Ein Ziel des europäischen Datenschutzrechts ist es, einen freien Verkehr von personenbezogenen Daten innerhalb der EU sicherzustellen. Hierzu wird durch die Datenschutz-Grundverordnung (DSGVO) ein gleichwertiges Datenschutzniveau in allen Mitgliedstaaten geschaffen. Damit dieses unionsweit gewährleistete Schutzniveau nicht durch Verlagerungen von Datenverarbeitungsprozessen in Länder außerhalb der EU umgangen wird, sieht die DSGVO besondere Anforderungen für die Übermittlung von personenbezogenen Daten in Drittländer oder an internationale Organisationen vor.

In welchen Fällen diese besonderen Bedingungen zur Anwendung kommen und wie sich der internationale Datenverkehr DSGVO-konform gestalten lässt, erfahren Sie in diesem Blogbeitrag.

Corona-Test

Wann liegt ein Drittlandtransfer vor?

Als europarechtliche Verordnung gilt die DSGVO unmittelbar in allen Mitgliedstaaten der Europäischen Union (EU). Außerdem haben auch die Nicht-EU-Staaten des Europäischen Wirtschaftsraums (EWR), namentlich Island, Norwegen und Liechtenstein, die DSGVO zu unmittelbar geltendem Recht erklärt. Innerhalb dieses Binnenmarktes unterliegt der zwischenstaatliche Verkehr personenbezogener Daten keinen besonderen Anforderungen.

Die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation (Drittlandtransfer) wird dagegen in Kapitel V. der DSGVO an besondere Bedingungen geknüpft. In welchen Fällen ein solcher Drittlandtransfer aber konkret gegeben ist, wird in der Verordnung selbst nicht definiert. In der Praxis stellt sich daher häufig die Frage, in welchen Fällen es sich bei der Weitergabe von personenbezogenen Daten tatsächlich auch um einen Drittlandtransfer handelt und als Folge die Anforderungen aus Kapitel V. angewandt werden sollen. Um diese rechtliche Unsicherheit zu beseitigen, hat der Europäische Datenschutzausschuss (kurz: EDSA) in seiner Guideline 05/2021 drei Kriterien festgelegt, die eine Verarbeitung als Drittlandtransfer qualifizieren:

  1. Auf den Verantwortlichen oder den Auftragsverarbeiter (= Datenexporteur) findet für die jeweilige Datenverarbeitung die DSGVO Anwendung.
  2. Der Datenexporteur übermittelt personenbezogene Daten an einen anderen Verantwortlichen oder Auftragsverarbeiter (= Datenimporteur) oder stellt sie ihm auf anderem Wege zur Verfügung.
  3. Der Datenimporteur befindet sich in einem Drittland außerhalb von EU/EWR, in dem die DSGVO nicht geltendes Recht ist oder ist eine internationale Organisation.

Schauen wir uns diese Voraussetzungen einmal genauer an. Es fällt zunächst auf, dass es sich bei dem Datenimporteur um einen Verantwortlichen oder Auftragsverarbeiter im Sinne der DSGVO handeln muss. Es liegt damit kein Drittlandtransfer vor, wenn eine betroffene Person aus der EU selbst ihre Daten an einen Empfänger in einem Drittland übermittelt, z.B. im Rahmen einer Hotelbuchung.

Gleiches gilt für den Datenimporteur. Wenn also eine Beschäftigte eines Unternehmens aus einem Drittland auf Daten ihres Arbeitsgebers in der EU zugreift, liegt keine Drittlandtransfer im Sinne der DSGVO vor. Denn die Beschäftigte ist Teil des Unternehmens und eben kein eigenständiger Verantwortlicher oder Auftragsverarbeiter.

Zentral für die Definition des Drittlandtransfers ist aber das dritte Kriterium: Denn danach bestimmt sich das Vorliegen eines Drittlandtransfer nicht nach dem Ort, an dem die personenbezogenen Daten verarbeitet werden. Maßgeblich ist stattdessen, ob sich der Datenimporteur in einem Drittland befindet oder es sich bei diesem um eine internationale Organisation handelt. Für das Vorliegen eines Drittlandtransfers kommt es daher zentral auf den Sitz des Datenimporteurs an.

Im Übrigen ist der Begriff des „Drittlandtransfers“ weit zu verstehen. Eine solcher liegt nicht nur vor, wenn Daten aktiv übermittelt werden. Auch wenn bloß ein Zugriff auf Daten erfolgt oder Daten in der Cloud gespeichert werden, kann dies einen Drittlandtransfer darstellen.

Anders sind aber solche Fälle zu bewerten, in denen sich Stellen aus einem Drittland – etwa über gesellschaftsrechtliche Weisungsrechte oder entsprechende gesetzliche Grundlagen – Zugriff auf personenbezogene Daten verschaffen können. Nach einem Beschluss der Datenschutzkonferenz soll die bloße Möglichkeit für einen solchen extraterritorialen Zugriff noch keinen Drittlandtransfer darstellen.

Was ist bei einem Drittlandtransfer zu beachten?

Liegt nach den genannten Kriterien eine Drittlandtransfer vor, müssen die besonderen Bedingungen aus Kapitel V. der DSGVO erfüllt werden. Danach muss der Datenexporteur den Transfer auf einen sog. Transfermechanismus stützen können. Daneben sind auch alle übrigen Anforderungen der DSGVO durch den Datenexporteur zu beachten. Neben einem passenden Transfermechanismus muss der Datenexporteur also auch über eine Rechtsgrundlage für die Übermittlung der Daten verfügen und die betroffene Person über den Drittlandtransfer hinreichend in Kenntnis setzen.

Allgemein gesprochen ist ein Drittlandtransfer also zulässig, wenn die Datenverarbeitung allen Anforderungen der DSGVO genügt und zusätzlich die Bedingungen aus Kapitel V. der DSGVO erfüllt sind. Hierzu ist es notwendig, dass der Drittlandtransfer auf der Basis eines der im Folgenden aufgeführten Transfermechanismen erfolgt:

Angemessenheitsbeschluss

Nach Art. 45 DSGVO dürfen personenbezogene Daten in ein Drittland übermittelt werden, wenn die Europäische Kommission festgestellt hat, dass in dem Drittland, dem Gebiet oder dem Sektor des Drittlands ein angemessenes Datenschutzniveau herrscht. Solche Angemessenheitsbeschlüsse liegen etwa für Japan, Kanada, die Schweiz, Südkorea und das Vereinigte Königreich vor. Die Kommission stellt eine Übersicht zu allen geltenden Angemessenheitsbeschlüssen auf ihrer Website bereit. Einen Sonderfall stellt dabei der Angemessenheitsbeschluss für die USA dar. Weiterführende Informationen zum US-Angemessenheitsbeschluss finden Sie in diesem Blogbeitrag.

Geeignete Garantien

Sofern kein Angemessenheitsbeschluss vorliegt, muss der Drittlandtransfer mit geeigneten Garantien nach Art. 46 DSGVO abgesichert werden. Die Regelung unterscheidet dabei zwischen solchen Garantien, die für den Einzelfall von der zuständigen Aufsichtsbehörde besonders genehmigt werden müssen und solchen, für die eine solche besondere Genehmigung nicht notwendig ist. Die zweite Kategorie umfasst insbesondere die folgenden Garantien:

  • Standarddatenschutzklauseln;
  • verbindliche interne Datenschutzvorschriften (Binding Corporate Rules – BCR);
  • genehmigte Verhaltensregeln;
  • genehmigte Zertifizierungsmechanismen.

In der Praxis kommt dabei Standarddatenschutzklauseln in Form der Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer (Standard-Contractual-Clauses – SCC) die mit Abstand größte Bedeutung zu. Für den Drittlandtransfer im Konzern bieten sich daneben aber auch Binding Corporate Rules als tauglicher Transfermechanismus an. Da diese jedoch von der jeweils zuständigen Aufsichtsbehörde in einem besonderen Verfahren genehmigt werden müssen, findet man sie in der Praxis wegen des höheren Aufwands bisher deutlich seltener.

Ausnahmen für bestimmte Fälle

Wenn kein Angemessenheitsbeschluss vorliegt und sich der Datentransfer auch nicht auf geeignete Garantien stützen lässt, kann in Ausnahmefällen auf die Regelung des Art. 49 DSGVO zurückgegriffen werden. Hiernach darf ein Drittlandtransfer unter anderem erfolgen, wenn die betroffene Person nach einer Unterrichtung über die Risiken des Drittlandtransfers eingewilligt hat oder wenn die Übermittlung für die Erfüllung eines Vertrages zwischen betroffener Person und Verantwortlichem erforderlich ist. Zu beachten ist, dass diese Ausnahmen tatsächlich nur in Einzelfällen zur Anwendung kommen können. Ein kontinuierlicher Transfer lässt sich daher regelmäßig nicht auf diesen Transfermechanismus stützen.

Prüfung des Datenschutzniveaus bei Nutzung von geeigneten Garantien

Sofern ein Drittlandtransfer auf der Grundlage von geeigneten Garantien wie etwa den Standardvertragsklauseln erfolgt, muss außerdem eine weitere Prüfung in Form eines sog. Transfer Impact Assessments (TIA) erfolgen. Der Grund hierfür ist das viel diskutierte Urteil in der Rechtssache Schrems-II. Denn mit diesem erklärte der EuGH nicht nur das EU-US Privacy-Shield für ungültig. Das Gericht entschied auch, dass Datenexporteur und -importeur bei der Verwendung von geeigneten Garantien wie den Standardvertragsklauseln prüfen müssen, ob das Recht des betreffenden Drittlands der tatsächlichen Möglichkeit zur Einhaltung dieser Garantien entgegensteht.

In die von der Europäischen Kommission überarbeiteten und im Juni 2021 neu veröffentlichten Standardvertragsklauseln/SCC wurde diese Verpflichtung zur Prüfung des Datenschutzniveaus im Drittland direkt aufgenommen und weiter konkretisiert. Nach Klausel 14 Buchst. a der SCC haben Datenexporteur und -importeur zuzusichern, dass sie „keinen Grund zu der Annahme haben, dass […] die für […] den Datenimporteur geltenden Rechtsvorschriften und Gepflogenheiten im Bestimmungsdrittland […] den Datenimporteur an der Erfüllung seiner Pflichten gemäß diesen Klauseln hindern.“

Im Rahmen des TIA ist festzustellen, ob sich aus der im Drittland geltenden Rechtslage besondere Risiken für die übermittelten Daten ergeben und welche weiteren Maßnahmen gegebenenfalls ergriffen werden müssen, um diese Risiken einzudämmen. Um Datenexporteure hierbei zu unterstützen, hat der EDSA die Empfehlungen 01/2020 erlassen. Diese erläutern, in welchen Schritten ein TIA erfolgen kann und durch welche Maßnahmen Risiken des Datentransfers eingedämmt werden können. Dennoch bleibt die Durchführung eines TIA in der Praxis eine komplexe Aufgabe. Während für die Beurteilung des Datenschutzniveaus in den USA verhältnismäßig viele Informationen vorliegen und der Rechercheaufwand relativ gering ist, kann die Prüfung des Datenschutzniveaus für ein anderes Drittland mit viel Recherche- und Übersetzungsaufwand verbunden sein.

Fazit der Datenschutzkanzlei

Die DSGVO knüpft die Übermittlung von personenbezogenen Daten an Drittländer an besondere Anforderungen. Mit Blick auf die Gewährleistung eines hohen Schutzniveaus für verarbeitete personenbezogene Daten und die Stärkung des europäischen Binnenmarktes ist dies nachvollziehbar. Für Datenexporteure können die einzuhaltenden Bedingungen und insbesondere die Pflicht zur Durchführung eines TIA aber in bestimmten Fällen schwer zu nehmende Hürden darstellen.

Marinus Stehmeier ist als Rechtsanwalt und Senior Legal Consultant bei der Datenschutzkanzlei tätig. Er ist spezialisiert auf alle rechtlichen Themen rund um Datenschutz und Datenökonomie und berät sowohl im Privatrecht als auch im Öffentlichen Sektor. 

 

Simeon Boltjes, LL.M. ist Wirtschaftsjurist und Legal Consultant bei der Datenschutzkanzlei.