milena

Author Archives: milena

Ausarbeitung Drittländerverkehr

Übermittlung personenbezogener Daten in Drittländer

Was ist ein Drittland

Drittländer sind alle Staaten der Welt mit Ausnahme der derzeit 28 Mitgliedsstaaten der Europäischen Union und den Staaten der Europäischen Freihandelsassoziation (EFTA) mit Ausnahme der Schweiz. Es sind dies Liechtenstein, Island und Norwegen. Diese 31 Staaten bilden den Europäischen Wirtschaftsraum (EWR). Innerhalb des EWR herrscht eine Freihandelszone, die bereits seit dem Inkrafttreten der Europäischen Datenschutz-Richtlinie 95/46/EG im Jahr 1995 neben den Freiheiten des Waren-, Personen-, Dienstleistungs- und Kapitalverkehrs auch den freien Datenverkehr umfasst.

Artikel 1 Abs. 2 DS-GVO bestimmt: „Der freie Verkehr personenbezogener Daten darf in der Union aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden.“ Eine ganz ähnliche Regelung kannte auch bereits die Richtlinie 95/46/EG. Muss also innerhalb der Europäischen Union (EU) der freie Datenverkehr gewährleistet sein, so gelten für den Verkehr personenbezogener Daten mit Drittländern strenge Vorschriften.

Zweistufenprüfung

Vor jeder Übermittlung personenbezogener Daten in ein Drittland muss in einer ersten Stufe die Prüfung erfolgen, ob die personenbezogenen Daten überhaupt verarbeitet werden dürfen. Für die Prüfung sind in erster Linie die Artikel 6 und 9 DS-GVO heranzuziehen. Ergibt die Rechtmäßigkeitsprüfung, dass personenbezogene Daten grundsätzlich verarbeitet werden dürfen, erfolgt in der zweiten Stufe die Prüfung, ob, und wenn ja, auf welcher Grundlage die personenbezogenen Daten in ein Drittland übermittelt werden dürfen.

Grundsätzlich gibt es dafür fünf Möglichkeiten:

  • Angemessenheitsbeschluss
  • EU-US Privacy Shield
  • Binding Corporate Rules
  • Standarddatenschutzklauseln
  • Erforderlichkeit zur Vertragserfüllung

Außerdem kann unter gewissen Umständen in Einzelfällen noch mit einer Einwilligung oder dem berechtigten Interesse gearbeitet werden.

Angemessenheitsbeschluss

Stellt die EU-Kommission einem Drittstaat einen Angemessenheitsbeschluss aus, bedarf der freie Verkehr personenbezogener Daten keiner weiteren Genehmigung. Mit solchen Staaten können personenbezogene Daten also genauso behandelt werden, als sei das Land Mitglied des EWR. Zurzeit kommen zehn Staaten in den Genuss eines Angemessenheitsbeschlusses:

  • Andorra
  • Argentinien
  • Kanada
  • Schweiz
  • Färöer-Inseln
  • Guernsey
  • Israel
  • Isle of Man
  • Jersey
  • Neuseeland
  • Uruguay

Mit Japan und Südkorea laufen darüber hinaus derzeit vielversprechende Verhandlungen. Auch mit Indien, Brasilien und Paraguay laufen Gespräche, deren Ende aber noch nicht abzusehen sind. Im Falle Brasilien hält der Autor einen Abschluss angesichts jüngster Wahlergebnisse nicht für wahrscheinlich.

USA

Für die Übermittlung personenbezogener Daten in die USA gibt es den EU-US Privacy Shield (Shield). Dieser ist eine „informelle Absprache auf dem Gebiet des Datenschutzrechts“[1]. Der Shield umfasst eine Reihe verschiedener Abkommen und Regelung zwischen der EU und den USA. So sichern die USA gewisse Garantien und Beschränkungen für den Datenzugriff durch Behörden zu, so sie denn auf Basis des Shields in die USA gelangt sind. In der Praxis muss sich die Organisation oder das Unternehmen in den USA, dass auf Grundlage des Shields personenbezogene Daten aus Europa übermittelt bekommen will, für den Shield zertifizieren. Die Zertifizierung erfolgt für zwei Datenarten, nämlich HR (Human Resources, Beschäftigtendaten) und Non-HR, alle anderen personenbezogenen Daten. Der europäische Partner hat sich dabei davon zu überzeugen, ob der US-Partner tatsächlich in die beim US-Handelsministerium geführten Liste der EU-US Privacy Shield-zertifizierten Unternehmen eingetragen ist. Prüfen können Sie das auf der Website: https://www.privacyshield.gov/list. Rein rechtlich ist der EU-US Privacy Shield mit einem Angemessenheitsbeschluss nicht für ein ganzes Land, sondern nur mit Teilen des Landes, nämlich mit den vom US-Handelsministerium zertifizierten Unternehmen, umgesetzt worden.

Verbindliche interne Datenschutzvorschriften (BCR=Binding Corporate Rules)

Verbindliche interne Datenschutzvorschriften regeln den Umgang mit personenbezogenen Daten innerhalb international tätiger Konzerne. Die Regeln müssen von der EU-Kommission genehmigt werden.

Gibt es keinen Angemessenheitsbeschluss, kommt der EU-US Privacy Shield nicht infrage und gibt es keine verbindlichen internen Datenschutzvorschriften kommen die Standarddatenschutzklauseln ins Spiel.

Standarddatenschutzklauseln

Mit den Standarddatenschutzklauseln (alt: Standardvertragsklauseln) werden Datenempfänger in Drittländern auf verbindliche Datenschutzstandards verpflichtet. Wichtigste Regel beim Einsatz von Standarddatenschutzklauseln ist, dass sie wörtlich übernommen werden müssen. Sie dürfen zwar in Verträge, die auch andere Sachverhalte regeln, eingebunden, müssen aber im Wortlaut und vollständig verwendet werden.

Standarddatenschutzklauseln werden von der EU-Kommission verfasst oder, wenn sie nicht von ihr verfasst wurden, von ihr genehmigt. Derzeit gibt es drei sogenannte „Sets“. Set 1 stamm aus der Feder der EU-Kommission aus dem Jahr 2001. Das Set 2 wurde aus Unzufriedenheit mit Set 1 durch Wirtschaftskreise erarbeitet und 2004 von der EU-Kommission genehmigt. Set 1 + 2 behandeln der Verkehr personenbezogener Daten zwischen zwei Verantwortlichen. 2010 kam Set 3 hinzu, dass den Verkehr personenbezogener Daten zwischen einem Verantwortlichen in der EU und einem Auftragsdatenverarbeiter (heute Auftragsverarbeiter genannt) regelt. Relevant sind also die Sets 2 + 3, die hier abgerufen werden können.

Set 2, Datenübermittlung von einem Verantwortlichen in Europa an einen anderen Verantwortlichen im Drittland: https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32004D0915&qid=1541244989584&from=DE

Set 3, Datenübermittlung von einem Verantwortlichen in Europa an einen Auftragsverarbeiter im Drittland: https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32010D0087&qid=1541244989584&from=DE

Beide Sets liegen auch als Auszug (nur die eigentlichen Vertragstexte) vor.

Erforderlichkeit zur Vertragserfüllung

Als eine weitere Möglichkeit sieht die DS-GVO die strikte Erforderlichkeit der Übermittlung personenbezogener Daten zur Erfüllung eines Vertrages vor. Die Übermittlung in ein Drittland kann in diesem Fall auf Art. 49 Abs. 1 lit. b DS-GVO gestützt werden. Anwendungsfälle sind beispielsweise die Übermittlung personenbezogener Daten von einem Reisebüro an ein Hotel, in dem das Reisebüro für den Betroffenen eine Buchung vorgenommen hat.

Weitere Ausnahmen

Einwilligung

In Einzelfällen kann die Einwilligung eine unkomplizierte Möglichkeit sein, die Übermittlung personenbezogener Daten in ein Drittland zu ermöglichen. Aber Achtung! Einwilligungen sind an einige Bedingungen gebunden. Diese sind in vier Erwägungsgründen und sieben Artikeln der DS-GVO festgeschrieben. Zu diesen ohnehin schon schlecht überschaubaren Vorschriften muss die einwilligende Person „über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet“ werden (Artikel 49 Abs. 1 lit. a DS-GVO). Angesichts dessen bieten sich, zumindest für häufiger vorkommende Übertragungen an dieselben Datenempfänger, eher andere Erlaubnistatbestände an.

Einzelfallregelung bei berechtigtem Interesse

Eine nicht wiederholte, nur eine begrenzte Anzahl von personenbezogenen Daten betreffende Übermittlung kann rechtens sein, wenn es für „die Wahrung der zwingenden berechtigten Interessen der Verantwortlichen erforderlich ist, sofern die Interessen oder die Rechte und Freiheiten der Betroffenen nicht überwiegen und der Verantwortliche alle Umstände der Datenübermittlung beurteilt und auf Grundlage dieser Beurteilung geeignete Garantien in Bezug auf den Schutz personenbezogener Daten vorgesehen hat.“ Diese Ausnahme darf jedoch nicht zur Regel werden. Sie ist nur für tatsächlich vereinzelte Fälle vorgesehen, bei denen die Übermittlung wirklich dringend ist und alle anderen Erlaubnistatbestände nicht zur Rechtmäßigkeit der Übermittlung führen. Eine Entscheidung darüber sollte immer mit dem Datenschutzbeauftragten oder einem Fachanwalt besprochen werden. Sie muss in jedem Fall gut schriftlich dokumentiert werden.

Empfehlung des Autors

Die Standarddatenschutzklauseln bieten eine relativ unkomplizierte Möglichkeit, die Übermittlung personenbezogener Daten an ein Drittland rechtlich abzusichern. Sie sollten von allen genutzt werden, die die Möglichkeiten der Angemessenheitsbeschlüsse (inkl. EU-US Privacy Shield) nicht nutzen können.

Für häufig vorkommende Übermittlungen, die für die Erfüllung von Verträgen mit ständig wechselnden Betroffenen vorgenommen werden müssen, bietet sich Art. 49 Abs. 1 lit. b DS-DS-GVO (Erforderlichkeit zur Vertragserfüllung) an.

Der Autor hält die Einwilligung angesichts der an sie geknüpften zahlreichen Bedingungen für wenig praktikabel.

Die Einzelfallregelung bei berechtigtem Interesse sollte der absolute Ausnahmefall sein.

Hannover, im November 2018

 

 

Dirk Wolf
Geschäftsführer

skriptura dialog systeme GmbH
Buchholzer Straße 100
30655 Hannover

E-Mail: dirk.wolf@skriptura.de

[1] Deutsche Wikipedia „EU-US Privacy Shield“, gesehen am 2.11.2018 auf https://de.wikipedia.org/wiki/EU-US_Privacy_Shield

>