Internationale Datenübermittlungen
Wenn personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt werden, müssen Verantwortliche oder Auftragsverarbeiter prüfen, ob die allgemeinen Voraussetzungen der DSGVO für eine Datenübermittlung erfüllt sind. Außerdem muss den zusätzlichen Anforderungen nach Kapitel V der DSGVO Rechnung getragen werden.
Unter den folgenden Voraussetzungen können Daten in ein Drittland oder an eine internationale Organisation übermittelt werden:
Angemessenheitsbeschluss
Nach Art. 45 DSGVO kann die Europäische Kommission feststellen, dass ein Drittland oder eine internationale Organisation ein angemessenes Datenschutzniveau gewährleistet. Wird eine Datenübermittlung von einem Angemessenheitsbeschluss umfasst, bedarf es keiner weiteren Schutzmaßnahme. Angemessenheitsbeschlüsse bestehen zurzeit u. a. für Argentinien, Israel, Japan (nur in Bezug auf den Privatsektor), Kanada (nur in Bezug auf den Privatsektor), Neuseeland, Schweiz, Uruguay, das Vereinigte Königreich (UK), USA (nur in Bezug auf US-Unternehmen und Organisationen, die am EU-US Data Privacy Framework (EU-US DPF) teilnehmen). Eine aktuelle Übersicht über die verabschiedeten Angemessenheitsbeschlüsse stellt die Europäische Kommission bereit.
Rechtslage nach Annahme des Angemessenheitsbeschlusses zum EU-US DPF
Am 10. Juli 2023 nahm die Europäische Kommission den Angemessenheitsbeschluss zum EU-US Data Privacy Framework an, der unmittelbar in Kraft getreten ist. Damit hat die Europäische Kommission entschieden, dass nunmehr auch die USA ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, die aus der EU an Unternehmen und Organisationen in den USA übermittelt werden. Voraussetzung ist, dass diese Unternehmen und Organisationen unter dem EU-US DPF zertifiziert sind und in der DPF-Liste aufgeführt sind. Mit dem Angemessenheitsbeschluss zum EU-US DPF ändert sich die rechtliche Bewertung in Bezug auf internationale Übermittlungen personenbezogener Daten an die USA: Datenübermittlungen aus der EU an die USA können – im Rahmen des Anwendungsbereichs des Angemessenheitsbeschlusses – an zertifizierte Unternehmen und Organisationen stattfinden, ohne dass zusätzliche Übermittlungsinstrumente nach Art. 46 DSGVO erforderlich sind oder durch zusätzliche Maßnahmen ergänzt werden müssen.
Die Datenschutzkonferenz (DSK) hat Anwendungshinweise zum Angemessenheitsbeschluss zum EU-US DPF erlassen.
Wir haben außerdem die wichtigsten Informationen zu den weiterhin relevanten Auswirkungen des Schrems-II Urteils zusammengestellt. Diese beziehen sich auf Unternehmen und Organisationen außerhalb des Anwendungsbereichs des Angemessenheitsbeschlusses zum EU-US DPF und auf Übermittlungen an andere Drittländer (ohne Angemessenheitsbeschluss).
Geeignete Garantien
Liegt kein Angemessenheitsbeschluss vor, so muss die Datenübermittlung von weiteren Schutzmaßnahmen (sogenannte Geeignete Garantien) begleitet werden.
Die DSGVO sieht hier folgende geeignete Garantien vor:
Standarddatenschutzklauseln
Standarddatenschutzklauseln, die von der Europäischen Kommission erlassen wurden, können ohne weitere Genehmigung durch die Aufsichtsbehörden als Grundlage für Datenübermittlungen an Drittländer und an internationale Organisationen genutzt werden, wenn sie im Wesentlichen unverändert in die zugrundeliegenden Verträge übernommen werden.
Die Europäische Kommission hat im Juni 2021 Standardvertragsklauseln erlassen, Durchführungsbeschluss (EU) 2021/914 der Kommission. Im Rahmen des Verfahrens hatten der Europäische Datenschutzausschuss und der Europäische Datenschutzbeauftrage eine gemeinsame Stellungnahme abgegeben.
Seit dem 27. September 2021 können nur noch die aktuellen Standardvertragsklauseln abgeschlossen werden, ab diesem Zeitpunkt können keine Verträge mehr auf Grundlage der "alten Standardvertragsklauseln" (s. Entscheidung 2001/497/EG oder Beschlusses 2010/87/EU) geschlossen werden. "Alte Verträge" konnten noch bis zum 27. Dezember 2022 weiterverwendet werden. Danach musste eine Umstellung auf die aktuellen Standardvertragsklauseln erfolgt sein, eine Weiterverwendung der alten Verträge ist nicht mehr möglich.
Im Mai 2022 hat die Europäische Kommission "Fragen und Antworten (Q&As)", welche Anwendungshilfe zu den Standardvertragsklauseln bieten, veröffentlicht. Das Dokument ist dynamisch und soll bei neu aufkommenden Fragen aktualisiert werden.
Auch Aufsichtsbehörden können eigene Standarddatenschutzklauseln entwerfen. Diese müssen aber mit den anderen europäischen Aufsichtsbehörden abgestimmt und anschließend von der Europäischen Kommission genehmigt werden.
Einzeln ausgehandelte Vertragsklauseln
Auch einzeln ausgehandelte individuelle Vertragsklauseln können eine geeignete Garantie für eine Datenübermittlung in ein Drittland sein. Sie müssen jedoch von der zuständigen Aufsichtsbehörde genehmigt und mit den anderen europäischen Aufsichtsbehörden abgestimmt werden.
Verbindliche interne Datenschutzvorschriften (Binding Corporate Rules – BCR)
BCR werden vor allem von international tätigen Konzernen mit internem Datenfluss (auch) an Drittländer verwendet. Dabei legt das Unternehmen Regelungen für den Umgang mit personenbezogenen Daten auch in Drittländern fest. Die BCR müssen für alle betreffenden Mitglieder der Unternehmensgruppe rechtlich bindend sein und den betroffenen Personen durchsetzbare Rechte gewähren. BCR müssen durch die zuständige Aufsichtsbehörde nach Abstimmung mit den anderen europäischen Aufsichtsbehörden genehmigt werden. Nähere Informationen zum Genehmigungsverfahren können auf der Internetseite der Europäischen Kommission zu BCR abgerufen werden.
Der EDSA hat Empfehlungen bezüglich der BCR für Verantwortliche (BCR-C) veröffentlicht.
Genehmigte Verhaltensregeln (Code of Conduct) oder ein genehmigter Zertifizierungsmechanismus
Sowohl branchenspezifische Verhaltensregeln (Code of Conduct) als auch Zertifizierungsmechanismen können nach der DSGVO Grundlage für internationale Datenübermittlungen sein, wenn sie von der zuständigen Aufsichtsbehörde genehmigt bzw. von der Zertifizierungsstelle oder der Aufsichtsbehörde erteilt wurden. Diese Instrumente müssen allerdings von rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters im Drittland, insbesondere im Hinblick auf die Betroffenenrechte, begleitet werden.
Der Europäische Datenschutzausschuss hat Leitlinien zu den rechtlichen Rahmenbedingungen und Verfahrensfragen erarbeitet, um eine einheitliche Umsetzung dieser neuen Transferinstrumente zu gewährleisten. Hierzu sind die Leitlinien zum „Codes of Conduct as tools for transfers“ und „Guidelines on certification as a tool for transfers“ veröffentlicht.
Spezielle Garantien für Behörden
Für Behörden sieht die DSGVO weitere Transferinstrumente vor, die ihrer Situation besser entsprechen. So können Behörden ein rechtsverbindliches und durchsetzbares Dokument wie ein internationales Abkommen nutzen, das den von internationalen Datenübermittlungen betroffenen Personen durchsetzbare Datenschutzrechte und wirksame Rechtsbehelfe gewährt. Als zweites besonderes Transferinstrument können Behörden Bestimmungen in eine Verwaltungsvereinbarung aufnehmen, die durchsetzbare und wirksame Datenschutzrechte für die betroffenen Personen gewähren. Diese Bestimmungen müssen allerdings von der zuständigen Aufsichtsbehörde genehmigt und mit den anderen europäischen Aufsichtsbehörden abgestimmt werden.
Der Europäische Datenschutzausschuss hat zu diesen Garantien in Verwaltungsvereinbarungen bereits Leitlinien erarbeitet, die Hinweise geben, wie diese Garantien ausgestaltet werden können. Diese sowie ein aktueller Überblick über die vom Europäischen Datenschutzausschuss verabschiedeten Leitlinien, finden sich auf der Webseite des EDSA.
Ausnahmen
Eine Datenübermittlung an ein Drittland oder an eine internationale Organisation kann beim Vorliegen besonderer, in Art. 49 DSGVO explizit genannter und abschließender Fälle ausnahmsweise auch zulässig sein, wenn weder ein Angemessenheitsbeschluss der Europäischen Kommission noch geeignete Garantien vorliegen.
Diese Ausnahmefälle umfassen u. a. folgende Situationen:
- wenn eine Einzelperson ausdrücklich in die vorgeschlagene Übermittlung eingewilligt hat, nachdem sie alle erforderlichen Informationen über die mit der Übermittlung verbundenen Risiken erhalten hat;
- wenn die Übermittlung für die Erfüllung oder den Abschluss eines Vertrags zwischen der Einzelperson und dem Verantwortlichen erforderlich ist, oder wenn der Vertag im Interesse der Einzelperson geschlossen wird;
- wenn die Datenübermittlung aus wichtigen Gründen des öffentlichen Interesses notwendig ist.
Die Ausnahmen des Art. 49 DSGVO sind eng auszulegen und dürfen nach den Leitlinien des Europäischen Datenschutzausschusses nicht für regelmäßige Datentransfers verwendet werden, die eine Vielzahl von Personen betreffen. Es ist zu bedenken, dass bei Datenübermittlungen auf Grundlage von Art. 49 DSGVO kein Schutz für die übermittelten Daten gewährleistet wird.