Drittlandübermittlung nach DSGVO

Drittlandübermittlung nach DSGVO

In den Blog "Datenübermittlung nach DSGVO"haben wir bereits über die Datenübermittlung innerhalb des Europäischen Wirtschaftsraums (folgend „EWR“) berichtet. Hierbei wurde festgestellt, dass dies ein komplexes Themengebiet sein kann. Ausgelassen wurde bisher der Transfer personenbezogener Daten in Drittländer, also jener Staaten, die nicht Mitglied im EWR sind.

Was sind Drittstaaten und wann liegt ein Drittstaatentransfervor?

Als Drittland gilt jedes Land, dass nicht Mitglied der EU oder des EWR ist. Anders als der Begriff „Drittstaatentransfer“ vermuten lässt, müssen Daten nicht notwendigerweise in ein Drittland „transferiert“, „übermittelt“ oder „übersendet werden. Vielmehr reicht es aus, wenn die betroffenen personenbezogenen Daten auf Servern im EWR gespeichert sind und aus einem Drittstaat abgerufen werden.

In der Praxisergeben sich hieraus zahlreiche Anwendungsbeispiele, die bspw. wie folgt aussehen können:

1.    Aktiver Versand in Drittländer

2.    IT-Supportzugriffe ausDrittländern

3.    Behördenzugriffe ausDrittländern

4.    Social-Media-Plattformen ausDrittländern

In diesen und ähnlich gelagerten Fällen sind die Vorschriften zur Datenübermittlung in Drittstaaten aus Art. 44 ff. DSGVO zu beachten. Übrigens gilt dies auch, wenn nur der Auftragnehmer in der EU ansässig ist und hier – z.B. als IT-Dienstleister oder Tochterunternehmen eines US-Konzerns – personenbezogene Daten im Auftrag verarbeitet.

Folgende Voraussetzungen müssen erfüllt sein

Als Verantwortlicher müssen Sie für die Einhaltung der gesetzlichen Voraussetzungen wissen, ob der Dienstleiter ist einem sicheren oder unsicheren Drittstaat die Daten verarbeitet. Ein Land gilt bspw. als sicher, wenn die Europäische Kommission nach Prüfung verschiedener Kriterien feststellt, dass ein Drittland das Schutzniveau der DSGVO mit eigenen Datenschutzgesetzen erfüllt. Wenn die Kommission so etwas festgestellt hat, ist die Rede von einem sog. Angemessenheitsbeschluss gem. Art. 45 Abs. 3 DSGVO. Wird eine Datenübermittlungvon einem Angemessenheitsbeschluss umfasst, kann die Datenübermittlung in der Regel ohne hohe Risiken vorgenommen werden. Derzeit existieren u. a. für Argentinien, Israel, Japan (nur in Bezug auf den Privatsektor), Kanada (nur in Bezug auf den Privatsektor), Neuseeland, Schweiz, Uruguay und das Vereinigte Königreich Angemessenheitsbeschlüsse. Da sich diese Liste jederzeit verändern kann, wird eine regelmäßige Prüfung der vorhandenen Angemessenheitsbeschlüsse empfohlen.

Liegt kein Angemessenheitsbeschluss vor, geht die DSGVO davon aus, dass das Drittland oder eine internationale Organisation kein angemessenes Datenschutzniveau bietet.Dann muss der Drittstaatentransfer von weiteren Schutzmaßnahmen (sog. geeignete Garantien) abgesichert werden.

Die DSGVO kennt folgende Arten von geeigneten Garantien:

1.    Standarddatenschutzklauseln(SCC), die von der Europäischen Kommission erlassen wurden, können ohne weitere Genehmigung durch die Aufsichtsbehörden als Grundlage für Datenübermittlungen in Drittstaaten und an internationale Organisationen genutzt werden, wenn sie im Wesentlichen unverändert in Verträge zwischen den beteiligten Parteien übernommen werden. Die Standarddatenschutzklauseln finden Sie unter: Durchführungsbeschluss(EU) 2021/914.

2.    Einzeln ausgehandelte Vertragsklauseln, sind individuell zwischen den Vertragspartnern ausgehandelte Datenschutzklauseln zum Schutze der personenbezogenen Daten. Bevor diese von Ihnen als geeignete Garantie genutzt werden können, muss die für Sie zuständige Aufsichtsbehörde diese genehmigen.

3.    Verbindliche interne Datenschutzvorschriften, können als geeignete Garantien bspw. von international tätigen Konzernen genutzt werden, die personenbezogene Daten hin und her senden. In der Regel dürfte dies für Vereine weniger einschlägig sein.

4.    Genehmigte Verhaltensregeln (Code of Conduct) oder ein genehmigterZertifizierungsmechanismus

Sowohl branchenspezifische Verhaltensregeln (Code of Conduct) als auch Zertifizierungsmechanismen können nach der DSGVO Grundlage für einen internationalen Datentransfer sein, wenn sie von der zuständigen Aufsichtsbehörde genehmigt bzw. von der Zertifizierungsstelle oder der Aufsichtsbehörde erteilt wurden. Diese Instrumente müssen allerdings von rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters im Drittstaat, insbesondere im Hinblick auf die Betroffenenrechte, begleitet werden.

Liegen für Ihr Vorhaben geeignete Garantien vor, können Sie sich darauf verlassen, dass der Empfänger im Drittland geeignete Maßnahmen getroffen hat, um den Schutz personenbezogener Daten zu gewährleisten. Unabhängig hiervon ist die verantwortliche Stelle verpflichtet sich von der Einhaltung des Schutzniveaus regelmäßig zu überzeugen. Für den Fall, dass kein Angemessenheitsbeschluss und auch keine geeigneten Garantien vorliegen, sieht der europäische Gesetzgeber zudem in Art.49 DSGVO Ausnahmen vor. Diese Ausnahmen umfassen folgende Situationen:

1.    Wenn eine Einzelperson ausdrücklich in die vorgeschlagene Übermittlung eingewilligt hat, nachdem sie alle erforderlichen Informationen über die mit der Übermittlung verbundenenRisiken erhalten hat.

2.    Wenn die Übermittlung für die Erfüllung oder den Abschluss eines Vertrags zwischen der Einzelperson und dem Verantwortlichen erforderlich ist, oder wenn der Vertag im Interesse der Einzelperson geschlossen wird.

3.    Wenn die Datenübermittlung aus wichtigen Gründen des öffentlichen Interesses notwendig ist.

4.    Wenn die Datenübermittlung für die Wahrung der zwingenden berechtigten Interessen der Organisation erforderlich ist.

Die Ausnahmen des Art. 49 DSGVO dürfen nach den Leitlinien des Europäischen Datenschutzausschusses nicht für regelmäßige Datentransfers verwendet werden, die eine Vielzahl von Personen betreffen. Insofern stellen diese lediglich eine Ausnahme dar.

In jedem Fall ist die Rechtmäßigkeit des Datentransfers in Drittländer so zu dokumentieren, dass die zuständige Aufsichtsbehörde die Einhaltung der Art. 44 ff DSGVO prüfen kann. Sofern ein Verzeichnis von Verarbeitungstätigkeiten geführt wird, sind die Grundlagen für die Datenübermittlung hierin zu nennen.  Zusätzlich sollten Sie überprüfen, ob Sie Ihre Pflichten zur Transparenz (z.B. die Datenschutzinformationen nach Art. 13 DSGVO)anpassen müssen.

Zusammenfassung

Der rechtssichere Drittstaatentransfer ist eine schwierige Angelegenheit. Was in der Theorie schwer klingt, ist in der Praxis nicht einfacher. Häufig stehen„kleine“ Verantwortliche vor der Herausforderung mit „großen“ Unternehmen über eine geeignete Grundlage für einen Drittstaatentransfer zu verhandeln. Oftmals gleicht dies dem Kampf David gegen Goliath und dem kleinen Partner bleibt oftmals nur die Entscheidung für oder gegen einen Dienstleister zu treffen. Daher ist es umso wichtiger, dass Sie sich ordentlich über die potenziellen Risiken informieren, die bei der Einbindung von Dienstleistern aus Drittstaaten entstehen können. Wenn Sie keinen eigenen Datenschutzbeauftragten haben, helfen ggf. die zuständigen Datenschutzbehörden weiter.

Weitere Informationen finden Sie unter:

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit; Prüfschema Drittstaatentransfers; Stand: 04.10.2021; aufrufbar unter: https://www.bfdi.bund.de/SharedDocs/Downloads/DE/EU_UN/Pruefschema-Schrems-II.pdf;jsessionid=F335A4654B1EF2D81FC6D10932D5D621.intranet231?__blob=publicationFile&v=6.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit; InternationalerDatentransfer; aufrufbar unter: https://www.bfdi.bund.de/DE/Fachthemen/Inhalte/Europa-Internationales/Internationaler_Datentransfer.html.

Dr.Datenschutz; Drittlandübermittlung: Leitfaden zu Transfer Impact Assessments;Stand: 08.09.2021; aufrufbar unter: https://www.dr-datenschutz.de/drittlanduebermittlung-leitfaden-zu-transfer-impact-assessments/.

‍