Datenübermittlung

Bei der Datenübermittlung ins Ausland lassen sich zwei Fallkategorien unterscheiden, für die unterschiedliche rechtliche Grundlagen gelten.

1. Datenübermittlung innerhalb der EU, auch zwischen verschiedenen Mitgliedstaaten

Die Rechtsgrundlagen ergeben sich aus Art. 6 DSGVO. Nach Art 4 Nr. 2 DSGVO fällt die Offenlegung durch Übermittlung unter den Begriff der Verarbeitung.

Das umfasst das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten, durch eine Weitergabe an einen Dritten oder durch Einsicht in oder Abruf von dafür bereitgehaltene(n) Daten.

Letzteres schließt den Zugriff im Rahmen von Wartungstätigkeiten ein.

2. Datenübermittlung in Drittländer

Rechtliche Grundlagen leiten sich ab von Kapitel 5 mit Art. 44 DSGVO (Allgemeine Grundsätze) und den Erwägungsgründen 101–102, Art. 45 DSGVO (Datenübermittlung – Angemessenheitsbeschluss) mit den Erwägungsgründen 103–107, Art. 46 DSGVO (Datenübermittlung – geeignete Garantien) mit den Erwägungsgründen 108–109, Art. 48 DSGVO (nicht zulässige Übermittlung oder Offenlegung) mit dem Erwägungsgrund 115, Art. 49 DSGVO (Ausnahmen) mit den Erwägungsgründen 111–115 und Art. 50 DSGVO (Internationale Zusammenarbeit) mit dem Erwägungsgrund 116.

Für die Datenübermittlung ins Ausland bedarf es bei Übermittlungen in einen europäischen Mitgliedsstaat nach Art. 6 DSGVO einer Rechtsgrundlage, die

• nach Abs. 1 Buchstabe a durch eine Einwilligung der betroffenen Person besteht oder
• nach Abs. 1 Buchstabe b zur Vertragserfüllung erforderlich ist oder
• nach Abs. 1 Buchstabe c zur Erfüllung rechtlicher Verpflichtungen erforderlich ist oder
• nach Abs. 1 Buchstabe d zum Schutz lebenswichtiger Interessen erforderlich ist oder
• nach Abs. 1 Buchstabe e zur Wahrnehmung einer Aufgabe im öffentlichen Interesse erforderlich ist oder
• nach Abs. 1 Buchstabe f zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist sowie
• nach Abs. 2 durch ergänzende nationale Vorschriften erwirkt werden kann.

Für alle Übermittlungen an Stellen, die nicht in den Geltungsbereich europäischen Rechts fallen, sind die Art. 44–50 DSGVO anzuwenden.

Art. 44 DSGVO regelt, dass Datenübermittlungen in ein Drittland oder an eine internationale Organisation durch einen Verantwortlichen oder einen Auftragsverarbeiter nur möglich sind, wenn sie alle Anforderungen aus Kapitel 5 sowie sonstige Regelungen der DSGVO einhalten. Sofern sie die Anforderungen nicht einhalten, unterbleibt die Übermittlung.

Angemessenheitsbeschlüsse

Art. 45 DSGVO ermöglicht es der Europäischen Kommission, Drittländern per Angemessenheitsbeschluss ein angemessenes Datenschutzniveau zu attestieren. In diesem Fall bedarf es keiner zusätzlichen Genehmigung.

Die aktuelle Liste dieser Drittländer ist abrufbar unter
https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en.

Geeignete Garantien

Gemäß Art. 46 Abs. 1 DSGVO ist eine Übermittlung in ein Drittland ohne von der Kommission attestiertes angemessenes Datenschutzniveau möglich, wenn geeignete Garantien vorhanden sind, die den betroffenen Personen die Durchsetzbarkeit ihrer Rechte und wirksame Rechtsbehelfe sicherstellen:

• Nach Art. 46 Abs. 2 Buchstabe a DSGVO kann dies ein rechtlich bindendes und durchsetzbares Dokument zwischen den Behörden oder öffentlichen Stellen sein oder
• nach Art. 46 Abs. 2 Buchstabe b DSGVO verbindliche interne Datenschutzvorschriften oder
• nach Art. 46 Abs. 2 Buchstabe c DSGVO Standarddatenschutzklauseln, die von der Kommission verabschiedet wurden, sowie
• nach Art. 46 Abs. 2 Buchstabe d DSGVO von einer Aufsichtsbehörde akzeptierte Standarddatenschutzklauseln,
• nach Art. 46 Abs. 2 Buchstabe e DSGVO in Verbindung mit Art. 40 Abs. 3 DSGVO genehmigte Verhaltensregeln mit rechtsverbindlichen und durchsetzbaren Verpflichtungen oder
• nach Art. 46 Abs. 2 Buchstabe f DSGVO in Verbindung mit Art. 42 Abs. 2 DSGVO genehmigte Zertifizierungsmechanismen.

Art. 46 Abs. 3 Buchstabe a und b DSGVO ermöglichen es Aufsichtsbehörden, mit Vertragsklauseln oder mit Bestimmungen zwischen Behörden der Verwaltung und Aufsichtsbehörden weitere Ausnahmen im Einzelfall zu treffen, wenn Nachweise zur Gewährleistung des Persönlichkeitsrechtschutzes erbracht werden und ein wirksamer Schutz garantiert wird.

Art. 47 Abs. 3 DSGVO ermöglicht auf Basis von verbindlichen internen Datenschutzvorschriften eine Übermittlung zu Unternehmen in einem Drittland innerhalb einer Unternehmensgruppe.

Art. 48 DSGVO enthält eine Sonderregelung für Fälle, in denen ein Gericht oder eine Behörde in einem Drittland eine Übermittlung personenbezogener Daten erzwingt. Diese darf nur durchgeführt werden, wenn eine internationale Übereinkunft oder ein Rechtshilfeabkommen besteht.

Ausnahmen für Datenübermittlungen

Ausnahmen für Datenübermittlungen in Länder ohne angemessenes Sicherheitsniveau, geeignete Garantien oder verbindliche interne Datenschutzvorschriften regelt Art. 49 DSGVO. So ist eine Übermittlung möglich, wenn beispielsweise

• die Einwilligung der betroffenen Person (Art. 49 Abs. 1 Buchstabe a DSGVO) vorliegt,
• die Übermittlung zur Erfüllung vertraglicher Verpflichtungen zwischen der betroffenen Person und dem Verantwortlichen bzw. für vorvertragliche Maßnahmen erforderlich ist (Art. 49 Abs. 1 Buchstabe b DSGVO),
• die Übermittlung zum Abschluss oder zur Erfüllung vertraglicher Verpflichtungen erforderlich ist (Art. 49 Abs. 1 Buchstabe c DSGVO),
• ein wichtiges öffentliches Interesse besteht (Art. 49 Abs. 1 Buchstabe d DSGVO),
• die Übermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist (Art. 49 Abs. 1 Buchstabe e DSGVO),
• lebenswichtige Interessen der betroffenen Person dies erfordern (Art. 49 Abs. 1 Buchstabe f DSGVO) oder
• die Daten über ein öffentliches Register veröffentlicht werden (Art. 49 Abs. 1 Buchstabe g DSGVO).

Eine weitere mögliche Ausnahme besteht, wenn die Übermittlung einmalig mit Daten von wenigen betroffenen Personen auf Basis eines zwingenden berechtigten Interesses erforderlich ist, keine schutzwürdigen Interessen überwiegen, die Gesamtheit der Übermittlung sorgfältig beurteilt, dokumentierte Schutzmaßnahmen ergriffen und zusätzlich die Aufsichtsbehörde und die betroffenen Personen informiert wurden.

In der Vergangenheit lagen mit dem Safe-Harbor- und dem Privacy-Shield-Abkommen spezielle Instrumente für Datenübermittlungen in die USA vor. Die Inhalte der Abkommen, die ein vergleichbares Datenschutzniveau sicherstellen sollten, waren bei Datenschützern schon immer in der Kritik.

Das Schrems-II-Urteil des EuGH

Der Europäische Gerichtshof (EuGH) erklärte in der Vergangenheit das Safe-Harbor-Abkommen und am 16. Juli 2020 in der Rechtssache C-311/17 („Schrems II“) das Privacy-Shield-Abkommen für ungültig.

Begründet hat er dies damit, dass das US-Recht den dortigen Sicherheitsbehörden Befugnisse einräumt, die nicht mit der DSGVO zu vereinbaren sind, und dass damit kein angemessenes Datenschutzniveau vorliegt.

Das Urteil hat weitreichende Konsequenzen:

• Übermittlungen auf Basis des Privacy-Shield-Abkommens sind ungültig.
• Übermittlungen auf Basis der Standardvertragsklauseln sind weiterhin gültig, aber nur dann, wenn per Einzelfallprüfung festgestellt wurde, dass ein angemessenes Datenschutzniveau weiterhin gewährleistet ist. Ist dies nicht der Fall, so sind zusätzliche Maßnahmen zu treffen oder die Übermittlung zu unterlassen.
• Übermittlungen auf Basis der verbindlichen internen Datenschutzvorschriften (BCR) sind weiterhin gültig, aber nur dann, wenn per Einzelfallprüfung festgestellt wurde, dass ein angemessenes Datenschutzniveau weiterhin gewährleistet ist. Ist dies nicht der Fall, so sind zusätzliche Maßnahmen zu treffen oder die Übermittlung zu unterlassen.

Zur Klarstellung: Der EuGH stellt diese Anforderung nicht nur an Übermittlungen in die USA, sondern auch an alle sonstigen Drittländer! Das bedeutet, dass diese Prüfungen für alle Übermittlungen in Drittländer erforderlich sind.

Falls keine der genannten Optionen zum Einsatz kommen kann, so bleibt als letztes Mittel die Ausnahmevorschrift nach Art. 49 DSGVO. So könnten sich z.B. Übermittlungen innerhalb eines Konzerns oder direkt mit einer betroffenen Person, mit der ein Vertragsverhältnis besteht, legitimieren lassen.

Auch die Möglichkeit der Einwilligung sei hier genannt, allerdings ist die einwilligende Person vor der Einwilligung transparent auf die Übermittlung in ein unsicheres Drittland und die möglichen Risiken hinzuweisen.

Ein-Stufen-Prüfung für innereuropäische Datenübermittlungen

Für jede Übermittlung an andere Stellen innerhalb des Geltungsbereichs des Europäischen Rechts ist eine Rechtsgrundlage erforderlich. Hier kommen die oben genannten Rechtsgrundlagen von Art. 6 DSGVO infrage. Alternativ ist auch Art. 9 DSGVO in Verbindung mit § 22 BDSG für die Übermittlung besonderer Kategorien personenbezogener Daten denkbar.

Eine weitere Legitimierung ist je nach Zweck der Übermittlung für die in den §§ 22–28 BDSG genannten Zwecke möglich. Der Beschäftigtendatenschutz ist in § 26 BDSG geregelt.

Der Vollständigkeit halber sei hier noch die Auftragsverarbeitung nach Art. 28 DSGVO genannt. Die DSGVO lässt offen, ob es sich bei einer Datenweitergabe an Auftragsverarbeiter um eine Übermittlung nach Art. 4 Nr. 2 DSGVO handelt. In der Literatur gibt es Stimmen, die auch eine Auftragsverarbeitung als berechtigtes Interesse eines Verantwortlichen nach Art. 6 Abs. 1 Buchstabe f betrachten.

Zwei-Stufen-Prüfung für außereuropäische Datenübermittlungen

Gemäß dem Kurzpapier Nr. 4 der Datenschutzkonferenz (DSK) (Zusammenschluss der unabhängigen Datenschutzbehörden des Bundes und der Länder) ist für Datenübermittlungen in ein Drittland wie bisher eine Zwei-Stufen-Prüfung vorzunehmen.

1. Rechtgrundlage für Datenübermittlung vorhanden?

Auf der ersten Stufe erfolgt eine Prüfung, ob eine Rechtsgrundlage für die geplante Übermittlung vorhanden ist, wie unter Stufe 1 beschrieben. Neu ist, dass nun auch die Auftragsverarbeitung nach Art. 28 DSGVO für eine Übermittlung in ein Drittland verwendet werden kann. Ein Auftragsverarbeiter ist nach Art. 4 Abs. Nr. 10 DSGVO kein Dritter. Somit ist für eine Auftragsverarbeitung auch die Übermittlung nach außerhalb der EU möglich.

2. Angemessenes Datenschutzniveau vorhanden?

Auf der zweiten Stufe ist zu prüfen, ob beim Datenempfänger ein angemessenes Datenschutzniveau vorliegt. Dies ist wie oben aufgeführt in den Artikeln 45, 46 und 49 DSGVO geregelt und lässt sich über die Angemessenheitsbeschlüsse für einzelne Länder, durch verbindliche interne Datenschutzvorschriften, durch Standardvertragsklauseln der EU-Kommission oder einer Aufsichtsbehörde, sonstige genehmigte Verhaltensregeln und genehmigte Zertifizierungsmechanismen erzielen.

Der Vollständigkeit halber sei erwähnt, dass die hier beschriebene Zwei-Stufen-Prüfung vorbehaltlich abweichender Regelungen durch den Europäischen Datenschutzausschuss besteht.