Übermittlung von Daten an Drittländer
Home » DSGVO » Wichtigste Werkzeuge und Maßnahmen » Übermittlung von Daten an Drittländer

Mikel Recuero Linares (UPV/EHU)

Dieser Teil des Leitfadens wurde von Marko Sijan, Senior Advisor Specialist, (HR DPA) überprüft und bestätigt.

 

In der DSGVO wird nicht ausdrücklich definiert, was unter einer Übermittlung von Daten an Drittländer oder internationale Organisationen (nachstehend „internationale Übermittlung“) zu verstehen ist. Die Regelung für internationale Übermittlungen ist jedoch in den Artikeln 44 bis 50 der Verordnung ausdrücklich festgelegt. Daher muss die Definition der internationalen Übermittlung durch die Bewertung jedes einzelnen Begriffs hergeleitet werden, was zu der folgenden Definition führt:

Die Verarbeitung, bei der ein Verantwortlicher oder ein Auftragsverarbeiter innerhalb des EWR („Datenexporteur“) personenbezogene Daten an einen Verantwortlichen oder einen Auftragsverarbeiter außerhalb des EWR („Datenimporteur“) oder eine internationale Organisation übermittelt (oder Zugang dazu gewährt).

Diese Übermittlungen sind absolut akzeptabel und oft notwendig, aber sie sollten das in der EU gegebene oder durch die DSGVO gewährte Schutzniveau für die betroffenen Personen nicht untergraben. Daher sollten Übermittlungen an Drittländer oder internationale Organisationen in voller Übereinstimmung mit Kapitel 5 der Datenschutz-Grundverordnung erfolgen.

Anforderungen

Übermittlungen personenbezogener Daten an Drittländer und internationale Organisationen dürfen nur durchgeführt werden:

  • Wenn der Verantwortliche oder der Auftragsverarbeiter die anderen Bestimmungen der Datenschutz-Grundverordnung eingehalten hat[1]. Vor der Durchführung der internationalen Übermittlung müssen auch die Bestimmungen und Anforderungen der Datenschutz-Grundverordnung eingehalten werden. Zusätzlich zu den spezifischen Vorschriften des Kapitels 5, die für Datenübermittlungen gelten, müssen der Datenimporteur und der Datenexporteur „die sonstigen Bestimmungen dieser Verordnung“ einhalten (z. B. allgemeine Grundsätze, Rechtsgrundlage, Ausnahmen für die Verarbeitung sensibler Daten usw.).
  • Wenn der Verantwortliche oder Auftragsverarbeiter bestimmte Bedingungen für die Übermittlung personenbezogener Daten einhält. Dies kann im Wesentlichen durch drei Instrumente geschehen, und zwar in genau dieser Reihenfolge:

  • Diese Grundsätze und Anforderungen gelten nicht nur für die erste Datenübermittlung, sondern auch für die Weiterübermittlung an andere Verantwortliche oder Auftragsverarbeiter in demselben oder einem anderen Drittland oder einer internationalen Organisation[2].

A) Übertragungen auf der Grundlage eines Angemessenheitsbeschlusses

Erstens kann eine Übermittlung nur dann durchgeführt werden, wenn sie durch einen Angemessenheitsbeschluss gedeckt ist. Bei diesem Beschluss handelt es sich um eine Entscheidung der Europäischen Kommission, dass der in dem betreffenden Land, Gebiet, Sektor oder der internationalen Organisation geltende Rechtsrahmen einen „angemessenen“ Schutz der Rechte und Freiheiten natürlicher Personen in Bezug auf ihre personenbezogenen Daten[3] bietet. Ein „Angemessenheitsbeschluss“ ist ein Durchführungsrechtsakt der Kommission[4], der nach einem Prüfverfahren[5]erlassen wird und einer regelmäßigen Überprüfung unterliegt.

Der Erlass eines Angemessenheitsbeschlusses beinhaltet:

  • einen Vorschlag der Europäischen Kommission;
  • eine Stellungnahme des Europäischen Datenschutzausschusses („EDSA“);
  • eine Genehmigung von Vertretern der EU-Länder und
  • Die Annahme des Beschlusses durch die Europäischen Kommissare.

Ziel dieses Beschlusses ist es daher zu beurteilen, ob ein Land, ein Gebiet, ein Sektor oder eine internationale Organisation ein „angemessenes“ Schutzniveau für die Rechte und Freiheiten des Einzelnen bietet (siehe „Rechte der betroffenen Person“ in Teil II dieser Leitlinien). Darüber hinaus sind in Artikel 45 Absatz 2 der Datenschutz-Grundverordnung die Elemente aufgeführt, die die Kommission bei der Bewertung der Angemessenheit des Schutzniveaus in einem Drittland oder einer internationalen Organisation berücksichtigen muss.

Die Vorteile von Angemessenheitsbeschlüssen für die Durchführung internationaler Übermittlungen liegen auf der Hand. Der Beschluss hat EU-weite Wirkung[6] und es ist keine besondere Genehmigung erforderlich[7]. Dieser Mechanismus birgt jedoch auch einige Mängel:

  • Es gibt nur sehr wenige Länder, in denen gültige Angemessenheitsbeschlüsse in Kraft sind[8].
  • Die geltenden Angemessenheitsbeschlüsse gelten nicht notwendigerweise für alle Verarbeitungen und Sektoren und/oder decken diese ab.
  • Die Rechtsprechung des Gerichtshofs der Europäischen Union hat die Robustheit und das Vertrauen in diese Instrumente erheblich geschwächt. Hier sei insbesondere auf die Urteile Schrems I[9] und II[10] verwiesen, mit denen unter anderem die Beschlüsse „Safe Harbour“ und „Privacy Shield“ für nichtig erklärt wurden:
    • Der Ausdruck „angemessenes Schutzniveau“ ist jedoch so zu verstehen, dass verlangt wird, dass das Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen tatsächlich ein Schutzniveau der Freiheiten und Grundrechte gewährleistet, das dem in der Union aufgrund der Richtlinie 95/46 im Licht der Charta garantierten Niveau der Sache nach gleichwertig ist,[11], auch wenn sich die Mittel, auf die das Drittland insoweit zurückgreift, von denen unterscheiden können, die in der Union herangezogen werden[12].
    • Die nationalen Kontrollstellen haben zu überwachen, ob bei einer Übermittlung personenbezogener Daten aus ihrem Mitgliedstaat in ein Drittland die in der Richtlinie 95/46 aufgestellten Anforderungen eingehalten werden.[13] Solange die Entscheidung der Kommission vom EuGH nicht für ungültig erklärt wird, können die Mitgliedstaaten und die Kontrollstellen jedoch in der Regel keine keine dieser Entscheidung zuwiderlaufenden Maßnahmen treffen[14]. Dies kann Personen, deren personenbezogene Daten in ein Drittland übermittelt worden sind oder übermittelt werden könnten, nicht daran hindern, eine Beschwerde einzureichen[15].
    • Rechtsvorschriften, die Behörden einen allgemeinen Zugang zum Inhalt elektronischer Kommunikation ermöglichen, müssen als Beeinträchtigung des Wesens der Grundrechte der europäischen Betroffenen angesehen werden[16]. Auch Rechtsvorschriften, die einer Person keine Möglichkeit geben, Rechtsmittel einzulegen, um Zugang zu den sie betreffenden personenbezogenen Daten zu erhalten oder die Berichtigung oder Löschung der Daten zu erwirken, verletzen den Kern des Grundrechts auf einen wirksamen Rechtsschutz[17].

B) Übertragungen mit angemessenen Sicherheitsvorkehrungen

Liegt kein „Angemessenheitsbeschluss“ vor, darf ein Verantwortlicher oder ein Auftragsverarbeiter personenbezogene Daten nur dann in ein Drittland oder an eine internationale Organisation übermitteln, wenn der Verantwortliche oder der Auftragsverarbeiter angemessene Garantien vorgesehen hat und wenn durchsetzbare Rechte der betroffenen Personen und wirksame Rechtsbehelfe für die betroffenen Personen zur Verfügung stehen[18]. Das heißt, wenn es keinen „Angemessenheitsbeschluss“ für das Land, das Gebiet oder den Sektor gibt, in das/den die Übermittlung erfolgen soll, kann der Verantwortliche oder der Auftragsverarbeiter zwischen den in Artikel 46 der Datenschutz-Grundverordnung genannten Mechanismen wählen, um „angemessene Garantien“ zu bieten.

Bei der Anwendung der Verfahren nach Artikel 45 muss keine bestimmte Reihenfolge eingehalten werden. Es ist möglich, die Mechanismen je nach den besonderen Bedürfnissen oder dem Zweck der Verarbeitung auszuwählen. Die Datenschutz-Grundverordnung klassifiziert diese Mechanismen jedoch danach, ob sie eine besondere Genehmigung einer Aufsichtsbehörde erfordern oder nicht:

  • Mechanismen, die keiner besonderen Genehmigung durch eine Aufsichtsbehörde bedürfen[19]:
    • Rechtlich bindende und durchsetzbare Instrumente zwischen Behörden oder Einrichtungen, z. B. Verwaltungsvereinbarungen, die einklagbare und wirksame individuelle Rechte beinhalten
    • Verbindliche interne Datenschutzvorschriften. Diese werden üblicherweise für Datenübermittlungen innerhalb multinationaler Unternehmen verwendet. Sie sind ein interner Verhaltenskodex innerhalb eines multinationalen Konzerns, der für die eingeschränkte Übermittlung personenbezogener Daten von den EWR-Unternehmen des Konzerns an Nicht-EWR-Unternehmen gilt. Es gibt zahlreiche Dokumente über interne Datenschutzvorschriften, die vom Europäischen Datenschutzausschuss und der ehemaligen Artikel-29-Datenschutzgruppe angenommen wurden[20]
    • Von der Kommission angenommene Standardvertragsklauseln (SCC). Sie werden auch als Musterklauseln bezeichnet. Sie enthalten vertragliche Pflichten für den Datenexporteur und den Datenimporteur sowie Rechte für die betroffenen Personen. Daher müssen sie sowohl vom Datenexporteur (Land des Europäischen Wirtschaftsraums) als auch vom Datenimporteur (Land außerhalb des Europäischen Wirtschaftsraums oder internationale Organisation) unterzeichnet werden. Die Europäische Kommission hat SCC-Modelle für Verantwortliche und für Auftragsverarbeiter[21] angenommen.
    • Genehmigte Verhaltensregeln. Die Übermittlung könnte durchgeführt werden, wenn der Empfänger Verhaltensregeln unterzeichnet hat, die zuvor von einer Aufsichtsbehörde genehmigt wurden. Die Verhaltensregeln müssen Mindestinhalte und -anforderungen gemäß Artikel 40 DSGVO (d. h. angemessene Garantien zum Schutz der Rechte des Einzelnen) enthalten. Der EDSA hat eine Reihe von Leitlinien für Verhaltensregeln angenommen.[22] Es sind noch keine genehmigten Verhaltensregeln in Gebrauch. Viele Einrichtungen und Organisationen sind jedoch dabei, Verhaltensregeln zu entwickeln (z. B. entwickelt das BBMRI-ERIC Verhaltensregeln für die Gesundheitsforschung).[23]
    • Eine anerkannte Zertifizierung. Die Übermittlung kann durchgeführt werden, wenn der Empfänger über eine Zertifizierung im Rahmen eines von einer Aufsichtsbehörde genehmigten Systems verfügt. Der Zertifizierungsmechanismus muss Mindestinhalte und -anforderungen gemäß Artikel 40 DSGVO enthalten (d. h. angemessene Garantien zum Schutz der Rechte natürlicher Personen). Der EDSA hat eine Reihe von Leitlinien für Zertifizierungsmechanismen angenommen[24]. Bisher sind noch keine genehmigten Zertifizierungsmechanismen im Einsatz.
  • Mechanismen, die eine Genehmigung der zuständigen Aufsichtsbehörde erfordern:
    • Von einer Aufsichtsbehörde genehmigte Vertragsklauseln. Auch wenn die von der Europäischen Kommission angenommenen Musterklauseln nicht verwendet werden, können andere Modelle von SCC angenommen werden, wenn sie zuvor von der zuständigen Aufsichtsbehörde einzeln genehmigt wurden.
    • Bestimmungen, die in Verwaltungsvereinbarungen zwischen Behörden oder Einrichtungen aufgenommen werden, die durchsetzbare und wirksame Rechte für die betroffenen Personen enthalten, z. B. in einem Dokument wie einer Vereinbarung.

Dennoch hat die Rechtsprechung, die sich aus dem Schrems-II-Urteil des Gerichtshofs der Europäischen Union ergibt, wichtige Konsequenzen für die Standardvertragsklauseln und die übrigen Mechanismen für die Übermittlung von Daten in Drittländer auf der Grundlage angemessener Garantien. Erstens, weil betroffenen Personen, deren personenbezogene Daten aufgrund von Standardvertragsklauseln (oder anderen Mechanismen) in ein Drittland übermittelt werden, ein Schutzniveau (wie im Rahmen eines Angemessenheitsbeschlusses) gewährt werden sollte, das im Wesentlichen dem innerhalb der Europäischen Union garantierten Schutzniveau entspricht[25]. Zweitens, weil dies je nach der in einem bestimmten Drittland herrschenden Lage erfordern kann, dass der Verantwortliche zusätzliche Maßnahmen ergreift, um die Einhaltung dieses Schutzniveaus[26] zu gewährleisten. Wenn der in der EU niedergelassene Datenexporteur nicht in der Lage ist, geeignete ergänzende Maßnahmen zu ergreifen, ist er verpflichtet, die Übermittlung personenbezogener Daten auszusetzen oder zu untersagen, „wenn gegen diese Klauseln verstoßen wird oder wenn es unmöglich ist, sie einzuhalten“[27].

C) Ausnahmeregelungen für besondere Situationen

Fällt die Übermittlung weder unter einen Angemessenheitsbeschluss noch unter einen geeigneten Schutzmechanismus, so darf sie nur dann durchgeführt werden, wenn sie unter eine der in Artikel 49 DSGVO[28] genannten Ausnahmeregelungen oder Situationen fällt:

  • Wenn die betroffene Person in die vorgeschlagene Übermittlung ausdrücklich eingewilligt hat.
  • Wenn die Übermittlung für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder für die Durchführung vorvertraglicher Maßnahmen auf Antrag der betroffenen Person erforderlich ist.
  • Wenn die Übermittlung zum Abschluss oder zur Erfülllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einer anderen natürlichen oder juristischen Person geschlossenen Vertrags erforderlich ist.
  • Wenn die Übermittlung aus wichtigen Gründen des öffentlichen Interesses notwendig ist.
  • Wenn die Übermittlung ur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen n erforderlich ist.
  • Wenn die Übermittlung zum Schutz lebenswichtiger Interessen der betroffenen Person oder anderer Personen erforderlich ist, sofern die betroffene Person aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben.
  • Wenn die Übermittlung aus einem Register erfolgt, das gemäß dem Recht der Union oder der Mitgliedstaaten zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offensteht.

Weitere Lektüre

Artikel-29-Datenschutzgruppe, Recommendation on the approval of the

Processor Binding Corporate Rules form. https://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=51307

Artikel-29-Datenschutzgruppe. Recommendation on the Standard Application for Approval of Controller Binding Corporate Rules for the Transfer of Personal Data.. https://edpb.europa.eu/sites/edpb/files/files/file2/wp264_art29_wp_bcr-c_application_form.pdf

Gerichtshof der Europäischen Union. Urteil vom 16. Juli 2020, Data Protection Commissioner gegen Facebook Ireland Ltd, Maximillian Schrems, (C-311/18, Schrems II).

Gerichtshof der Europäischen Union. Urteil vom 6. Oktober 2015, Maximillian Schrems/ Data Protection Commissioner (C-362/14, Schrems I).

Europäische Kommission. Binding Corporate Rules (BCR). https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/binding-corporate-rules-bcr_en

Europäische Kommission. Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates. C/2021/3972. ABl. L 199 vom 7.6.2021, S. 31-61. Verfügbar unter: https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj.

Europäische Kommission. Rules on international data transfers. https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/rules-international-data-transfers_en

Europäischer Datenschutzausschuss (EDSA). Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation. https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_201801_v3.0_certificationcriteria_annex2_en.pdf

Europäischer Datenschutzausschuss (EDSA). Guidelines 1/2019 on Codes of Conduct and Monitoring Bodies under Regulation 2016/679. https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_201901_v2.0_codesofconduct_en.pdf

Europäischer Datenschutzausschuss (EDSA). Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679. //edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_2_2018_derogations_en.pdf

 

Quellenangaben

1Siehe Artikel 44 der Datenschutz-Grundverordnung: „Jedwede Übermittlung personenbezogener Daten (…) ist nur zulässig, wenn auch die sonstigen Bestimmungen dieser Verordnung eingehalten werden (…)“

2Siehe Artikel 44 in fine der Datenschutz-Grundverordnung.

3Artikel 45 Absatz 1 der Datenschutz-Grundverordnung.

4Artikel 45 Absatz 3 der Datenschutz-Grundverordnung.

5Artikel 93 Absatz 2 der Datenschutz-Grundverordnung.

6Erwägungsgrund 103 der Datenschutz-Grundverordnung.

7Artikel 45 Absatz 1 in fine der Datenschutz-Grundverordnung.

8Nach der weiteren Nichtigerklärung des Privacy Shield durch den EuGH sind derzeit nur noch Beschlüsse mit folgenden Ländern in Kraft: Andorra, Argentinien, Kanada (kommerzielle Organisationen), Färöer-Inseln, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland, Schweiz und Uruguay.

9Gerichtshof der Europäischen Union. Urteil vom 6. Oktober 2015, Maximillian Schrems/Data Protection Officer (C-362/14, Schrems I).

10Gerichtshof der Europäischen Union. Urteil vom 16. Juli 2020, Datenschutzbeauftragter gegen Facebook Ireland Ltd, Maximillian Schrems, (C-311/18, Schrems II)

11Gerichtshof der Europäischen Union. Urteil vom 6. Oktober 2015, Maximillian Schrems/Datenschutzbeauftragter (C-362/14, Schrems I). RdNr. 73.

12Ibid. RdNr. 74.

13Ibid. RdNr. 47.

14Ibid. RdNr. 52.

15Ibid. RdNr. 53 und 66.

16EuGH-Urteil vom 16. Juli 2020, Data Protection Commissioner gegen Facebook Ireland Ltd, Maximillian Schrems, (C-311/18, Schrems II) RdNr.. 185.

17Ibid. RdNr. 197 und 198.

18Art. 46 DSGVO.

19Gemäß Art. 46 Absatz 2 DSGVO.

20EG. Binding Corporate Rules (BCR). Unter: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/binding-corporate-rules-bcr_en, abgerufen am 12. Mai 2020.

21Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates. C/2021/3972. ABl. L 199 vom 7.6.2021, S. 31-61. Verfügbar unter: https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj.

22EDSA. Leitlinien 1/2019 zu Verhaltensregeln und Kontrollstellen gemäß der Verordnung (EU) 2016/679, Version 2.0, 4. Juni 2019. Unter: https://edpb.europa.eu/sites/edpb/files/files/file1/EDSA_guidelines_201901_v2.0_codesofconduct_en.pdf Zugriff am 12. Mai 2020

23BBMRI-ERIC, Code of Conduct for Health Research: taking up speed & calling for your input, Unter: https://www.bbmri-eric.eu/news-events/code-of-conduct-for-health-research/ Zugriff am 12. Mai 2020

24EDSA. Leitlinien 1/2018 zur Zertifizierung und zur Ermittlung der Zertifizierungskriterien gemäß Artikel 42 und 43 der Verordnung Version 3.0 4. Juni 2019. Unter: https://edpb.europa.eu/sites/edpb/files/files/file1/EDSA_guidelines_201801_v3.0_certificationcriteria_annex2_en.pdf. Abgerufen: 12. Mai 2020.

25Gerichtshof der Europäischen Union. Urteil vom 16. Juli 2020, Data Protection Commissioner gegen Facebook Ireland Ltd, Maximillian Schrems, (C-311/18, Schrems II). RdNr. 96.

26Ibid. RdNr. 132 und 125.

27Ibid. RdNr. 134 und 135.

28Weitere Informationen zu Art. 49 Abweichungen und Ausnahmen finden Sie unter EDSA, Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679, angenommen am 25 Mai 2018, Unter: https://edpb.europa.eu/sites/edpb/files/files/file1/EDSA_guidelines_2_2018_derogations_en.pdf Abgerufen: 14. Mai 2020

 

Skip to content