DSGVO: Datenübermittlung ins Ausland

20180423_RdW_KW17_de-DE_920x340_1v0001-MKT-1437

Datenverarbeitung im Ausland? Geht das so einfach? Und die meisten Tools verarbeiten die Daten doch sowieso in den USA, was soll man da als Händler machen? Wie sich die DSGVO auf die Übermittlung personenbezogener Daten zwischen verschiedenen EU- und Nicht-EU-Ländern und internationalen Organisationen auswirkt, erklären wir Ihnen im folgenden Beitrag.

Was ist mit „Datenübermittlung ins Ausland“ gemeint?

Die DSGVO nimmt „jedwede Übermittlung personenbezogener Daten […] an ein Drittland oder eine internationale Organisation“ ins Visier, egal ob die Daten „bereits verarbeitet werden oder nach ihrer Übermittlung […] verarbeitet werden sollen“ (Art. 44 S. 1 DSGVO). Damit ist nicht nur eine „Übersendung“ von Daten gemeint, sondern auch jegliche Möglichkeit zum Abruf der Daten oder Zugriff darauf aus dem Ausland.

Wann ist Datenübermittlung ins Ausland erlaubt?

Eine Datenübermittlung jeglicher Art ist nur mit einer ausreichenden Rechtsgrundlage gem. Art. 6 DSGVO erlaubt. Wenn eine Rechtsgrundlage vorliegt und die Voraussetzungen der Verordnung erfüllt sind, ist die Weitergabe der Daten innerhalb des Landes unproblematisch.

An Datenübermittlungen ins Ausland stellt Art. 44 DSGVO eine zusätzliche Anforderung: die Einhaltung aller Bestimmungen der Verordnung sowohl durch den ursprünglichen Verantwortlichen und dessen Auftragsverarbeiter  als auch durch das Drittland oder die Drittorganisation im Falle der Übermittlung an weitere Dritte. Das heißt, dass der ursprüngliche Dritte (Land oder internationale Organisation) sich grds. dem Datenschutzstandard  der Verordnung in gleichem Ausmaß unterwerfen muss.

rechtstipp_blog_banner_dsgvo_schutz5ad45eb232b6e

Wie lässt sich ein gleicher Schutzstandard sicherstellen?

Um mit Sicherheit von einem gleichen Schutzstandard ausgehen zu können, gibt es für den Verantwortlichen verschiedene Möglichkeiten:

  • Datenübermittlung an ein Drittland oder eine internationale Organisation mit einem von der Europäischen Kommission festgestellten angemessenen Schutzniveau;

  • Datenübermittlung mit geeigneten Garantien und gesicherter Rechtsverwirklichung für den Betroffenen (ggf. vorbehaltlich einer Genehmigung der Aufsichtsbehörde);

  • Datenübermittlung aufgrund verbindlicher interner Datenschutzvorschriften, die durch die Aufsichtsbehörde genehmigt wurden.

Wichtig: Die Datenübermittlung könnte unter Umständen auch bei Nichtvorliegen der oben genannten Fälle, wenn es sich um einen Ausnahmefall handelt und die Voraussetzungen dafür erfüllt sind (dazu gleich unten).

Wann liegt ein angemessenes Schutzniveau vor?

Gem. Art. 45 Abs. 1 S. 1 DSGVO darf die Datenübermittlung an ein Drittland oder eine internationale Organisation erfolgen, wenn die europäische Kommission u.a. nach den in Abs. 2 aufgeführten Kriterien mit Beschluss festgestellt hat, dass das Drittland (oder ein Teil davon) bzw. die internationale Organisation ein angemessenes Schutzniveau bietet. Diese Beschlüsse werden im Amtsblatt der EU sowie auf der Webseite der Kommission veröffentlicht.

Was sind geeignete Garantien?

Eine Datenübermittlung ins Ausland darf ferner erfolgen, „sofern der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen“ (Art. 46 Abs. 1 DSGVO).

Nach Art. 46 Abs. 2 können diese Garantien (nicht ausschließlich) in folgenden Formen bestehen:

  • einem rechtlich bindenden und durchsetzbaren Dokument zwischen den Behörden oder öffentlichen Stellen;

  • verbindlich internen Datenschutzvorschriften gem. Art 47 DSGVO;

  • von der Kommission im Verfahren nach Art. 93 Abs. 2 DSGVO erlassenen oder  genehmigten und von einer Aufsichtsbehörde angenommenen Standarddatenschutzklauseln;

  • genehmigten Verhaltensregeln gem. Art. 40 DSGVO oder einem genehmigten Zertifizierungsmechanismus nach Art. 42 DSGVO zusammen mit rechtsverbindlichen und durchsetzbaren Pflichten des Verantwortlichen/Aufragsverarbeiters im Drittland zur Anwendung der geeigneten Garantien (inkl. hinsichtlich der Rechte der Betroffenen).

Zudem bestimmt Art. 46 Abs. 3, dass geeignete Garantien auch in vereinbarten Vertragsklauseln zwischen dem Verantwortlichen/Auftragsverarbeiter und dem Dritten oder in zwischen Behörden/öffentlichen in Verwaltungsvereinbarungen aufzunehmenden Bestimmungen, die durchsetzbare und wirksame Rechte für Betroffene einschließen, bestehen. ABER: Dies gilt nur vorbehaltlich einer Genehmigung durch die zuständige Aufsichtsbehörde, die sie nach einem durchgeführten Kohärenzverfahren gem. Art. 63 DSGVO erteilen kann. D.h., dass Online-Händler, die sich hinsichtlich der Rechtmäßigkeit der Datenübermittlung ins Ausland auf eigene Verträge mit ihren Partnern oder aber auf existierende Verwaltungsbestimmungen in beiden Ländern berufen möchten, sich immer zuerst zwecks einer Genehmigung an die Aufsichtsbehörde wenden müssen.

Was sind verbindliche interne Datenschutzvorschriften?

Hierbei handelt es sich um ein dem letzten Punkt ähnliches Thema, nämlich um privat vereinbarte Datenschutzklauseln zwischen Geschäftspartnern. Doch anders als bei den vereinbarten Garantien nach Art. 46 Abs. 3 DSGVO sind in der gesonderten Regelung des Art. 47 DSGVO Datenschutzvorschriften gemeint, die zwischen Mitgliedern einer Unternehmensgruppe oder eine Gruppe von Unternehmen mit einer gemeinsamen Wirtschaftstätigkeit vereinbart wurden und für alle diesen gelten sollen. Solche Datenschutzvorschriften bedürfen gem. Art. 47 Abs. 1 DSGVO ebenfalls einer Genehmigung der Aufsichtsbehörde und sie erfolgt wiederum nur sofern die Vorschriften

  • für alle betreffenden Mitglieder der Gruppe sowie ihre Beschäftigten rechtlich bindend sind,

  • Betroffenen durchsetzbare Rechte bzgl. der Datenverarbeitung ausdrücklich einräumt und

  • die in Art. 47 Abs. 2 festgelegten Anforderungen an den Inhalt (bestimmte Angaben, die gemacht werden müssen) der Datenschutzvorschriften erfüllen.

Gibt es Ausnahmefälle?

Ja, Ausnahmen gibt es, und sie sind in Art. 49 DSGVO geregelt. Also kann eine Datenübermittlung ins Ausland bzw. an eine internationale Organisation in gewissen, genau geregelten Fällen auch ohne vorliegenden Angemessenheitsbeschluss der Kommission oder ohne geeignete Garantien bzw. verbindliche interne Datenschutzvorschriften erfolgen:

  • bei einer ausdrücklichen Einwilligung des Betroffenen nach erfolgter Belehrung über die möglichen Risiken ohne Kommissionsbeschluss oder geeignete Garantien;

  • die Datenübermittlung ist zur Erfüllung eines Vertrages oder vorvertraglicher Maßnahmen erforderlich;

  • die Übermittlung ist für den Abschluss eines Vertrages zwischen dem Verantwortlichen und einem Dritten erforderlich, der im Interesse des Betroffenen liegt;

  • die Übermittlung ist aus wichtigen Gründen des öffentlichen Interesses notwendig;

  • die Übermittlung ist zur Durchsetzung rechtlicher Ansprüche erforderlich;

  • die Übermittlung ist zum Schutz lebenswichtiger Interessen des Betroffenen oder anderer erforderlich, sofern der Betroffene physisch oder rechtlich zur Einwilligung außerstande ist;

  • die Übermittlung erfolgt aus einem öffentlichen Register, das nach dem Recht der EU oder eines Mitgliedstaates allen Personen oder Personen mit einem berechtigten Interesse zur Einsichtnahme offensteht, soweit die rechtlichen Voraussetzungen für die Einsichtnahme erfüllt sind;

  • wenn auch keiner der o.g. Fälle vorliegt, darf eine nicht wiederholte Übermittlung erfolgen, die nur eine begrenzte Zahl von Personen betrifft und der Wahrung zwingender, berechtigter und im konkreten Fall überwiegender Interessen des Verantwortlichen dient; der Verantwortliche muss dabei allerdings die Umstände der Übermittlung beurteilen und angemessene Datenschutzgarantien vorsehen, die Aufsichtsbehörde und den Betroffenen von der Übermittlung in Kenntnis setzen sowie den Betroffenen von seinen überwiegenden berechtigten Interessen nach Art. 13 und 14 DSGVO informieren.

Art. 49 Abs. 2 bis 6 regeln dann einige spezifische Modalitäten der jeweiligen Ausnahmefälle.

Wohin und wann darf ich also schließlich Daten übermitteln?

  1. Innerhalb der EU: Die DSGVO und ihr Schutzstandard gelten in vollem Umfang für jedes EU-Land und für die EU-Institutionen, sodass eine Datenübermittlung aus der EU ins EU-Ausland lediglich die grundsätzlichen rechtlichen Anforderungen (hinreichende Rechtsgrundlage) erfüllen muss.

  2. Außerhalb der EU

  1. Mit entsprechendem Schutzstandard: Eine rechtskonforme Datenübermittlung darf ohne zusätzliche Voraussetzungen an ein fremdes Nicht-EU-Land/eine internationale Organisation erfolgen, wenn die europäische Kommission in diesen per Beschluss ein angemessenes Datenschutzniveau festgestellt hat. Beachte: Der Beschluss kann sich auch nur auf bestimmte Teile des jeweiligen Landes beziehen!

  2. Ohne entsprechenden Schutzstandard: Liegt kein Angemessenheitsbeschluss der Kommission vor, so müssen entweder geeignete Garantien für einen entsprechenden Datenschutz im Drittland oder dahingehende, durch die zuständige Aufsichtsbehörde genehmigte verbindliche interne Datenschutzvorschriften bzw. einzeln ausgehandelte Vertragsklauseln vorliegen, damit die Datenübermittlung ins Ausland oder an die internationale Organisation verordnungskonform erfolgt.

Unser Tipp

Überprüfen Sie, ob Sie überhaupt personenbezogene Daten Ihrer Kunden anderen Personen im Ausland zur Verfügung stellen, ob durch aktive Übersendung, im Rahmen eines Verarbeitungsauftrages oder indem Sie einen Zugang oder Einblick darin gewähren. Sollte dies der Fall sein, stellen Sie fest, ob Sie die Daten ins EU- oder ins Nicht-EU-Ausland auslagern und ermitteln Sie damit welcher Schutzstandard im anderen Land bzw. in der anderen Organisation gilt. Falls Sie ins Nicht-EU-Ausland Daten übermitteln und für das jeweilige Land kein Angemessenheitsbeschluss vorhanden ist, überlegen Sie welchen Weg für Sie die beste Lösung darstellt: ob über geeignete Garantien oder über vereinbarte Klauseln mit Einschaltung der Aufsichtsbehörde. 

 

autor_frieder_schelleFrieder Schelle ist Wirtschaftsjurist und seit 2011 für Trusted Shops im Bereich Audit and Legal tätig. Er war verantwortlich für die Entwicklung rechtlicher Dokumente im Rahmen der Auditierung Schweizer Onlineshops und für die Betreuung deutscher und britischer Shops im Auditprozess. Seit 2014 ist Frieder im Bereich Legal Expert Services als Consultant tätig und betreut Rechtsberatungsprojekte und die Trusted Shops Abmahnschutzpakete. Frieder Schelle beschäftigt sich seit 2008 intensiv mit den Themenfeldern Wettbewerbs- und Medienrecht.

Kommentar schreiben

Bitte geben Sie die Zahlenfolge in das nachfolgende Textfeld ein

Die mit einem * markierten Felder sind Pflichtfelder.

Beitrag teilen

Blogsuche

Passende Artikel

  • Datenschutz 360
    Die Datenschutzgrundverordnung bringt jede Menge Veränderungen für Ihr Unternehmen mit sich. Der DSGVO-Schutz bietet bewährte Werkzeuge zur einfachen und schnellen Umsetzung der DSGVO zum...

    958,80 €

Passende Artikel

  • Abmahnschutz PREMIUM
    Der  Trusted Shops Abmahnschutz PREMIUM bietet Ihnen immer aktuelle und abmahnsichere Rechtstexte für bis zu fünf Internetpräsenzen – egal ob eigener Shop, eBay oder Amazon. Zusätzliche...

    49,90 €

    pro Monat