Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Fit für die DSGVO finden Sie jetzt hier
Cover Cover Jetzt testen
Betriebsrat Checklisten Cookies Corona Drittland Homeoffice Hybrid Work Schrems II Tätigkeitsberichte TTDSG Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 07/22

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat Checklisten Cookies Corona Drittland Homeoffice Hybrid Work Schrems II Tätigkeitsberichte TTDSG Urteil Vorlagen

Datenübermittlung

Die Datenübermittlung umfasst die Übermittlung personenbezogener Daten eines für die Verarbeitung Verantwortlichen ins inner- und außereuropäische Ausland.

➜ Rechtsgrundlagen der Datenübermittlung

Teure Fallstricke: Übermittlung von Personaldaten im Konzern

DP+
Die Konzernstruktur, um die es in diesem Fall geht
Übergreifende Gehaltsdatenbank
Teure Fallstricke: Übermittlung von Personaldaten im Konzern

Über Beteiligungen, teils sehr verschachtelter Art, sind auch viele kleinere Unternehmen in Konzernstrukturen eingebunden. Geht es dann darum, für bestimmte Projekte Personaldaten auszutauschen, ist manches nicht erlaubt, was auf den ersten Blick sinnvoll erscheint.

Urteil
29. Juni 2022

Google Analytics: Das müssen Verantwortliche jetzt beachten

DP+
Der Einsatz von Google Analytics ist unter Datenschutz-Gesichtspunkten gerade Gegenstand mehrerer Behördenentscheidungen
Bild: iStock.com / 400tmax
Datenübermittlung in die USA
Google Analytics: Das müssen Verantwortliche jetzt beachten

Die österreichische Datenschutzbehörde hat in einem konkreten Fall entschieden, dass der Verantwortliche Google Analytics nicht im Einklang mit der DSGVO verwendet hat. Können Verantwortliche Google Analytics noch ohne Datenschutzverletzung einsetzen?

Urteil
24. Mai 2022

Risikobasierter Ansatz für Datenübermittlung in Drittländer?

Gratis
Risikobasierter Ansatz für Datenübermittlung in Drittländer? Nein, sagt die österreichische Datenschutzbehörde DSB und lehnt dies ganz klar ab!
Bild: Lazy_Bear / iStock / Getty Images Plus
Datenübermittlung in Drittländer
Risikobasierter Ansatz für Datenübermittlung in Drittländer?

Dürfen Unternehmen auf einen „risikobasierten Ansatz“ setzen, wenn es um die Übermittlung von personenbezogenen Daten in die USA geht? Nein, sagt die österreichische Datenschutzbehörde DSB. Sie lehnt diesen Ansatz ganz klar ab.

News
10. Mai 2022

Die EU-Datengrenze für Microsoft-Cloud-Lösungen

DP+
Microsoft will in Zukunft sicherstellen, dass die Daten von EU-Unternehmen und -Organisationen in der EU bleiben
Das Projekt „EU Data Boundary for the Microsoft Cloud“
Die EU-Datengrenze für Microsoft-Cloud-Lösungen

Auch wenn Microsoft Rechenzentren in der EU betreibt, können US-­amerikanische Behörden das Unternehmen zwingen, Daten herauszugeben. Microsoft will gegensteuern, kann dies aber nur begrenzt. Wir geben in diesem Beitrag einen Überblick zum aktuellen Stand.

Hintergrund
30. März 2022

Enhanced Privacy Shield: Es bewegt sich was

Gratis
Was kommt nach Privacy Shield? Unternehmen in den USA und der EU warten dringend auf ein nachfolgendes Datenschutzabkommen.
Bild: Oleksii Liskonih / iStock / Getty Images Plus
Trans-Atlantic Data Privacy Framework
Enhanced Privacy Shield: Es bewegt sich was

Sowohl Unternehmen als auch Datenschützer warten ungeduldig auf ein neues Datenschutzabkommen zwischen der Europäischen Union und den Vereinigten Staaten. Nun sind sich die EU und die USA zumindest in den Grundsätzen über ein neues Privacy Shield, das Trans-Atlantic Data Privacy Framework, einig.

News
28. März 2022

Das lange Warten auf ein neues Datenschutzabkommen

Gratis
Was kommt nach Privacy Shield? Unternehmen in den USA und der EU warten dringend auf ein nachfolgendes Datenschutzabkommen.
Bild: Oleksii Liskonih / iStock / Getty Images Plus
Privacy Shield
Das lange Warten auf ein neues Datenschutzabkommen

Wie laufen eigentlich die Verhandlungen über ein neues Datenschutzabkommen zwischen der Europäischen Union und den Vereinigten Staaten? Offenbar nicht besonders gut. Zumindest dämpft Margrethe Vestager, die Vizepräsidentin der EU-Kommission, alle Erwartungen an eine schnelle Einigung.

News
1. März 2022

Google Analytics: Datenübermittlung verstößt gegen DSGVO

Gratis
Die Verwendung von Google Analytics ist illegal. Der beliebte Statistikdienst verstößt mit der Datenübermittlung in die USA gegen die DSGVO.
Bild: Bohdan Skrypnyk / iStock / Getty Images Plus
online-Datenschutz
Google Analytics: Datenübermittlung verstößt gegen DSGVO

Verstößt Google Analytics gegen die Europäische Datenschutz-Grundverordnung (DSGVO)? In vielen Fällen ja – sagen die österreichische Datenschutzbehörde DSB und die französische Datenschutzbehörde CNIL. Denn der beliebte Statistikdienst übermittelt in einer bestimmten Umsetzung personenbezogene Daten aus der EU in die USA.

News
17. Februar 2022

Daten-Governance-Gesetz: EU will Daten für Innovationen nutzen

Gratis
Die EU bekommt ein neues Gesetz! Das Daten-Governance-Gesetz soll der Grundstein für eine faire datengetriebene Wirtschaft sein.
Bild: shaadjutt / iStock / Getty Images Plus
Datenschutz in Europa
Daten-Governance-Gesetz: EU will Daten für Innovationen nutzen

Die Europäische Union (EU) bekommt ein neues Daten-Governance-Gesetz: Die Mitgliedstaaten und das EU-Parlament haben sich auf den sogenannten Data Governance Act (DGA) geeinigt, den die Europäische Kommission im letzten Jahr vorgeschlagen hatte. Nun sollen Daten verstärkt dafür genutzt werden, Innovationen voranzubringen.

News
7. Dezember 2021

Wann kommt ein Privacy-Shield-Nachfolger?

Gratis
Deutsch-amerkianischer Datenschutztag 2021
Bild: vbw
Nachbericht zum 6. Deutsch-amerikanischen Datenschutztag
Wann kommt ein Privacy-Shield-Nachfolger?

Am 30. November fand online der 6. Deutsch-amerikanische Datenschutztag statt. Zentrale Frage war, wie es um eine Nachfolge-Vereinbarung zum Privacy Shield steht.

News
2. Dezember 2021

Sind Faxe noch datenschutzkonform?

Gratis
Faxe sind nicht mehr datenschutzkonform! Das sagen die beiden Landesbeauftragten für Datenschutz und Informationsfreiheit aus Bremen und Hessen.
Bild: Yusuke Ide / iStock / Getty Images Plus
Datenschutz + Telekommunikation
Sind Faxe noch datenschutzkonform?

Faxe sind nicht mehr datenschutzkonform – das sagen die Landesbeauftragte für Datenschutz Bremen und der Hessische Beauftragte für Datenschutz und Informationsfreiheit. Beide halten das Fax nicht mehr für sicher und empfehlen Alternativen.

News
21. September 2021
1 von 4

Bei der Datenübermittlung ins Ausland lassen sich zwei Fallkategorien unterscheiden, für die unterschiedliche rechtliche Grundlagen gelten.

1. Datenübermittlung innerhalb der EU, auch zwischen verschiedenen Mitgliedstaaten

Die Rechtsgrundlagen ergeben sich aus Art. 6 DSGVO. Nach Art 4 Nr. 2 DSGVO fällt die Offenlegung durch Übermittlung unter den Begriff der Verarbeitung.

Das umfasst das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten, durch eine Weitergabe an einen Dritten oder durch Einsicht in oder Abruf von dafür bereitgehaltene(n) Daten.

Letzteres schließt den Zugriff im Rahmen von Wartungstätigkeiten ein.

2. Datenübermittlung in Drittländer

Rechtliche Grundlagen leiten sich ab von Kapitel 5 mit Art. 44 DSGVO (Allgemeine Grundsätze) und den Erwägungsgründen 101–102, Art. 45 DSGVO (Datenübermittlung – Angemessenheitsbeschluss) mit den Erwägungsgründen 103–107, Art. 46 DSGVO (Datenübermittlung – geeignete Garantien) mit den Erwägungsgründen 108–109, Art. 48 DSGVO (nicht zulässige Übermittlung oder Offenlegung) mit dem Erwägungsgrund 115, Art. 49 DSGVO (Ausnahmen) mit den Erwägungsgründen 111–115 und Art. 50 DSGVO (Internationale Zusammenarbeit) mit dem Erwägungsgrund 116.

Für die Datenübermittlung ins Ausland bedarf es bei Übermittlungen in einen europäischen Mitgliedsstaat nach Art. 6 DSGVO einer Rechtsgrundlage, die

  • nach Abs. 1 Buchstabe a durch eine Einwilligung der betroffenen Person besteht oder
  • nach Abs. 1 Buchstabe b zur Vertragserfüllung erforderlich ist oder
  • nach Abs. 1 Buchstabe c zur Erfüllung rechtlicher Verpflichtungen erforderlich ist oder
  • nach Abs. 1 Buchstabe d zum Schutz lebenswichtiger Interessen erforderlich ist oder
  • nach Abs. 1 Buchstabe e zur Wahrnehmung einer Aufgabe im öffentlichen Interesse erforderlich ist oder
  • nach Abs. 1 Buchstabe f zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist sowie
  • nach Abs. 2 durch ergänzende nationale Vorschriften erwirkt werden kann.

Für alle Übermittlungen an Stellen, die nicht in den Geltungsbereich europäischen Rechts fallen, sind die Art. 44–50 DSGVO anzuwenden.

Art. 44 DSGVO regelt, dass Datenübermittlungen in ein Drittland oder an eine internationale Organisation durch einen Verantwortlichen oder einen Auftragsverarbeiter nur möglich sind, wenn sie alle Anforderungen aus Kapitel 5 sowie sonstige Regelungen der DSGVO einhalten. Sofern sie die Anforderungen nicht einhalten, unterbleibt die Übermittlung.

Angemessenheitsbeschlüsse

Art. 45 DSGVO ermöglicht es der Europäischen Kommission, Drittländern per Angemessenheitsbeschluss ein angemessenes Datenschutzniveau zu attestieren. In diesem Fall bedarf es keiner zusätzlichen Genehmigung.

Die aktuelle Liste dieser Drittländer ist abrufbar unter
https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en.

Geeignete Garantien

Gemäß Art. 46 Abs. 1 DSGVO ist eine Übermittlung in ein Drittland ohne von der Kommission attestiertes angemessenes Datenschutzniveau möglich, wenn geeignete Garantien vorhanden sind, die den betroffenen Personen die Durchsetzbarkeit ihrer Rechte und wirksame Rechtsbehelfe sicherstellen:

  • Nach Art. 46 Abs. 2 Buchstabe a DSGVO kann dies ein rechtlich bindendes und durchsetzbares Dokument zwischen den Behörden oder öffentlichen Stellen sein oder
  • nach Art. 46 Abs. 2 Buchstabe b DSGVO verbindliche interne Datenschutzvorschriften oder
  • nach Art. 46 Abs. 2 Buchstabe c DSGVO Standarddatenschutzklauseln, die von der Kommission verabschiedet wurden, sowie
  • nach Art. 46 Abs. 2 Buchstabe d DSGVO von einer Aufsichtsbehörde akzeptierte Standarddatenschutzklauseln,
  • nach Art. 46 Abs. 2 Buchstabe e DSGVO in Verbindung mit Art. 40 Abs. 3 DSGVO genehmigte Verhaltensregeln mit rechtsverbindlichen und durchsetzbaren Verpflichtungen oder
  • nach Art. 46 Abs. 2 Buchstabe f DSGVO in Verbindung mit Art. 42 Abs. 2 DSGVO genehmigte Zertifizierungsmechanismen.

Art. 46 Abs. 3 Buchstabe a und b DSGVO ermöglichen es Aufsichtsbehörden, mit Vertragsklauseln oder mit Bestimmungen zwischen Behörden der Verwaltung und Aufsichtsbehörden weitere Ausnahmen im Einzelfall zu treffen, wenn Nachweise zur Gewährleistung des Persönlichkeitsrechtschutzes erbracht werden und ein wirksamer Schutz garantiert wird.

Art. 47 Abs. 3 DSGVO ermöglicht auf Basis von verbindlichen internen Datenschutzvorschriften eine Übermittlung zu Unternehmen in einem Drittland innerhalb einer Unternehmensgruppe.

Art. 48 DSGVO enthält eine Sonderregelung für Fälle, in denen ein Gericht oder eine Behörde in einem Drittland eine Übermittlung personenbezogener Daten erzwingt. Diese darf nur durchgeführt werden, wenn eine internationale Übereinkunft oder ein Rechtshilfeabkommen besteht.

Ausnahmen für Datenübermittlungen

Ausnahmen für Datenübermittlungen in Länder ohne angemessenes Sicherheitsniveau, geeignete Garantien oder verbindliche interne Datenschutzvorschriften regelt Art. 49 DSGVO. So ist eine Übermittlung möglich, wenn beispielsweise

  • die Einwilligung der betroffenen Person (Art. 49 Abs. 1 Buchstabe a DSGVO) vorliegt,
  • die Übermittlung zur Erfüllung vertraglicher Verpflichtungen zwischen der betroffenen Person und dem Verantwortlichen bzw. für vorvertragliche Maßnahmen erforderlich ist (Art. 49 Abs. 1 Buchstabe b DSGVO),
  • die Übermittlung zum Abschluss oder zur Erfüllung vertraglicher Verpflichtungen erforderlich ist (Art. 49 Abs. 1 Buchstabe c DSGVO),
  • ein wichtiges öffentliches Interesse besteht (Art. 49 Abs. 1 Buchstabe d DSGVO),
  • die Übermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist (Art. 49 Abs. 1 Buchstabe e DSGVO),
  • lebenswichtige Interessen der betroffenen Person dies erfordern (Art. 49 Abs. 1 Buchstabe f DSGVO) oder
  • die Daten über ein öffentliches Register veröffentlicht werden (Art. 49 Abs. 1 Buchstabe g DSGVO).

Eine weitere mögliche Ausnahme besteht, wenn die Übermittlung einmalig mit Daten von wenigen betroffenen Personen auf Basis eines zwingenden berechtigten Interesses erforderlich ist, keine schutzwürdigen Interessen überwiegen, die Gesamtheit der Übermittlung sorgfältig beurteilt, dokumentierte Schutzmaßnahmen ergriffen und zusätzlich die Aufsichtsbehörde und die betroffenen Personen informiert wurden.

In der Vergangenheit lagen mit dem Safe-Harbor- und dem Privacy-Shield-Abkommen spezielle Instrumente für Datenübermittlungen in die USA vor. Die Inhalte der Abkommen, die ein vergleichbares Datenschutzniveau sicherstellen sollten, waren bei Datenschützern schon immer in der Kritik.

Das Schrems-II-Urteil des EuGH

Der Europäische Gerichtshof (EuGH) erklärte in der Vergangenheit das Safe-Harbor-Abkommen und am 16. Juli 2020 in der Rechtssache C-311/17 („Schrems II“) das Privacy-Shield-Abkommen für ungültig.

Begründet hat er dies damit, dass das US-Recht den dortigen Sicherheitsbehörden Befugnisse einräumt, die nicht mit der DSGVO zu vereinbaren sind, und dass damit kein angemessenes Datenschutzniveau vorliegt.

Das Urteil hat weitreichende Konsequenzen:

  • Übermittlungen auf Basis des Privacy-Shield-Abkommens sind ungültig.
  • Übermittlungen auf Basis der Standardvertragsklauseln sind weiterhin gültig, aber nur dann, wenn per Einzelfallprüfung festgestellt wurde, dass ein angemessenes Datenschutzniveau weiterhin gewährleistet ist. Ist dies nicht der Fall, so sind zusätzliche Maßnahmen zu treffen oder die Übermittlung zu unterlassen.
  • Übermittlungen auf Basis der verbindlichen internen Datenschutzvorschriften (BCR) sind weiterhin gültig, aber nur dann, wenn per Einzelfallprüfung festgestellt wurde, dass ein angemessenes Datenschutzniveau weiterhin gewährleistet ist. Ist dies nicht der Fall, so sind zusätzliche Maßnahmen zu treffen oder die Übermittlung zu unterlassen.

Zur Klarstellung: Der EuGH stellt diese Anforderung nicht nur an Übermittlungen in die USA, sondern auch an alle sonstigen Drittländer! Das bedeutet, dass diese Prüfungen für alle Übermittlungen in Drittländer erforderlich sind.

Falls keine der genannten Optionen zum Einsatz kommen kann, so bleibt als letztes Mittel die Ausnahmevorschrift nach Art. 49 DSGVO. So könnten sich z.B. Übermittlungen innerhalb eines Konzerns oder direkt mit einer betroffenen Person, mit der ein Vertragsverhältnis besteht, legitimieren lassen.

Auch die Möglichkeit der Einwilligung sei hier genannt, allerdings ist die einwilligende Person vor der Einwilligung transparent auf die Übermittlung in ein unsicheres Drittland und die möglichen Risiken hinzuweisen.

Ein-Stufen-Prüfung für innereuropäische Datenübermittlungen

Für jede Übermittlung an andere Stellen innerhalb des Geltungsbereichs des Europäischen Rechts ist eine Rechtsgrundlage erforderlich. Hier kommen die oben genannten Rechtsgrundlagen von Art. 6 DSGVO infrage. Alternativ ist auch Art. 9 DSGVO in Verbindung mit § 22 BDSG für die Übermittlung besonderer Kategorien personenbezogener Daten denkbar.

Eine weitere Legitimierung ist je nach Zweck der Übermittlung für die in den §§ 22–28 BDSG genannten Zwecke möglich. Der Beschäftigtendatenschutz ist in § 26 BDSG geregelt.

Der Vollständigkeit halber sei hier noch die Auftragsverarbeitung nach Art. 28 DSGVO genannt. Die DSGVO lässt offen, ob es sich bei einer Datenweitergabe an Auftragsverarbeiter um eine Übermittlung nach Art. 4 Nr. 2 DSGVO handelt. In der Literatur gibt es Stimmen, die auch eine Auftragsverarbeitung als berechtigtes Interesse eines Verantwortlichen nach Art. 6 Abs. 1 Buchstabe f betrachten.

Zwei-Stufen-Prüfung für außereuropäische Datenübermittlungen

Gemäß dem Kurzpapier Nr. 4 der Datenschutzkonferenz (DSK) (Zusammenschluss der unabhängigen Datenschutzbehörden des Bundes und der Länder) ist für Datenübermittlungen in ein Drittland wie bisher eine Zwei-Stufen-Prüfung vorzunehmen.

1. Rechtgrundlage für Datenübermittlung vorhanden?

Auf der ersten Stufe erfolgt eine Prüfung, ob eine Rechtsgrundlage für die geplante Übermittlung vorhanden ist, wie unter Stufe 1 beschrieben. Neu ist, dass nun auch die Auftragsverarbeitung nach Art. 28 DSGVO für eine Übermittlung in ein Drittland verwendet werden kann. Ein Auftragsverarbeiter ist nach Art. 4 Abs. Nr. 10 DSGVO kein Dritter. Somit ist für eine Auftragsverarbeitung auch die Übermittlung nach außerhalb der EU möglich.

2. Angemessenes Datenschutzniveau vorhanden?

Auf der zweiten Stufe ist zu prüfen, ob beim Datenempfänger ein angemessenes Datenschutzniveau vorliegt. Dies ist wie oben aufgeführt in den Artikeln 45, 46 und 49 DSGVO geregelt und lässt sich über die Angemessenheitsbeschlüsse für einzelne Länder, durch verbindliche interne Datenschutzvorschriften, durch Standardvertragsklauseln der EU-Kommission oder einer Aufsichtsbehörde, sonstige genehmigte Verhaltensregeln und genehmigte Zertifizierungsmechanismen erzielen.

Der Vollständigkeit halber sei erwähnt, dass die hier beschriebene Zwei-Stufen-Prüfung vorbehaltlich abweichender Regelungen durch den Europäischen Datenschutzausschuss besteht.

Datenschutz PRAXIS - Der Podcast
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.