Wie werden personenbezogene Daten in Übereinstimmung mit der DSGVO an Drittländer übermittelt?

« NACHRICHTEN 25 April 2019

Am 19. März 2019 wurde der erste auf der Grundlage der Datenschutz-Grundverordnung ("DSGVO") erlassene Durchführungsbeschluss der Kommission über die Angemessenheit des Datenschutzniveaus in einem Drittland, d. h. in Japan, im Amtsblatt der Europäischen Union veröffentlicht. Dies ist bislang die einzige Entscheidung, die auf der Grundlage der DSGVO erlassen wurde. Daher möchten wir Ihnen eine kurze Zusammenfassung der rechtlichen Gründe vorlegen, die die Übermittlung personenbezogener Daten außerhalb des Europäischen Wirtschaftsraums ("EWR") ermöglichen.

zdjęcie_19

Lassen Sie uns zu Beginn erklären, was „Übermittlung" personenbezogener Daten ist.

Die DSGVO enthält nicht die Definition dieses Begriffs, aber wir können zweifelsfrei angeben, dass dies eine der personenbezogenen Datenverarbeitungsvorgänge ist. Der Begriff „Übermittlung“ erscheint nur im Zusammenhang mit der Verarbeitung personenbezogener Daten, die über den EWR hinausgehen. Es sind daher alle Vorgänge mit personenbezogenen Daten, aufgrund deren diese Daten an Drittländer (d. h. außerhalb des EWR) gesendet werden [i]. Das Verfahren der Datenübermittlung ist irrelevant, d. h. ob Daten elektronisch oder auf einem Datenträger gesendet werden oder ob Daten auf der Grundlage eines Vertrags übermittelt werden oder nicht. Die Übermittlung erfolgt grundsätzlich auch dann, wenn personenbezogene Daten nicht in einem Drittland erfasst, sondern nur auf einem Computerbildschirm angezeigt werden. Es ist daher eine Frage aller Fälle, in denen personenbezogene Daten die Grenzen des EWR überschreiten.

Wir werden uns mit der Übermittlung personenbezogener Daten in ein Drittland befassen, beispielsweise wenn sie dem Verantwortlichen in einem Drittland zur Verfügung gestellt werden, sowie im Fall von der Verarbeitung der Daten im Auftrag eines Verantwortlichen von einem im Drittland domizilierten Einheit Auftragsverarbeiter. Es sei darauf hingewiesen, dass auch dann, wenn personenbezogene Daten innerhalb einer einzigen Organisationsstruktur, d. h. Zwischen Organisationseinheiten derselben Rechtsperson, die sich im EWR und in einem Drittland befindet, übertragen werden, die Bestimmungen der DSGVO in Bezug auf die Übermittlung personenbezogener Daten an das Drittland gelten.

Die Übermittlung personenbezogener Daten innerhalb der Europäischen Union oder allgemeiner innerhalb des EWR beinhaltet die gleichen Verpflichtungen wie die Weitergabe oder Übermittlung personenbezogener Daten an ein anderes Unternehmen innerhalb desselben Mitgliedstaats. Wenn die Daten jedoch an ein Drittland (d. h. ein Land außerhalb des EWR) oder an eine internationale Organisation übermittelt werden, muss der Übermittler der personenbezogenen Daten mehr Anforderungen erfüllen.

Um personenbezogene Daten verarbeiten zu können, muss es in der Regel eine der in Art. 6 Abs. 1 der DSGVO genannten gesetzlichen Grundlagen geben. Eine solche Rechtsgrundlage für die Datenverarbeitung kann daher u.a. sein:

i. die Einwilligung der Person, deren Daten verarbeitet werden,

ii. die Notwendigkeit, den Vertrag zu erfüllen, an dem die betroffene Person beteiligt ist,

iii. die Notwendigkeit, die gesetzliche Verpflichtung zu erfüllen, oder

iv. ein berechtigtes Interesse des Verantwortlichen oder eines Dritten.

Auf die einzelnen rechtlichen Gründe für die Verarbeitung personenbezogener Daten werden wir nicht näher eingehen, da es sich um recht umfangreiches Material handelt. In unserem aktuellen Artikel werden die Grundlagen für die Übermittlung personenbezogener Daten außerhalb des EWR behandelt.

Wenn wir Daten außerhalb des EWR übermitteln, ist es wichtig, zusätzlich zu der Notwendigkeit nachzuweisen, dass einer der in Art. 6 Abs. 1 der DSGVO genannten Grundlagen für die Datenverarbeitung vorhanden ist, müssen wir auch das Vorhandensein einer geeigneten Rechtsgrundlage belegen, die die Übermittlung personenbezogener Daten an ein Drittland ermöglicht.

Was kann die Grundlage dafür sein?

1. Angemessenheitsbeschluss der Kommission.

Wenn wir personenbezogene Daten an eine Nicht-EWR-Einheit weitergeben möchten, sollten wir zunächst prüfen, ob von der Europäischen Kommission eine Entscheidung erlassen wurde, wonach das betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland oder die betreffende internationale Organisation ein angemessenes Schutzniveau bietet. Was bedeutet dieses Konzept? Es gibt keine Definition in der DSGVO. Im Allgemeinen handelt es sich dabei um den Schutz personenbezogener Daten, die von einem bestimmten Staat oder einer internationalen Organisation auf einer Ebene bereitgestellt werden, die den Standards der Europäischen Union ähnelt. Bei der Beurteilung, ob ein Land einen solchen Schutz bietet, berücksichtigt die Kommission insbesondere Folgendes: Rechtsstaatlichkeit, Achtung der Menschenrechte und Grundfreiheiten, einschlägige Rechtsvorschriften, Vorschriften zum Schutz personenbezogener Daten, Vorliegen wirksamer und durchsetzbarer Rechte der betroffenen Personen, Bestehen und wirksame Maßnahmen mindestens eine unabhängige Kontrollinstanz in einem Drittland, die verpflichtet ist, die Einhaltung der Bestimmungen zum Schutz personenbezogener Daten sicherzustellen und durchzusetzen [ii].

Wenn ein Angemessenheitsbeschluss erlassen wurde, benötigen wir keine zusätzliche Genehmigung für die Übermittlung von Daten außerhalb des EWR. Bei der Übermittlung verweisen wir lediglich auf den richtigen Beschluss der Europäischen Kommission.

Wie eingangs erwähnt, wurde seit dem Inkrafttreten der DSGVO nur eine solche Entscheidung in Bezug auf Japan erlassen.

Bedeutet dies, dass personenbezogene Daten auf der Grundlage des Kommissionsbeschlusses nur an Japan übermittelt werden können? Nun, nein. Wenn frühere Bestimmungen zum Schutz personenbezogener Daten in Kraft waren [iii], konnte die Kommission auch Entscheidungen erlassen, die ein angemessenes Schutzniveau festlegten. Laut der DSGVO alle Feststellungen die von der Kommission auf der Grundlage von Art.25 Abs. 6 der Richtlinie 95/46/EG erlassen wurden, bleiben so lange in Kraft, bis sie durch einen nach dem Prüfverfahren gemäß Art. 45 Absätzen 3 oder 5 erlassenen Beschluss der Kommission geändert, ersetzt oder aufgehoben werden.

Derzeit gibt es einschließlich Japan 13 solcher Länder (Gebiete) [iv]. Bevor jedoch personenbezogene Daten an ein Drittland übermittelt werden, müssen die getroffenen Entscheidungen geprüft werden, um festzustellen, ob eine Übermittlung  personenbezogener Daten außerhalb des EWR immer möglich ist oder ob irgendwelche Einschränkungen vorliegen (z. B. gilt der Beschluss in Bezug auf Israel nur für die automatisierte Datenverarbeitung). Zur Erleichterung haben wir eine Liste von Drittländern, für die Beschlüsse der Kommission erlassen wurden, sowie einen Hinweis auf diese Rechtsakte und Anmerkungen zum Geltungsbereich des Beschlusses. Die Liste ist Stand vom 25.04.2019. Wenn Änderungen in der Liste erscheinen, werden wir Ihnen das Update sofort vorstellen.

Am Ende des Artikels können Sie kostenlos eine Tabelle mit einer Liste von Drittländern herunterladen.

2. Standarddatenschutzklauseln.

Wenn es keinen Beschluss der Europäischen Kommission bezüglich der Übermittlung von Daten in ein bestimmtes Land gibt, sollten Sie nach anderen Grundlagen suchen. Typischerweise kann ein solches Instrument in den Beziehungen zwischen Unternehmern Standardklauseln zum Datenschutz sein, die von der Europäischen Kommission angenommen werden (sogenannte Standardvertragsklauseln). Was ist das?

Einfach ausgedrückt handelt es sich um Musterverträge der Europäischen Kommission, die bei der Übermittlung personenbezogener Daten an einen in einem Drittland ansässigen Verantwortlichen oder Auftragsverarbeiter verwendet werden können. Die Bestimmungen der Standardvertragsklauseln können in der Regel nicht geändert werden. Der Kern der Rechte und Pflichten und vor allem Datenschutzgarantien kann nicht eingeschränkt werden. Sie können jedoch zusätzliche Verpflichtungen enthalten, die den Standard zum Schutz personenbezogener Daten erhöhen.

Die Standardvertragsklauseln wurden vor Inkrafttreten der DSGVO verabschiedet. Bis die Kommission jedoch neue Klauseln herausgibt, können die vorhandenen Dokumente verwendet werden. Zwei Sätze von Klauseln beziehen sich auf die Beziehung zwischen den Verantwortlichen, und einer davon bezieht sich auf die Übermittlung von Daten durch den Verantwortlichen an einen Auftragsverarbeiter in einem Drittland. Bislang wurden keine Standardklauseln erlassen, die zwischen einem im EWR niedergelassenen Auftragsverarbeiter und einem in einem Drittland ansässigen weiteren Auftragsverarbeiter geschlossen werden könnten. Wir hoffen, dass in diesem Jahr die Richtlinien des Europäischen Datenschutzausschusses erscheinen werden, die oben erwähnten Fragen betreffen würden. Derzeit ist die Ansicht, dass der EWR-Auftragsverarbeiter in diesem Fall einen Vertrag mit einem weiteren Auftragsverarbeiter im Auftrag eines Verantwortlichen schließen könnte, wobei er Standardvertragsklauseln verwendet, die für die Beziehungen zwischen einen im EWR ansässigen Verantwortlichen und einen außerhalb des EWR ansässigen Auftragsverarbeiter vorgesehen sind.

Standardvertragsklauseln finden Sie hier:

https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32001D0497&from=PL

https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32004D0915&from=PL

https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32010D0087&from=PL

3. Datenübermittlung vorbehaltlich anderer geeigneter Garantien.

Neben der Verwendung von Standardvertragsklauseln, die von der Europäischen Kommission angenommen wurden, können die anderen geeigneten Garantien bestehen in:

i. von zuständiger Aufsichtsbehörde genehmigten verbindlichen internen Datenschutzvorschriften (sogenannte BCR, binding corporate rules) [v],

ii. von einer Aufsichtsbehörde angenommenen Standarddatenschutzklauseln [vi], die von der Kommission genehmigt wurden,

iii. genehmigten Verhaltensregeln gemäß Artikel 40 der DSGVO [vii],

iv. einem genehmigten Zertifizierungsmechanismus gemäß Artikel 42 der DSGVO[viii],

v. Vertragsklauseln, die zwischen dem Verantwortlichen oder dem Auftragsverarbeiter und dem Verantwortlichen, dem Auftragsverarbeiter oder dem Empfänger der personenbezogenen Daten im Drittland oder der internationalen Organisation vereinbart wurden, vorbehaltlich der Genehmigung durch die zuständige Aufsichtsbehörde,

vi. anderen in Art. 46 der DSGVO enthaltenen Garantien [ix].

4. Ausnahmen für bestimmte Fälle.

Falls weder ein Angemessenheitsbeschluss nach Art. 45 Abs. 3 der DSGVO vorliegt noch geeignete Garantien nach Art. 46 DSGVO, einschließlich verbindlicher interner Datenschutzvorschriften, bestehen, ist eine Übermittlung oder eine Reihe von Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation nur ausnahmsweise unter einer der in Art. 49 Abs. 1 enthaltenen Bedingungen zulässig. Die in dieser Bestimmung genannten Gründe für die Übermittlung personenbezogener Daten an Drittländer sollten in bestimmten Situationen gelten und als Ausnahmen ausgelegt werden.

In Ermangelung der vorgenannten Garantien wird die mögliche Anwendung im Falle von Unternehmern am häufigsten auftreten [x]:

i. ausdrückliche und freiwillige Einwilligung der betroffenen Person, sofern sie über das potenzielle Risiko informiert wurde, das mit der Übermittlung von Daten verbunden sein kann, wenn keine angemessenen Sicherheitsvorkehrungen getroffen wurden,

ii. die Übermittlung ist für die Erfüllung des Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich,

iii. die Übermittlung von Daten ist für den Abschluss oder die Durchführung eines Vertrags im Interesse der betroffenen Person erforderlich,

iv. die Übermittlung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich.

Es sollte betont werden, dass die Übermittlung im Zusammenhang mit einem Vertrag oder Rechtsansprüchen nur sporadisch sein kann.

Eine besondere Ausnahme ist die Möglichkeit des Verantwortlichen, sein zwingenden berechtigten Interessen zu wahren, wobei die Interessen und Rechte und Freiheiten der betroffenen Person nicht überwiegen. Die Übermittlung kann in diesem Fall erfolgen, wenn sie nicht wiederholt erfolgt, nur eine begrenzte Zahl von betroffenen Personen betrifft, und der Verantwortliche alle Umstände der Datenübermittlung beurteilt und auf der Grundlage dieser Beurteilung geeignete Garantien in Bezug auf den Schutz personenbezogener Daten vorgesehen hat. Darüber hinaus ist es erforderlich, die Aufsichtsbehörde über die Übermittlung zu informieren. Detaillierte Voraussetzungen sind in Art. 49 der DSGVO angegeben.

Eine ausführlichere Erörterung aller oben genannten rechtlichen Grundlagen für die Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen wäre eine sehr umfangreiche Studie, und leider erlaubt es der Umfang des Artikels nicht, alle Fragen zu diskutieren. Wenn Sie jedoch an weiterführenden Informationen zu diesem Thema interessiert sind, kontaktieren Sie uns bitte über unser Kontaktformular: https://www.esb-legal.pl/de/kontakt_1. Im nächsten Artikel erläutern wir Ihnen gerne Ihre Zweifel.

25/04/2019, Rechtsanwältin Agnieszka


[i] Die Bestimmungen der DSGVO gelten auch für die EWR-Mitgliedstaaten, da die DSGVO in das Abkommen über den Europäischen Wirtschaftsraum aufgenommen wurde. Weitere Informationen finden Sie hier: https://www.efta.int/eea-lex/32016R0679.

[ii] Eine weiter gefasste Liste von Umständen, die die Kommission bei der Entscheidung, ob ein Schutzniveau angemessen ist, berücksichtigen muss, ist in Art. 46 Abs. 2  der DSGVO enthalten.

[iii] Richtlinie 95/46 / EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, Art. 25 Abs. 6.

[iv] Um genau zu sein: Im Fall von Privacy Shield gilt die Entscheidung nicht für ein Drittland, d. h. die USA, sondern für ein Privacy Shield-Programm, das in diesem Land (und für Einheiten, die im Rahmen dieses Programms zugelassen wurden) ausgeführt wird. Der Einfachheit halber weisen wir die USA jedoch auf Länder hin, für die die Kommission ein angemessenes Schutzniveau gefunden hat.

[v] Hierbei handelt es sich um Maßnahmen zum Schutz personenbezogener Daten, zu deren Einhaltung sich ein im Hoheitsgebiet eines Mitgliedstaats niedergelassener Verantwortlicher oder Auftragsverarbeiter verpflichtet im Hinblick auf Datenübermittlungen oder eine Kategorie von Datenübermittlungen personenbezogener Daten an einen Verantwortlichen oder Auftragsverarbeiter derselben Unternehmensgruppe oder derselben Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, in einem oder mehreren Drittländern.

[vi] Z.B. Präsident des Amtes für den Schutz personenbezogener Daten.

[vii] Genehmigte Verhaltensregeln müssen verbindliche und durchsetzbare Verpflichtungen enthalten, damit der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter in einem Drittland geeignete Sicherheitsmaßnahmen treffen kann, auch in Bezug auf die Rechte der betroffenen Personen. Die Verhaltensregeln sind als Hilfsmittel konzipiert, um bei der ordnungsgemäßen Anwendung der DSGVO zu helfen, wobei die Besonderheiten der verschiedenen verarbeitenden Sektoren und die besonderen Bedürfnisse von Kleinstunternehmen sowie kleinen und mittleren Unternehmen berücksichtigt werden.

[viii] Der genehmigte Zertifizierungsmechanismus muss verbindliche und durchsetzbare Verpflichtungen für den für die Verarbeitung Verantwortlichen oder den Auftragsverarbeiter in einem Drittland enthalten, um geeignete Schutzmaßnahmen zu treffen, auch in Bezug auf die Rechte der betroffenen Personen. Zertifizierungsmechanismen sowie Qualitätskennzeichnungen im Bereich des Schutzes personenbezogener Daten sollen die Einhaltung der DSGVO-Verarbeitungsvorgänge von Verantwortlichen und Auftragsverarbeitern belegen. Gleichzeitig sollten die spezifischen Bedürfnisse von Kleinstunternehmen sowie kleinen und mittleren Unternehmen berücksichtigt werden.

[ix] Es handelt sich um: ein rechtsverbindliches und durchsetzbares Dokument zwischen den Behörden oder öffentlichen Stellen und Bestimmungen, die in Verwaltungsvereinbarungen zwischen Behörden oder öffentlichen Stellen aufzunehmen sind und durchsetzbare und wirksame Rechte für die betroffenen Personen einschließen (vorbehaltlich der Genehmigung der zuständigen Aufsichtsbehörde).

[x] Der vollständige Ausnahmekatalog ist in Art. 49 Abs. 1 der DSGVO enthalten.

   Unsere Website verwendet Cookies. Wir verwenden Cookies, um den ordnungsgemäßen Betrieb unserer Website zu ermöglichen und anonyme Statistiken und andere analytische Aktivitäten zu führen, aus denen hervorgeht, wie Benutzer die Website nutzen. Durch die weitere Nutzung der Website stimmen Sie deren Aufnahme oder Verwendung zu. Der Benutzer kann die Bedingungen für das Speichern von Cookies in dem von ihm verwendeten Webbrowser unabhängig ändern.

Weitere Informationen, insbesondere zur Verarbeitung personenbezogener Daten, finden Sie in der hier verfügbaren Datenschutzerklärung.