EU–Datenschutzstandard und Rechtmäßigkeitsvoraussetzungen
Mit der Einführung der DSGVO wurde in der EU ein hoher Datenschutzstandard erreicht. Jedoch werden personenbezogene Daten nicht nur innerhalb der EU ausgetauscht, sondern auch an Drittländer übermittelt. Um den europäischen Mindeststandard nicht zu untergraben, regelt die DSGVO in den Art. 44 – 50 den Datenaustausch mit Ländern, die nicht in der EU liegen. Adressat der Regelung sind sowohl Verantwortliche als auch Auftragsverarbeiter.
Die rechtmäßige Übertragung in ein Drittland besteht aus zwei Stufen.
- Stufe 1: Es müssen die allgemeinen Rechtmäßigkeitsvoraussetzungen beachtet werden (z.B. die Einwilligung des Betroffenen, berechtigtes Interesse des Unternehmens)
- Stufe 2: Auf dieser Stufe sind die zusätzlichen Anforderungen nach Art. 44 – 50 DSGVO zu beachten.
Bei der Übermittlung in ein Drittland besteht häufig die Fehlannahme, dass lediglich die zweite Stufe erfüllt werden müsse. Jedoch stellt Art. 44 S. 1 DSGVO klar, dass die Übermittlung nur dann zulässig ist, wenn auch die sonstigen Bestimmungen dieser Verordnung eingehalten werden. Daher ist unbedingt darauf zu achten, die Anforderungen beider Stufen zu erfüllen.
Um das Datenschutzniveau der EU in andere Länder zu exportieren, sieht die DSGVO eine Vielzahl von Möglichkeiten vor.
- Angemessenheitsbeschluss der EU-Kommission (Art. 45 DSGVO)
- Standarddatenschutzklauseln (46 II lit. c oder d DSGVO), Standardvertragsklauseln (26 IV DSRL iVm Art. 46 V S. 2 DSGVO)
- Verbindliche interne Datenschutzvorschriften (Art. 47 DSGVO)
- Sonstige geeignete Garantien (z.B. Zertifizierung nach Art. 42 DSGVO)
Besonders praxisrelevant sind dabei der Angemessenheitsbeschluss der EU sowie die Standarddatenschutzklauseln, auf die daher näher eingegangen wird.
Angemessenheitsbeschluss
Soweit die allgemeinen Rechtsmäßigkeitsvoraussetzungen vorliegen, ist die Übermittlung in ein Drittland immer dann möglich, wenn die Kommission ein angemessenes Niveau festgestellt hat. Auf der Basis der DSGVO liegt noch kein Angemessenheitsbeschluss vor. Jedoch entfalten die Feststellungen, die die Kommission nach der alten Datenschutzrichtlinie festgestellt hat, rechtliche Wirkung unter der DSGVO nach Art. 45 IX. Dazu gehören Länder wie z.B. USA, Kanada und die Schweiz. Für bestimmte Länder ergeben sich aus dem Angemessenheitsbeschluss jedoch Einschränkungen, sodass ein Datentransfer nicht ohne die Erfüllung weiterer Voraussetzungen möglich ist.
EU-US Privacy Shield
Von besonderer Bedeutung sind die USA, denn der Angemessenheitsbeschluss erfasst nur Datenübermittlungen an Unternehmen in den USA, die EU-US Privacy Shield zertifiziert sind. Der EU-US Privacy Shield ist aus einer informellen Absprache zwischen der EU-Kommission und dem Handelsministerium der USA entstanden. Interessierte amerikanische Unternehmen können sich in eine Datenschutzschild-Liste eintragen lassen, die vom US-Handelsministerium geführt wird. Dadurch verpflichten sie sich die folgenden Rechte von EU-Betroffenen zu achten:
- Recht auf Information
- Recht auf Auskunft
- Ggf. Recht auf Löschung
- Ggf. Recht auf Widerspruch gegen eine Datenverarbeitung
- Recht auf Inanspruchnahmen von Beschwerde-/Abhilfeverfahren
- Recht auf Einreichung eines Antrags zur Anrufung der sogenannten Ombudsperson
Alle unter dem EU-US Privacy Shield zertifizierten Unternehmen haben sich zudem zu den folgenden vier Prinzipien bekannt:
- Datensparsamkeit
- Datenverarbeitung nur mit Zweckbindung
- Beantwortung von Beschwerden innerhalb von 45 Tagen
- Kooperation im Falle einer Untersuchung
Trotz der vielen Rechte, die den EU-Bürgern zustehen, sieht sich der Privacy Shield vielfacher Kritik ausgesetzt. Das liegt insbesondere daran, dass es an Nachweisen fehlt, inwieweit amerikanische Unternehmen sich an die Pflichten des Privacy Shield halten. Zudem ist die tatsächliche Durchsetzung der Rechte der Betroffenen Kritik ausgesetzt, da im Falle einer Streitigkeit der eingesetzte Ombudsmann – als Beamter des US-Ministeriums – nicht ausreichend unabhängig ist und keine ausreichenden Kompetenzen hat. Außerdem handelt es sich beim Privacy Shield lediglich um eine informelle Absprache zwischen der EU und der US-Regierung, die nicht rechtlich bindend ist. Auf Vorlage des irischen High Court wird der Privacy Shield daher derzeit vor dem EuGH geprüft.
Standarddatenschutzklauseln
Liegt kein Angemessenheitsbeschluss vor, so kann der europäische Datenschutzstandard mittels der sog. Standarddatenschutzklauseln in das Zielland exportiert werden. Es handelt sich dabei um vorformulierte vertragliche Klauseln. Die älteren sog. Standardvertragsklauseln gelten jedoch noch solange fort, bis die Kommission sie ersetzt (Art. 46 V S. 2 DSGVO). Das vorformulierte Muster darf nicht geändert werden. Es sei denn zur Integration in einen anderen Vertrag und zur Ergänzung weiterer Klauseln und Garantien, die nicht im Widerspruch zu den Standarddatenschutzklauseln stehen dürfen.
Auch die Standardvertragsklauseln stehen in der Kritik und werden vom EuGH überprüft. Es wird von einigen Datenschützern angezweifelt, dass die Standardvertragsklauseln als Rechtsgrundlage für die Übermittlung an einen Auftragsverarbeiter in ein Drittland ausreichen und fordern zusätzlich das Abschließen eines Auftragsverarbeitungsvertrags nach Art. 28 DSGVO. In seiner Schlussrede vor dem EuGH stellte der Generalanwalt jedoch klar, dass die Standardvertragsklauseln eine geeignete Rechtsgrundlage darstellen. Die Stellungnahme ist zwar rechtlich nicht bindend, jedoch folgt das Gericht in der überwiegenden Mehrheit der Fälle der Ansicht des Generalanwalts. Die Entscheidung des EuGH – in der Rechtssache C-311/18 – wird in diesem Monat erwartet.
Ausnahmen
Für den Fall, dass weder ein Angemessenheitsbeschluss vorliegt noch andere geeignete Garantien wie Standarddatenschutzklauseln vorliegen, sieht die DSGVO Ausnahmen für bestimmte Fälle vor (Art. 49 DSGVO). Am relevantesten ist die Einwilligung nach Art. 49 I lit. a DSGVO. Eine Datenübermittlung in ein Drittland ist immer dann zulässig, wenn die betroffene Person ausdrücklich eingewilligt hat, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde.
Fazit
Abschließend bleibt festzuhalten, dass die DSGVO zur Datenübermittlung in ein Drittland viele Möglichkeiten bietet. Trotz der vielen Kritik am EU-US Privacy Shield ist eine Übermittlung in die USA datenschutzkonform möglich, sodass keine Bußgelder zu befürchten sind. Es bleibt jedoch abzuwarten, wie der EuGH bezüglich der Standardvertragsklauseln und des EU – US Privacy Shield urteilt.
Die zurzeit gültigen Standardvertragsklauseln mit einem Auftragsverarbeiter finden unsere Kunden auch online im myGINDAT-Portal im Gesamtpaket unter „09 Auftragsverarbeitung“.