Datenübermittlungen in Drittländer
© sumanley / pixabay.com
Im Zuge der immer stärkeren weltweiten Vernetzung von Unternehmen und der Auslagerung von Geschäftsprozessen werden personenbezogene Daten inzwischen in erheblichem Umfang auch in Staaten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums (EWR) übermittelt. Ob Rechnungslegung, Fernwartung, Reisemanagement oder Cloud-Computing: Nicht nur große, international tätige Konzerne, sondern auch kleinere und mittlere Unternehmen nutzen die außereuropäischen Angebote –sei es um Kosten zu sparen oder aus Mangel an vergleichbaren Angeboten in der EU bzw. dem EWR.
Seit die Anwendung der DS-GVO mit Beschluss des Gemeinsamen EWR-Ausschusses vom 6. Juli 2018 (Nr. 154/2018) für die EWR-Staaten Island, Lichtenstein und Norwegen verbindlich ist, zählen diese Länder nicht mehr als Drittländer im Sinne der DS-GVO. Die weiteren Anforderungen des Kapitel V DS-GVO müssen daher nicht erfüllt werden. Datentransfers innerhalb dieser Länder sowie zwischen diesen Ländern und den derzeit 27 EU-Mitgliedstaaten unterliegen – wie bereits zur Zeit der Datenschutz-Richtlinie – den gleichen Anforderungen wie den Datentransfers innerhalb der EU-Mitgliedstaaten. |
Personenbezogene Daten von Kunden, Mitarbeitern, Geschäftspartnern usw. lassen sich zwar mühelos um den Globus schicken, aber nicht immer sorglos. In Deutschland bzw. mit der Datenschutz-Grundverordnung (DS-GVO) in der ganzen Europäischen Union haben wir ein hohes Datenschutzniveau erreicht, mit welchem nicht alle Länder der Erde mithalten können. Das Kapitel V DS-GVO zeigt Wege auf, wie man den Datentransfer in Drittländer dennoch europarechtskonform gestalten kann. Diese sollten die Unternehmerinnen und Unternehmer beschreiten. Denn auch Verstöße gegen diese Vorschriften sind mit empfindlichen Sanktionen bewährt. Die Datenschutz-Grundverordnung hat insofern eine Strahlungswirkung über die europäischen Grenzen hinaus.
Zwei-Stufen-Prüfung:
Bei der Datenübermittlung in ein Drittland muss zunächst überprüft werden, ob unabhängig von den in den Art. 45 ff. DS-GVO geregelten spezifischen Anforderungen an Datenübermittlungen in Drittländer auch alle übrigen Anforderungen der DS-GVO an die in Rede stehende Datenverarbeitung eingehalten werden (1. Stufe). Steht nach diesem Prüfungsschritt einer Verarbeitung nichts entgegen, müssen gemäß Art. 44 DS-GVO zusätzlich die spezifischen Anforderungen der Art. 45 ff. DS-GVO an die Übermittlung in Drittländer beachtet werden (2. Stufe). Dies gilt auch bei einer Weiterübermittlung der personenbezogenen Daten durch die empfangende Stelle im Drittland (Art. 44 S. 1 2. HS DS-GVO (siehe auch Erwägungsgrund 101)).
Für die 2. Stufe sieht die Datenschutz-Grundverordnung folgende rechtliche Möglichkeiten für eine zulässige Datenübermittlung in Drittländer vor:
- Feststellung der Angemessenheit des Datenschutzniveaus im Drittland durch die EU-Kommission
- Vorliegen geeigneter Garantien: verbindliche interne Datenschutzvorschriften (Binding Corporate Rules), Standarddatenschutzklauseln der EU-Kommission oder einer Aufsichtsbehörde, genehmigte Verhaltensregeln, ein genehmigter Zertifizierungsmechanismus oder einzeln ausgehandelte und von der Aufsichtsbehörde genehmigte Vertragsklauseln
- Ausnahmetatbestände nach Art. 49 DS-GVO
Zur Veranschaulichung der zu prüfenden Schritte hat der LfDI eine graphische Übersicht erstellt. Anhand des Prüfschemas können sich die Verantwortlichen und Auftragsverarbeiter individuellen Lösungen für die datenschutzkonforme Übermittlung personenbezogener Daten in Drittländer annähern. Es berücksichtigt die Rechtslage nach dem sog. „Schrems II“- Urteil des Europäischen Gerichtshofs und verweist auf weiterführende Informationen zu einzelnen Fragestellungen.