1. Home
  2. News
  3. Rechtmäßige Datenübermittlung in ein Drittland nach der DSGVO
  • Datenschutz

Rechtmäßige Datenübermittlung in ein Drittland nach der DSGVO

EU–Datenschutz­standard und Rechtmäßigkeits­voraussetzungen

Mit der Einführung der DSGVO wurde in der EU ein hoher Datenschutz­standard erreicht. Jedoch werden personen­bezogene Daten nicht nur innerhalb der EU ausgetauscht, sondern auch an Drittländer übermittelt. Um den europäischen Mindest­standard nicht zu untergraben, regelt die DSGVO in den Art. 44 – 50 den Datenaustausch mit Ländern, die nicht in der EU liegen. Adressat der Regelung sind sowohl Verantwortliche als auch Auftragsverarbeiter.

Die rechtmäßige Übertragung in ein Drittland besteht aus zwei Stufen.

  • Stufe 1: Es müssen die allgemeinen Rechtmäßigkeits­voraussetzungen beachtet werden (z.B. die Einwilligung des Betroffenen, berechtigtes Interesse des Unternehmens)
  • Stufe 2: Auf dieser Stufe sind die zusätzlichen Anforderungen nach Art. 44 – 50 DSGVO zu beachten.

Bei der Übermittlung in ein Drittland besteht häufig die Fehlannahme, dass lediglich die zweite Stufe erfüllt werden müsse. Jedoch stellt Art. 44 S. 1 DSGVO klar, dass die Übermittlung nur dann zulässig ist, wenn auch die sonstigen Bestimmungen dieser Verordnung eingehalten werden. Daher ist unbedingt darauf zu achten, die Anforderungen beider Stufen zu erfüllen.

Um das Datenschutz­niveau der EU in andere Länder zu exportieren, sieht die DSGVO eine Vielzahl von Möglichkeiten vor.

  • Angemessenheits­beschluss der EU-Kommission (Art. 45 DSGVO)
  • Standarddatenschutz­klauseln (46 II lit. c oder d DSGVO), Standard­vertrags­klauseln (26 IV DSRL iVm Art. 46 V S. 2 DSGVO)
  • Verbindliche interne Datenschutz­vorschriften (Art. 47 DSGVO)
  • Sonstige geeignete Garantien (z.B. Zertifizierung nach Art. 42 DSGVO)

Besonders praxisrelevant sind dabei der Angemessenheits­beschluss der EU sowie die Standard­datenschutz­klauseln, auf die daher näher eingegangen wird.

Angemessenheitsbeschluss

Soweit die allgemeinen Rechtsmäßigkeits­voraussetzungen vorliegen, ist die Übermittlung in ein Drittland immer dann möglich, wenn die Kommission ein angemessenes Niveau festgestellt hat. Auf der Basis der DSGVO liegt noch kein Angemessenheits­beschluss vor. Jedoch entfalten die Feststellungen, die die Kommission nach der alten Datenschutz­richtlinie festgestellt hat, rechtliche Wirkung unter der DSGVO nach Art. 45 IX. Dazu gehören Länder wie z.B. USA, Kanada und die Schweiz. Für bestimmte Länder ergeben sich aus dem Angemessenheitsbeschluss jedoch Einschränkungen, sodass ein Datentransfer nicht ohne die Erfüllung weiterer Voraussetzungen möglich ist.

EU-US Privacy Shield

Von besonderer Bedeutung sind die USA, denn der Angemessenheitsbeschluss erfasst nur Daten­übermittlungen an Unternehmen in den USA, die EU-US Privacy Shield zertifiziert sind. Der EU-US Privacy Shield ist aus einer informellen Absprache zwischen der EU-Kommission und dem Handels­ministerium der USA entstanden. Interessierte amerikanische Unternehmen können sich in eine Datenschutz­schild-Liste eintragen lassen, die vom US-Handels­ministerium geführt wird. Dadurch verpflichten sie sich die folgenden Rechte von EU-Betroffenen zu achten:

  • Recht auf Information
  • Recht auf Auskunft
  • Ggf. Recht auf Löschung
  • Ggf. Recht auf Widerspruch gegen eine Daten­verarbeitung
  • Recht auf Inanspruchnahmen von Beschwerde-/Abhilfe­verfahren
  • Recht auf Einreichung eines Antrags zur Anrufung der sogenannten Ombudsperson

Alle unter dem EU-US Privacy Shield zertifizierten Unternehmen haben sich zudem zu den folgenden vier Prinzipien bekannt:

  • Datensparsamkeit
  • Datenverarbeitung nur mit Zweckbindung
  • Beantwortung von Beschwerden innerhalb von 45 Tagen
  • Kooperation im Falle einer Untersuchung

Trotz der vielen Rechte, die den EU-Bürgern zustehen, sieht sich der Privacy Shield vielfacher Kritik ausgesetzt. Das liegt insbesondere daran, dass es an Nachweisen fehlt, inwieweit amerikanische Unternehmen sich an die Pflichten des Privacy Shield halten. Zudem ist die tatsächliche Durchsetzung der Rechte der Betroffenen Kritik ausgesetzt, da im Falle einer Streitigkeit der eingesetzte Ombudsmann – als Beamter des US-Ministeriums – nicht ausreichend unabhängig ist und keine ausreichenden Kompetenzen hat. Außerdem handelt es sich beim Privacy Shield lediglich um eine informelle Absprache zwischen der EU und der US-Regierung, die nicht rechtlich bindend ist. Auf Vorlage des irischen High Court wird der Privacy Shield daher derzeit vor dem EuGH geprüft.

Standard­datenschutz­klauseln

Liegt kein Angemessenheits­beschluss vor, so kann der europäische Datenschutz­standard mittels der sog. Standard­datenschutz­klauseln in das Zielland exportiert werden. Es handelt sich dabei um vorformulierte vertragliche Klauseln. Die älteren sog. Standard­vertrags­klauseln gelten jedoch noch solange fort, bis die Kommission sie ersetzt (Art. 46 V S. 2 DSGVO). Das vorformulierte Muster darf nicht geändert werden. Es sei denn zur Integration in einen anderen Vertrag und zur Ergänzung weiterer Klauseln und Garantien, die nicht im Widerspruch zu den Standard­datenschutz­klauseln stehen dürfen.

Auch die Standard­vertrags­klauseln stehen in der Kritik und werden vom EuGH überprüft. Es wird von einigen Datenschützern angezweifelt, dass die Standard­vertrags­klauseln als Rechtsgrundlage für die Übermittlung an einen Auftrags­verarbeiter in ein Drittland ausreichen und fordern zusätzlich das Abschließen eines Auftrags­verarbeitungs­vertrags nach Art. 28 DSGVO. In seiner Schlussrede vor dem EuGH stellte der Generalanwalt jedoch klar, dass die Standard­vertrags­klauseln eine geeignete Rechts­grundlage darstellen. Die Stellungnahme ist zwar rechtlich nicht bindend, jedoch folgt das Gericht in der überwiegenden Mehrheit der Fälle der Ansicht des Generalanwalts. Die Entscheidung des EuGH – in der Rechtssache C-311/18 – wird in diesem Monat erwartet.

Ausnahmen

Für den Fall, dass weder ein Angemessenheits­beschluss vorliegt noch andere geeignete Garantien wie Standard­datenschutz­klauseln vorliegen, sieht die DSGVO Ausnahmen für bestimmte Fälle vor (Art. 49 DSGVO). Am relevantesten ist die Einwilligung nach Art. 49 I lit. a DSGVO. Eine Datenübermittlung in ein Drittland ist immer dann zulässig, wenn die betroffene Person ausdrücklich eingewilligt hat, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Daten­übermittlungen ohne Vorliegen eines Angemessenheits­beschlusses und ohne geeignete Garantien unterrichtet wurde.

Fazit

Abschließend bleibt festzuhalten, dass die DSGVO zur Daten­übermittlung in ein Drittland viele Möglichkeiten bietet. Trotz der vielen Kritik am EU-US Privacy Shield ist eine Übermittlung in die USA datenschutz­konform möglich, sodass keine Bußgelder zu befürchten sind. Es bleibt jedoch abzuwarten, wie der EuGH bezüglich der Standard­vertrags­klauseln und des EU – US Privacy Shield urteilt.

Die zurzeit gültigen Standard­vertrags­klauseln mit einem Auftrags­verarbeiter finden unsere Kunden auch online im myGINDAT-Portal im Gesamtpaket unter „09 Auftragsverarbeitung“.

About Cookies

This website uses cookies. Those have two functions: On the one hand they are providing basic functionality for this website. On the other hand they allow us to improve our content for you by saving and analyzing anonymized user data. You can redraw your consent to to using these cookies at any time. Find more information regarding cookies on our Data Protection Declaration and regarding us on the Imprint.
Mandatory

These cookies are needed for a smooth operation of our website.

Name Purpose Lifetime Type Provider
CookieConsent Saves your consent to using cookies. 1 year HTML Website
fe_typo_user Assigns your browser to a session on the server. session HTTP Website
PHPSESSID Temporary cookies which is required by PHP to temporarily store data. session HTTP Website
__cfduid missing translation: trackingobject.__cfduid.desc 30 missing translation: duration.days-session HTTP Cloudflare/ report-uri.com
Statistics

With the help of these statistics cookies we check how visitors interact with our website. The information is collected anonymously.

Name Purpose Lifetime Type Provider
_pk_id Used to store a few details about the user such as the unique visitor ID. 13 months HTML Matomo
_pk_ref Used to store the attribution information, the referrer initially used to visit the website. 6 months HTML Matomo
_pk_ses Short lived cookie used to temporarily store data for the visit. 30 minutes HTML Matomo
_pk_cvar Short lived cookie used to temporarily store data for the visit. 30 minutes HTML Matomo
MATOMO_SESSID Temporary cookies which is set when the Matomo Out-out is used. session HTTP Matomo
_pk_testcookie missing translation: trackingobject._pk_testcookie.desc session HTML Matomo