  • Recht auf Einreichung eines Antrags zur Anrufung der sogenannten Ombudsperson

Alle unter dem EU-US Privacy Shield zertifizierten Unternehmen haben sich zudem zu den folgenden vier Prinzipien bekannt:

  • Datensparsamkeit
  • Datenverarbeitung nur mit Zweckbindung
  • Beantwortung von Beschwerden innerhalb von 45 Tagen
  • Kooperation im Falle einer Untersuchung

Trotz der vielen Rechte, die den EU-Bürgern zustehen, sieht sich der Privacy Shield vielfacher Kritik ausgesetzt. Das liegt insbesondere daran, dass es an Nachweisen fehlt, inwieweit amerikanische Unternehmen sich an die Pflichten des Privacy Shield halten. Zudem ist die tatsächliche Durchsetzung der Rechte der Betroffenen Kritik ausgesetzt, da im Falle einer Streitigkeit der eingesetzte Ombudsmann – als Beamter des US-Ministeriums – nicht ausreichend unabhängig ist und keine ausreichenden Kompetenzen hat. Außerdem handelt es sich beim Privacy Shield lediglich um eine informelle Absprache zwischen der EU und der US-Regierung, die nicht rechtlich bindend ist. Auf Vorlage des irischen High Court wird der Privacy Shield daher derzeit vor dem EuGH geprüft.

Standard­datenschutz­klauseln

Liegt kein Angemessenheits­beschluss vor, so kann der europäische Datenschutz­standard mittels der sog. Standard­datenschutz­klauseln in das Zielland exportiert werden. Es handelt sich dabei um vorformulierte vertragliche Klauseln. Die älteren sog. Standard­vertrags­klauseln gelten jedoch noch solange fort, bis die Kommission sie ersetzt (Art. 46 V S. 2 DSGVO). Das vorformulierte Muster darf nicht geändert werden. Es sei denn zur Integration in einen anderen Vertrag und zur Ergänzung weiterer Klauseln und Garantien, die nicht im Widerspruch zu den Standard­datenschutz­klauseln stehen dürfen.

Auch die Standard­vertrags­klauseln stehen in der Kritik und werden vom EuGH überprüft. Es wird von einigen Datenschützern angezweifelt, dass die Standard­vertrags­klauseln als Rechtsgrundlage für die Übermittlung an einen Auftrags­verarbeiter in ein Drittland ausreichen und fordern zusätzlich das Abschließen eines Auftrags­verarbeitungs­vertrags nach Art. 28 DSGVO. In seiner Schlussrede vor dem EuGH stellte der Generalanwalt jedoch klar, dass die Standard­vertrags­klauseln eine geeignete Rechts­grundlage darstellen. Die Stellungnahme ist zwar rechtlich nicht bindend, jedoch folgt das Gericht in der überwiegenden Mehrheit der Fälle der Ansicht des Generalanwalts. Die Entscheidung des EuGH – in der Rechtssache C-311/18 – wird in diesem Monat erwartet.

Ausnahmen

Für den Fall, dass weder ein Angemessenheits­beschluss vorliegt noch andere geeignete Garantien wie Standard­datenschutz­klauseln vorliegen, sieht die DSGVO Ausnahmen für bestimmte Fälle vor (Art. 49 DSGVO). Am relevantesten ist die Einwilligung nach Art. 49 I lit. a DSGVO. Eine Datenübermittlung in ein Drittland ist immer dann zulässig, wenn die betroffene Person ausdrücklich eingewilligt hat, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Daten­übermittlungen ohne Vorliegen eines Angemessenheits­beschlusses und ohne geeignete Garantien unterrichtet wurde.

Fazit

Abschließend bleibt festzuhalten, dass die DSGVO zur Daten­übermittlung in ein Drittland viele Möglichkeiten bietet. Trotz der vielen Kritik am EU-US Privacy Shield ist eine Übermittlung in die USA datenschutz­konform möglich, sodass keine Bußgelder zu befürchten sind. Es bleibt jedoch abzuwarten, wie der EuGH bezüglich der Standard­vertrags­klauseln und des EU – US Privacy Shield urteilt.

Die zurzeit gültigen Standard­vertrags­klauseln mit einem Auftrags­verarbeiter finden unsere Kunden auch online im myGINDAT-Portal im Gesamtpaket unter „09 Auftragsverarbeitung“.