Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Betriebsrat ChatGPT Checklisten Cookies Data Privacy Framework EuGH Fotos HinSchG Homeoffice Hybrid Work KI KRITIS Rechenschaftspflicht TTDSG Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 04/24

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat ChatGPT Checklisten Cookies Data Privacy Framework EuGH Fotos HinSchG Homeoffice Hybrid Work KI KRITIS Rechenschaftspflicht TTDSG Urteil Vorlagen

Datenübermittlung

Die Datenübermittlung umfasst die Übermittlung personenbezogener Daten eines für die Verarbeitung Verantwortlichen ins inner- und außereuropäische Ausland.

➜ Rechtsgrundlagen der Datenübermittlung

Angemessenheitsbeschluss zum EU-US Data Privacy Framework: eine deutsche Übersetzung

DP+
Entwurf der EU-Kommission
Angemessenheitsbeschluss zum EU-US Data Privacy Framework: eine deutsche Übersetzung

Die EU-Kommission hat am 13.12. ihren Entwurf für einen An­ge­mes­sen­heits­be­schlus­s für den trans­at­lan­ti­schen Da­ten­schutz­rah­men veröffentlicht. Lesen Sie hier eine deutsche Übersetzung des Textes.

Download
15. Dezember 2022

Neues „Privacy Shield“: Die Executive Order des US-Präsidenten

DP+
Was kommt nach Privacy Shield? Unternehmen in den USA und der EU warten dringend auf ein nachfolgendes Datenschutzabkommen.
Bild: Oleksii Liskonih / iStock / Getty Images Plus
Datenübermittlung in die USA
Neues „Privacy Shield“: Die Executive Order des US-Präsidenten

US-Präsident Biden hat eine Anordnung getroffen, die den Forderungen des EuGH aus seiner Schrems-II-Entscheidung entgegenkommen soll. Was genau besagt diese Executive Order?

Hintergrund
8. November 2022

Privacy Shield 2.0: Kommt bald ein neues Datenschutzabkommen?

US-Präsident Joe Biden hat ein Dekret unterzeichnet und den Weg freigemacht für einen Privacy Shield 2.0. Datenschützer äußern sich bereits kritisch.
Bild: Marc Bruxelle / iStock / Getty Images Plus
Privacy Shield 2.0
Privacy Shield 2.0: Kommt bald ein neues Datenschutzabkommen?

Ist das der Durchbruch für ein neues Datenschutzabkommen zwischen der Europäischen Union und den USA? Regierungen und Unternehmen hoffen es, Datenschutzaktivisten bezweifeln es – sicher ist im Moment nur: US-Präsident Joe Biden hat ein Dekret unterzeichnet und den Weg freigemacht für einen Privacy Shield 2.0.

News
11. Oktober 2022

Standardvertragsklauseln: Alte Vereinbarungen werden bald ungültig

Nutzen Sie noch die alten Standardvertragsklauseln? Dann sollten Sie bald aktiv werden, denn Ende des Jahres werden diese Klauseln ungültig.
Bild: Lemon_tm / iStock / Getty Images Plus
Internationaler Datenverkehr
Standardvertragsklauseln: Alte Vereinbarungen werden bald ungültig

Nutzt Ihr Unternehmen noch die „alten“ Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Länder außerhalb der Europäischen Union (EU) bzw. des Europäischen Wirtschaftsraums (EWR)? Dann sollten Sie bald aktiv werden – denn Ende des Jahres werden diese Klauseln ungültig.

News
5. Oktober 2022

Teure Fallstricke: Übermittlung von Personaldaten im Konzern

DP+
Die Konzernstruktur, um die es in diesem Fall geht
Übergreifende Gehaltsdatenbank
Teure Fallstricke: Übermittlung von Personaldaten im Konzern

Über Beteiligungen, teils sehr verschachtelter Art, sind auch viele kleinere Unternehmen in Konzernstrukturen eingebunden. Geht es dann darum, für bestimmte Projekte Personaldaten auszutauschen, ist manches nicht erlaubt, was auf den ersten Blick sinnvoll erscheint.

Urteil
29. Juni 2022

Risikobasierter Ansatz für Datenübermittlung in Drittländer?

Risikobasierter Ansatz für Datenübermittlung in Drittländer? Nein, sagt die österreichische Datenschutzbehörde DSB und lehnt dies ganz klar ab!
Bild: Lazy_Bear / iStock / Getty Images Plus
Datenübermittlung in Drittländer
Risikobasierter Ansatz für Datenübermittlung in Drittländer?

Dürfen Unternehmen auf einen „risikobasierten Ansatz“ setzen, wenn es um die Übermittlung von personenbezogenen Daten in die USA geht? Nein, sagt die österreichische Datenschutzbehörde DSB. Sie lehnt diesen Ansatz ganz klar ab.

News
10. Mai 2022

Die EU-Datengrenze für Microsoft-Cloud-Lösungen

DP+
Microsoft will in Zukunft sicherstellen, dass die Daten von EU-Unternehmen und -Organisationen in der EU bleiben
Das Projekt „EU Data Boundary for the Microsoft Cloud“
Die EU-Datengrenze für Microsoft-Cloud-Lösungen

Auch wenn Microsoft Rechenzentren in der EU betreibt, können US-­amerikanische Behörden das Unternehmen zwingen, Daten herauszugeben. Microsoft will gegensteuern, kann dies aber nur begrenzt. Wir geben in diesem Beitrag einen Überblick zum aktuellen Stand.

Hintergrund
30. März 2022

Google Analytics: Datenübermittlung verstößt gegen DSGVO

Die Verwendung von Google Analytics ist illegal. Der beliebte Statistikdienst verstößt mit der Datenübermittlung in die USA gegen die DSGVO.
Bild: Bohdan Skrypnyk / iStock / Getty Images Plus
online-Datenschutz
Google Analytics: Datenübermittlung verstößt gegen DSGVO

Verstößt Google Analytics gegen die Europäische Datenschutz-Grundverordnung (DSGVO)? In vielen Fällen ja – sagen die österreichische Datenschutzbehörde DSB und die französische Datenschutzbehörde CNIL. Denn der beliebte Statistikdienst übermittelt in einer bestimmten Umsetzung personenbezogene Daten aus der EU in die USA.

News
17. Februar 2022

Ergänzende / zusätzliche Maßnahmen: Das ist neu für die Praxis

DP+
Die Datenübermittlung in Drittländer ist und bleibt auch mit zusätzlichen Maßnahmen des EDSA eine große Herausforderung
Bild: iStock.com / anyaberkut
Datenübermittlung in Drittländer
Ergänzende / zusätzliche Maßnahmen: Das ist neu für die Praxis

Nur die neuen EU-Standardvertragsklauseln zu verwenden, reicht nicht. Hinzukommen müssen die „ergänzenden Maßnahmen“. Seine Empfehlungen dazu hat der Europäische Datenschutzausschuss (EDSA) nun in einer Endfassung veröffentlicht.

Hintergrund
18. August 2021

Transfer Impact Assessment (TIA): Die Einzelfallbewertung

Auch im Hinblick auf die koordinierte Prüfung internationaler Datentransfers, die die Aufsichtsbehörden initiiert haben, ist es empfehlenswert, Datenübermittlungen in Drittländer genauer unter die Lupe zu nehmen
Bild: iStock.com / Nongkran_ch
Datenübermittlung in Drittländer
Transfer Impact Assessment (TIA): Die Einzelfallbewertung

Ausgangspunkt und zentraler Mechanismus, um die „ergänzenden Maßnahmen“ für die Datenübermittlung in Drittländer zu bestimmen und umzusetzen, ist eine Einzelfallbewertung oder Neudeutsch ein „Transfer Impact Assessment“ (kurz TIA). Was steckt genau hinter diesem Prozess?

Ratgeber
16. August 2021
2 von 4

Bei der Datenübermittlung ins Ausland lassen sich zwei Fallkategorien unterscheiden, für die unterschiedliche rechtliche Grundlagen gelten.

1. Datenübermittlung innerhalb der EU, auch zwischen verschiedenen Mitgliedstaaten

Die Rechtsgrundlagen ergeben sich aus Art. 6 DSGVO. Nach Art 4 Nr. 2 DSGVO fällt die Offenlegung durch Übermittlung unter den Begriff der Verarbeitung.

Das umfasst das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten, durch eine Weitergabe an einen Dritten oder durch Einsicht in oder Abruf von dafür bereitgehaltene(n) Daten.

Letzteres schließt den Zugriff im Rahmen von Wartungstätigkeiten ein.

2. Datenübermittlung in Drittländer

Rechtliche Grundlagen leiten sich ab von Kapitel 5 mit Art. 44 DSGVO (Allgemeine Grundsätze) und den Erwägungsgründen 101–102, Art. 45 DSGVO (Datenübermittlung – Angemessenheitsbeschluss) mit den Erwägungsgründen 103–107, Art. 46 DSGVO (Datenübermittlung – geeignete Garantien) mit den Erwägungsgründen 108–109, Art. 48 DSGVO (nicht zulässige Übermittlung oder Offenlegung) mit dem Erwägungsgrund 115, Art. 49 DSGVO (Ausnahmen) mit den Erwägungsgründen 111–115 und Art. 50 DSGVO (Internationale Zusammenarbeit) mit dem Erwägungsgrund 116.

Für die Datenübermittlung ins Ausland bedarf es bei Übermittlungen in einen europäischen Mitgliedsstaat nach Art. 6 DSGVO einer Rechtsgrundlage, die

  • nach Abs. 1 Buchstabe a durch eine Einwilligung der betroffenen Person besteht oder
  • nach Abs. 1 Buchstabe b zur Vertragserfüllung erforderlich ist oder
  • nach Abs. 1 Buchstabe c zur Erfüllung rechtlicher Verpflichtungen erforderlich ist oder
  • nach Abs. 1 Buchstabe d zum Schutz lebenswichtiger Interessen erforderlich ist oder
  • nach Abs. 1 Buchstabe e zur Wahrnehmung einer Aufgabe im öffentlichen Interesse erforderlich ist oder
  • nach Abs. 1 Buchstabe f zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist sowie
  • nach Abs. 2 durch ergänzende nationale Vorschriften erwirkt werden kann.

Für alle Übermittlungen an Stellen, die nicht in den Geltungsbereich europäischen Rechts fallen, sind die Art. 44–50 DSGVO anzuwenden.

Art. 44 DSGVO regelt, dass Datenübermittlungen in ein Drittland oder an eine internationale Organisation durch einen Verantwortlichen oder einen Auftragsverarbeiter nur möglich sind, wenn sie alle Anforderungen aus Kapitel 5 sowie sonstige Regelungen der DSGVO einhalten. Sofern sie die Anforderungen nicht einhalten, unterbleibt die Übermittlung.

Angemessenheitsbeschlüsse

Art. 45 DSGVO ermöglicht es der Europäischen Kommission, Drittländern per Angemessenheitsbeschluss ein angemessenes Datenschutzniveau zu attestieren. In diesem Fall bedarf es keiner zusätzlichen Genehmigung.

Die aktuelle Liste dieser Drittländer ist abrufbar unter
https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en.

Geeignete Garantien

Gemäß Art. 46 Abs. 1 DSGVO ist eine Übermittlung in ein Drittland ohne von der Kommission attestiertes angemessenes Datenschutzniveau möglich, wenn geeignete Garantien vorhanden sind, die den betroffenen Personen die Durchsetzbarkeit ihrer Rechte und wirksame Rechtsbehelfe sicherstellen:

  • Nach Art. 46 Abs. 2 Buchstabe a DSGVO kann dies ein rechtlich bindendes und durchsetzbares Dokument zwischen den Behörden oder öffentlichen Stellen sein oder
  • nach Art. 46 Abs. 2 Buchstabe b DSGVO verbindliche interne Datenschutzvorschriften oder
  • nach Art. 46 Abs. 2 Buchstabe c DSGVO Standarddatenschutzklauseln, die von der Kommission verabschiedet wurden, sowie
  • nach Art. 46 Abs. 2 Buchstabe d DSGVO von einer Aufsichtsbehörde akzeptierte Standarddatenschutzklauseln,
  • nach Art. 46 Abs. 2 Buchstabe e DSGVO in Verbindung mit Art. 40 Abs. 3 DSGVO genehmigte Verhaltensregeln mit rechtsverbindlichen und durchsetzbaren Verpflichtungen oder
  • nach Art. 46 Abs. 2 Buchstabe f DSGVO in Verbindung mit Art. 42 Abs. 2 DSGVO genehmigte Zertifizierungsmechanismen.

Art. 46 Abs. 3 Buchstabe a und b DSGVO ermöglichen es Aufsichtsbehörden, mit Vertragsklauseln oder mit Bestimmungen zwischen Behörden der Verwaltung und Aufsichtsbehörden weitere Ausnahmen im Einzelfall zu treffen, wenn Nachweise zur Gewährleistung des Persönlichkeitsrechtschutzes erbracht werden und ein wirksamer Schutz garantiert wird.

Art. 47 Abs. 3 DSGVO ermöglicht auf Basis von verbindlichen internen Datenschutzvorschriften eine Übermittlung zu Unternehmen in einem Drittland innerhalb einer Unternehmensgruppe.

Art. 48 DSGVO enthält eine Sonderregelung für Fälle, in denen ein Gericht oder eine Behörde in einem Drittland eine Übermittlung personenbezogener Daten erzwingt. Diese darf nur durchgeführt werden, wenn eine internationale Übereinkunft oder ein Rechtshilfeabkommen besteht.

Ausnahmen für Datenübermittlungen

Ausnahmen für Datenübermittlungen in Länder ohne angemessenes Sicherheitsniveau, geeignete Garantien oder verbindliche interne Datenschutzvorschriften regelt Art. 49 DSGVO. So ist eine Übermittlung möglich, wenn beispielsweise

  • die Einwilligung der betroffenen Person (Art. 49 Abs. 1 Buchstabe a DSGVO) vorliegt,
  • die Übermittlung zur Erfüllung vertraglicher Verpflichtungen zwischen der betroffenen Person und dem Verantwortlichen bzw. für vorvertragliche Maßnahmen erforderlich ist (Art. 49 Abs. 1 Buchstabe b DSGVO),
  • die Übermittlung zum Abschluss oder zur Erfüllung vertraglicher Verpflichtungen erforderlich ist (Art. 49 Abs. 1 Buchstabe c DSGVO),
  • ein wichtiges öffentliches Interesse besteht (Art. 49 Abs. 1 Buchstabe d DSGVO),
  • die Übermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist (Art. 49 Abs. 1 Buchstabe e DSGVO),
  • lebenswichtige Interessen der betroffenen Person dies erfordern (Art. 49 Abs. 1 Buchstabe f DSGVO) oder
  • die Daten über ein öffentliches Register veröffentlicht werden (Art. 49 Abs. 1 Buchstabe g DSGVO).

Eine weitere mögliche Ausnahme besteht, wenn die Übermittlung einmalig mit Daten von wenigen betroffenen Personen auf Basis eines zwingenden berechtigten Interesses erforderlich ist, keine schutzwürdigen Interessen überwiegen, die Gesamtheit der Übermittlung sorgfältig beurteilt, dokumentierte Schutzmaßnahmen ergriffen und zusätzlich die Aufsichtsbehörde und die betroffenen Personen informiert wurden.

In der Vergangenheit lagen mit dem Safe-Harbor- und dem Privacy-Shield-Abkommen spezielle Instrumente für Datenübermittlungen in die USA vor. Die Inhalte der Abkommen, die ein vergleichbares Datenschutzniveau sicherstellen sollten, waren bei Datenschützern schon immer in der Kritik.

Das Schrems-II-Urteil des EuGH

Der Europäische Gerichtshof (EuGH) erklärte in der Vergangenheit das Safe-Harbor-Abkommen und am 16. Juli 2020 in der Rechtssache C-311/17 („Schrems II“) das Privacy-Shield-Abkommen für ungültig.

Begründet hat er dies damit, dass das US-Recht den dortigen Sicherheitsbehörden Befugnisse einräumt, die nicht mit der DSGVO zu vereinbaren sind, und dass damit kein angemessenes Datenschutzniveau vorliegt.

Das Urteil hat weitreichende Konsequenzen:

  • Übermittlungen auf Basis des Privacy-Shield-Abkommens sind ungültig.
  • Übermittlungen auf Basis der Standardvertragsklauseln sind weiterhin gültig, aber nur dann, wenn per Einzelfallprüfung festgestellt wurde, dass ein angemessenes Datenschutzniveau weiterhin gewährleistet ist. Ist dies nicht der Fall, so sind zusätzliche Maßnahmen zu treffen oder die Übermittlung zu unterlassen.
  • Übermittlungen auf Basis der verbindlichen internen Datenschutzvorschriften (BCR) sind weiterhin gültig, aber nur dann, wenn per Einzelfallprüfung festgestellt wurde, dass ein angemessenes Datenschutzniveau weiterhin gewährleistet ist. Ist dies nicht der Fall, so sind zusätzliche Maßnahmen zu treffen oder die Übermittlung zu unterlassen.

Zur Klarstellung: Der EuGH stellt diese Anforderung nicht nur an Übermittlungen in die USA, sondern auch an alle sonstigen Drittländer! Das bedeutet, dass diese Prüfungen für alle Übermittlungen in Drittländer erforderlich sind.

Falls keine der genannten Optionen zum Einsatz kommen kann, so bleibt als letztes Mittel die Ausnahmevorschrift nach Art. 49 DSGVO. So könnten sich z.B. Übermittlungen innerhalb eines Konzerns oder direkt mit einer betroffenen Person, mit der ein Vertragsverhältnis besteht, legitimieren lassen.

Auch die Möglichkeit der Einwilligung sei hier genannt, allerdings ist die einwilligende Person vor der Einwilligung transparent auf die Übermittlung in ein unsicheres Drittland und die möglichen Risiken hinzuweisen.

Ein-Stufen-Prüfung für innereuropäische Datenübermittlungen

Für jede Übermittlung an andere Stellen innerhalb des Geltungsbereichs des Europäischen Rechts ist eine Rechtsgrundlage erforderlich. Hier kommen die oben genannten Rechtsgrundlagen von Art. 6 DSGVO infrage. Alternativ ist auch Art. 9 DSGVO in Verbindung mit § 22 BDSG für die Übermittlung besonderer Kategorien personenbezogener Daten denkbar.

Eine weitere Legitimierung ist je nach Zweck der Übermittlung für die in den §§ 22–28 BDSG genannten Zwecke möglich. Der Beschäftigtendatenschutz ist in § 26 BDSG geregelt.

Der Vollständigkeit halber sei hier noch die Auftragsverarbeitung nach Art. 28 DSGVO genannt. Die DSGVO lässt offen, ob es sich bei einer Datenweitergabe an Auftragsverarbeiter um eine Übermittlung nach Art. 4 Nr. 2 DSGVO handelt. In der Literatur gibt es Stimmen, die auch eine Auftragsverarbeitung als berechtigtes Interesse eines Verantwortlichen nach Art. 6 Abs. 1 Buchstabe f betrachten.

Zwei-Stufen-Prüfung für außereuropäische Datenübermittlungen

Gemäß dem Kurzpapier Nr. 4 der Datenschutzkonferenz (DSK) (Zusammenschluss der unabhängigen Datenschutzbehörden des Bundes und der Länder) ist für Datenübermittlungen in ein Drittland wie bisher eine Zwei-Stufen-Prüfung vorzunehmen.

1. Rechtgrundlage für Datenübermittlung vorhanden?

Auf der ersten Stufe erfolgt eine Prüfung, ob eine Rechtsgrundlage für die geplante Übermittlung vorhanden ist, wie unter Stufe 1 beschrieben. Neu ist, dass nun auch die Auftragsverarbeitung nach Art. 28 DSGVO für eine Übermittlung in ein Drittland verwendet werden kann. Ein Auftragsverarbeiter ist nach Art. 4 Abs. Nr. 10 DSGVO kein Dritter. Somit ist für eine Auftragsverarbeitung auch die Übermittlung nach außerhalb der EU möglich.

2. Angemessenes Datenschutzniveau vorhanden?

Auf der zweiten Stufe ist zu prüfen, ob beim Datenempfänger ein angemessenes Datenschutzniveau vorliegt. Dies ist wie oben aufgeführt in den Artikeln 45, 46 und 49 DSGVO geregelt und lässt sich über die Angemessenheitsbeschlüsse für einzelne Länder, durch verbindliche interne Datenschutzvorschriften, durch Standardvertragsklauseln der EU-Kommission oder einer Aufsichtsbehörde, sonstige genehmigte Verhaltensregeln und genehmigte Zertifizierungsmechanismen erzielen.

Der Vollständigkeit halber sei erwähnt, dass die hier beschriebene Zwei-Stufen-Prüfung vorbehaltlich abweichender Regelungen durch den Europäischen Datenschutzausschuss besteht.

Datenschutz PRAXIS - Der Podcast
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.