DSGVO: Datenübermittlung ins Ausland

 

Inhaltsverzeichnis:

1. Was ist mit „Datenübermittlung ins Drittland“ gemeint?
2. Wann ist eine Datenübermittlung ins Ausland erlaubt?
3. Wie lässt sich ein gleicher Schutzstandard sicherstellen?
4. Wann liegt ein angemessenes Schutzniveau vor?
5. Was sind geeignete Garantien?
6. Was sind verbindliche interne Datenschutzvorschriften?
7. Gibt es Ausnahmefälle?
8. Wohin und wann darf ich also schließlich Daten übermitteln?
9. Unser Tipp

Datenverarbeitung im Ausland? Geht das einfach so? Die meisten Tools verarbeiten die Daten doch sowieso in den USA, was soll man da als Händler*in machen? Wie sich die DSGVO auf die Übermittlung personenbezogener Daten zwischen verschiedenen EU- und Nicht-EU-Ländern und internationalen Organisationen auswirkt, erklären wir Ihnen im folgenden Beitrag.

Was ist mit „Datenübermittlung ins Drittland“ gemeint?

Die DSGVO nimmt „jedwede Übermittlung personenbezogener Daten […] an ein Drittland oder eine internationale Organisation“ ins Visier, egal ob die Daten „bereits verarbeitet werden oder nach ihrer Übermittlung […] verarbeitet werden sollen“ (Art. 44 S. 1 DSGVO). Damit ist nicht nur eine „Übersendung“ von Daten gemeint, sondern auch jegliche Möglichkeit zum Abruf der Daten oder Zugriff darauf aus einem Drittland. Ein Drittland ist dabei ein Staat, der außerhalb des Europäischen Wirtschaftsraums angesiedelt ist.

Wann ist eine Datenübermittlung ins Ausland erlaubt?

Eine Datenübermittlung jeglicher Art ist nur mit einer ausreichenden Rechtsgrundlage gem. Art. 6 DSGVO erlaubt. Wenn eine taugliche Rechtsgrundlage vorliegt und die Voraussetzungen der Verordnung erfüllt sind, ist die Weitergabe der Daten innerhalb eines Landes bzw. des EWR unproblematisch.

An Datenübermittlungen in ein Drittland stellt Art. 44 DSGVO eine zusätzliche Anforderung: Die Einhaltung aller Bestimmungen der Verordnung, sowohl durch den ursprünglichen Verantwortlichen oder Auftragsverarbeiter (Sender), als auch durch den in einem Drittland ansässigen Empfänger.

Der Europäische Datenschutzausschuss (EDSA) hat in seinen im Februar 2023 veröffentlichten Leitlinien folgende Voraussetzungen aufgestellt, die für einen Drittlandtransfer gem. der Art. 44ff DSGVO vorliegen müssen:

1. Ein für die Verarbeitung Verantwortlicher oder ein Auftragsverarbeiter ("Exporteur") unterliegt in Bezug auf die betreffende Verarbeitung der DSGVO.

2. Der Exporteur stellt einem anderen für die Verarbeitung Verantwortlichen, einem gemeinsam Verantwortlichen oder einem Auftragsverarbeiter ("Importeur") personenbezogene Daten, die Gegenstand dieser Verarbeitung sind, durch Übermittlung oder auf andere Weise zur Verfügung.

3. Der Importeur befindet sich in einem Drittland, unabhängig davon, ob dieser Importeur für die betreffende Verarbeitung gemäß Art. 3 DSGVO unterliegt oder nicht, oder er ist eine internationale Organisation.

So scheidet also gem. den Ausführungen des EDSA eine Anwendung der Regelungen des 5. Abschnitts der DSGVO bspw. für Mitarbeitende auf Dienstreise oder im Homeoffice aus einem Drittland aus. Die Abgrenzung kann im Einzelfall sehr schwierig sein. Gerne beraten wir Sie dazu im Rahmen unseres Angebots „Legal Ultimate“.

Liegt ein solcher Drittlandtransfer vor, muss sichergestellt werden, dass durch den*die Empfänger*in bzw. im Empfängerland ein der DSGVO gleichwertiges Datenschutzniveau gewährleistet wird.

Wie lässt sich ein gleicher Schutzstandard sicherstellen?

Um mit Sicherheit von einem gleichen Schutzstandard ausgehen zu können, gibt es für Verantwortliche verschiedene Möglichkeiten:

  • Datenübermittlung an ein Drittland oder eine internationale Organisation mit einem von der Europäischen Kommission festgestellten angemessenen Schutzniveau;

  • Datenübermittlung mit geeigneten Garantien und gesicherter Rechtsverwirklichung für den Betroffenen (ggf. vorbehaltlich einer Genehmigung der Aufsichtsbehörde);

  • Datenübermittlung aufgrund verbindlicher interner Datenschutzvorschriften, die durch die Aufsichtsbehörde genehmigt wurden.

Wichtig: Die Datenübermittlung könnte unter Umständen auch bei Nichtvorliegen der oben genannten Fälle, wenn es sich um einen Ausnahmefall handelt und die Voraussetzungen dafür erfüllt sind (dazu gleich unten).

datentransfer-in-drittstaaten


Wann liegt ein angemessenes Schutzniveau vor?

Gem. Art. 45 Abs. 1 S. 1 DSGVO darf die Datenübermittlung an ein Drittland oder eine internationale Organisation erfolgen, wenn die europäische Kommission u.a. nach den in Abs. 2 aufgeführten Kriterien mit Beschluss festgestellt hat, dass das Drittland (oder ein Teil davon) bzw. die internationale Organisation ein angemessenes Schutzniveau bietet. Diese Beschlüsse werden im Amtsblatt der EU sowie auf der Webseite der Kommission veröffentlicht.

Was sind geeignete Garantien?

Eine Datenübermittlung ins Ausland darf ferner erfolgen, „sofern der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen“ (Art. 46 Abs. 1 DSGVO).

Nach Art. 46 Abs. 2 können diese Garantien (nicht ausschließlich) in folgenden Formen bestehen:

  • einem rechtlich bindenden und durchsetzbaren Dokument zwischen den Behörden oder öffentlichen Stellen;

  • verbindlich internen Datenschutzvorschriften gem. Art 47 DSGVO;

  • von der Kommission im Verfahren nach Art. 93 Abs. 2 DSGVO erlassenen oder  genehmigten und von einer Aufsichtsbehörde angenommenen Standarddatenschutzklauseln;

  • genehmigten Verhaltensregeln gem. Art. 40 DSGVO oder einem genehmigten Zertifizierungsmechanismus nach Art. 42 DSGVO zusammen mit rechtsverbindlichen und durchsetzbaren Pflichten des Verantwortlichen/Aufragsverarbeiters im Drittland zur Anwendung der geeigneten Garantien (auch hinsichtlich der Rechte der Betroffenen).

Zudem bestimmt Art. 46 Abs. 3, dass geeignete Garantien auch in vereinbarten Vertragsklauseln zwischen dem*der Verantwortlichen/Auftragsverarbeiter*in und Dritten oder in zwischen Behörden/öffentlichen in Verwaltungsvereinbarungen aufzunehmenden Bestimmungen bestehen, sofern sie durchsetzbare und wirksame Rechte für Betroffene einschließen. ABER: Dies gilt nur vorbehaltlich einer Genehmigung durch die zuständige Aufsichtsbehörde und ggf. nach einem durchgeführten Kohärenzverfahren gem. Art. 63 DSGVO. D.h., dass Online-Händler*innen, die sich hinsichtlich der Rechtmäßigkeit der Datenübermittlung ins Ausland auf eigene Verträge mit ihren Partnern*innen oder aber auf existierende Verwaltungsbestimmungen in beiden Ländern berufen möchten, sich immer zuerst zwecks einer Genehmigung an die Aufsichtsbehörde wenden müssen.

Was sind verbindliche interne Datenschutzvorschriften?

Hierbei handelt es sich um ein dem letzten Punkt ähnliches Thema, nämlich um privat vereinbarte Datenschutzklauseln zwischen Geschäftspartnern. Doch anders als bei den vereinbarten Garantien nach Art. 46 Abs. 3 DSGVO sind in der gesonderten Regelung des Art. 47 DSGVO Datenschutzvorschriften gemeint, die zwischen Mitgliedern einer Unternehmensgruppe oder eine Gruppe von Unternehmen mit einer gemeinsamen Wirtschaftstätigkeit vereinbart wurden und für alle diese gelten sollen. Solche Datenschutzvorschriften bedürfen gem. Art. 47 Abs. 1 DSGVO ebenfalls einer Genehmigung der Aufsichtsbehörde und diese erfolgt wiederum nur, sofern die Vorschriften

  • für alle betreffenden Mitglieder der Gruppe sowie ihre Beschäftigten rechtlich bindend sind,

  • Betroffenen durchsetzbare Rechte bzgl. der Datenverarbeitung ausdrücklich eingeräumt werden und

  • die in Art. 47 Abs. 2 festgelegten Mindestinhalte umfasst sind.

Gibt es Ausnahmefälle?

Ja, Ausnahmen gibt es, und sie sind in Art. 49 DSGVO geregelt. Eine Datenübermittlung ins Ausland bzw. an eine internationale Organisation kann in diesen folgenden Fällen auch ohne vorliegenden Angemessenheitsbeschluss der Kommission oder einer geeigneten Garantie erfolgen:

  • bei einer ausdrücklichen Einwilligung des*der Betroffenen nach erfolgter Belehrung über die möglichen Risiken ohne Kommissionsbeschluss oder geeignete Garantie
  • die Datenübermittlung ist zur Erfüllung eines Vertrages oder vorvertraglicher Maßnahmen erforderlich;
  • die Übermittlung ist für den Abschluss eines Vertrages zwischen dem*der Verantwortlichen und einem*einer Dritten erforderlich, der im Interesse des*der Betroffenen liegt;
  • die Übermittlung ist aus wichtigen Gründen des öffentlichen Interesses notwendig;
  • die Übermittlung ist zur Durchsetzung rechtlicher Ansprüche erforderlich;
  • die Übermittlung ist zum Schutz lebenswichtiger Interessen des*der Betroffenen oder anderer erforderlich, sofern der*die Betroffene physisch oder rechtlich zur Einwilligung außerstande ist;
  • die Übermittlung erfolgt aus einem öffentlichen Register, das nach dem Recht der EU oder eines Mitgliedstaates allen Personen oder Personen mit einem berechtigten Interesse zur Einsichtnahme offensteht, soweit die rechtlichen Voraussetzungen für die Einsichtnahme erfüllt sind;
  • wenn auch keiner der o.g. Fälle vorliegt, darf eine nicht wiederholte Übermittlung erfolgen, die nur eine begrenzte Zahl von Personen betrifft und der Wahrung zwingender, berechtigter und im konkreten Fall überwiegender Interessen des*der Verantwortlichen dient; der*die Verantwortliche muss dabei allerdings die Umstände der Übermittlung beurteilen und angemessene Datenschutzgarantien vorsehen, die Aufsichtsbehörde und die Betroffenen von der Übermittlung in Kenntnis setzen sowie die Betroffenen von seinen überwiegenden berechtigten Interessen nach Art. 13 und 14 DSGVO informieren.

Art. 49 Abs. 2 bis 6 DSGVO regeln dann einige spezifische Modalitäten der jeweiligen Ausnahmefälle.

Wohin und wann darf ich also schließlich Daten übermitteln?

1. Innerhalb der EU: Die DSGVO und ihr Schutzstandard gelten in vollem Umfang für jedes EU/EWR-Land und deren Institutionen, sodass eine Datenübermittlung aus der EU ins EU-Ausland lediglich die grundsätzlichen rechtlichen Anforderungen (hinreichende Rechtsgrundlage, Einhaltung der Grundsätze aus Art. 5 DSGVO, Sicherheit der Datenverarbeitung usw.) erfüllen muss.

2. Außerhalb der EU

a) Mit entsprechendem Schutzstandard: Eine rechtskonforme Datenübermittlung darf ohne zusätzliche Voraussetzungen an ein Nicht-EU-Land/eine internationale Organisation erfolgen, wenn die europäische Kommission dort per Beschluss ein angemessenes Datenschutzniveau festgestellt hat. Beachten Sie: Der Beschluss kann sich auch nur auf bestimmte Teile des jeweiligen Landes beziehen!

b) Ohne entsprechenden Schutzstandard: Liegt kein Angemessenheitsbeschluss der Kommission vor, so müssen entweder geeignete Garantien für einen entsprechenden Datenschutz im Drittland oder ein Ausnahmefall vorliegen, damit die Datenübermittlung ins Ausland oder an die internationale Organisation verordnungskonform erfolgt.

Unser Tipp

Überprüfen Sie, ob Sie überhaupt personenbezogene Daten Ihrer Kundschaft anderen Personen im Ausland zur Verfügung stellen, ob durch aktive Übersendung, im Rahmen eines Verarbeitungsauftrages oder indem Sie einen Zugang oder Einblick in solche gewähren. Sollte dies der Fall sein, stellen Sie fest, ob Sie die Daten ins EU- oder ins Nicht-EU-Ausland auslagern und ermitteln Sie damit, welcher Schutzstandard im anderen Land bzw. in der anderen Organisation gilt. Falls Sie ins Nicht-EU-Ausland Daten übermitteln und für das jeweilige Land kein Angemessenheitsbeschluss vorhanden ist, überlegen Sie, welcher Weg für Sie die beste Lösung darstellt: über geeignete Garantien oder dem Stützen auf eine Ausnahmeregelung. 

 

autor_frieder_schelleFrieder Schelle ist Wirtschaftsjurist und seit 2011 für Trusted Shops im Bereich Audit and Legal tätig. Er war verantwortlich für die Entwicklung rechtlicher Dokumente im Rahmen der Auditierung Schweizer Onlineshops und für die Betreuung deutscher und britischer Shops im Auditprozess. Seit 2014 ist Frieder im Bereich Legal Expert Services als Consultant tätig und betreut Rechtsberatungsprojekte und die Trusted Shops Abmahnschutzpakete. Frieder Schelle beschäftigt sich seit 2008 intensiv mit den Themenfeldern Wettbewerbs- und Medienrecht.

13.04.23

© 2024 Trusted Shops AG  |  Impressum  |  Datenschutz  |  Cookies