GSB 7.1 Standardlösung

Navigation und Service

Internationaler Datentransfer

Wenn Daten in ein Drittland oder an eine internationale Organisation übermittelt werden, müssen Verantwortliche oder Auftragsverarbeiter prüfen, ob die allgemeinen Voraussetzungen der DSGVO für eine Datenübermittlung erfüllt sind. Außerdem muss den zusätzlichen Anforderungen nach Kapitel V der DSGVO Rechnung getragen werden.

es ist eine Weltkarte mit vernetzten Leuchtpunkten abgebildet
Quelle: Adobe Stock

Unter den folgenden Voraussetzungen können Daten in ein Drittland oder an eine internationale Organisation übermittelt werden:

Angemessenheitsbeschluss

Nach Art. 45 DSGVO kann die Europäische Kommission feststellen, dass ein Drittland oder eine internationale Organisation ein angemessenes Datenschutzniveau gewährleistet. Wird eine Datenübermittlung von einem Angemessenheitsbeschluss umfasst, bedarf es keiner weiteren Schutzmaßnahme. Angemessenheitsbeschlüsse bestehen zurzeit u. a. für Argentinien, Israel, Japan (nur in Bezug auf den Privatsektor), Kanada (nur in Bezug auf den Privatsektor), Neuseeland, Schweiz, Uruguay. Eine aktuelle Übersicht über die verabschiedeten Angemessenheitsbeschlüsse stellt die Europäische Kommission bereit.

Geeignete Garantien

Liegt kein Angemessenheitsbeschluss vor, geht die DSGVO davon aus, dass das Drittland oder die internationale Organisation kein angemessenes Datenschutzniveau bietet. Dann muss die Datenübermittlung von weiteren Schutzmaßnahmen begleitet werden.

Die DSGVO sieht hier folgende geeignete Garantien vor:

Standarddatenschutzklauseln

Standarddatenschutzklauseln, die von der Europäischen Kommission erlassen wurden, können ohne weitere Genehmigung durch die Aufsichtsbehörden als Grundlage für Datenübermittlungen in Drittländer und an internationale Organisationen genutzt werden, wenn sie im Wesentlichen unverändert in die zugrunde liegenden Verträge übernommen werden. Die Europäische Kommission hat seit dem Inkrafttreten der DSGVO noch keine Standarddatenschutzklauseln erlassen. Die unter der früheren europäischen Datenschutzrichtlinie beschlossenen Standardvertragsklauseln gelten aber gemäß Artikel 46 Absatz 5 DSGVO ausdrücklich fort. Vertragsmuster können auf der Internetseite der Europäischen Kommission zum internationalen Datentransfer abgerufen werden.

Allerdings erarbeitet die Europäische Kommission zurzeit neue Standarddatenschutzklauseln. Das Datum der Fertigstellung ist zwar noch nicht bekannt, der aktuelle Stand des Erlassverfahrens, sowie die Entwürfe der Standardvertragsklauseln, können aber auf der Webseite der Europäischen Kommission nachverfolgt werden. Die diesbezügliche Stellungnahme des Europäischen Datenschutzausschusses und des Europäischen Datenschutzbeauftragten ist bereits erfolgt.

Auch Aufsichtsbehörden können eigene Standarddatenschutzklauseln entwerfen. Diese müssen aber mit den anderen europäischen Aufsichtsbehörden abgestimmt und anschließend von der Europäischen Kommission genehmigt werden.

Einzeln ausgehandelte Vertragsklauseln

Auch einzeln ausgehandelte individuelle Vertragsklauseln können eine geeignete Garantie für eine Datenübermittlung in ein Drittland sein. Sie müssen jedoch von der zuständigen Aufsichtsbehörde genehmigt und mit den anderen europäischen Aufsichtsbehörden abgestimmt werden.

Verbindliche interne Datenschutzvorschriften (Binding Corporate RulesBCR)

BCR werden vor allem von international tätigen Konzernen mit internem Datenfluss (auch) in Drittländer verwendet. Dabei legt das Unternehmen Regelungen für den Umgang mit personenbezogenen Daten auch in Drittländern fest. Die BCR müssen für alle betreffenden Mitglieder der Unternehmensgruppe rechtlich bindend sein und den betroffenen Personen durchsetzbare Rechte gewähren. BCR müssen durch die zuständige Aufsichtsbehörde nach Abstimmung mit den anderen europäischen Aufsichtsbehörden genehmigt werden. Nähere Informationen zum Genehmigungsverfahren können auf der Internetseite der Europäischen Kommission zum internationalen Datentransfer abgerufen werden.

Genehmigte Verhaltensregeln (Code of Conduct) oder ein genehmigter Zertifizierungsmechanismus

Sowohl branchenspezifische Verhaltensregeln (Code of Conduct) als auch Zertifizierungsmechanismen können nach der DSGVO Grundlage für einen internationalen Datentransfer sein, wenn sie von der zuständigen Aufsichtsbehörde genehmigt bzw. von der Zertifizierungsstelle oder der Aufsichtsbehörde erteilt wurden. Diese Instrumente müssen allerdings von rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters im Drittland, insbesondere im Hinblick auf die Betroffenenrechte, begleitet werden.

Der Europäische Datenschutzausschuss erarbeitet zurzeit Leitlinien zu den rechtlichen Rahmenbedingungen und Verfahrensfragen, um eine einheitliche Umsetzung dieser neuen Transferinstrumente zu gewährleisten.

Spezielle Garantien für Behörden

Für Behörden sieht die DSGVO weitere Transferinstrumente vor, die ihrer Situation besser entsprechen. So können Behörden ein rechtsverbindliches und durchsetzbares Dokument wie ein internationales Abkommen nutzen, das den vom internationalen Datentransfer betroffenen Personen durchsetzbare Datenschutzrechte und wirksame Rechtsbehelfe gewährt. Als zweites besonderes Transferinstrument können Behörden Bestimmungen in eine Verwaltungsvereinbarung aufnehmen, die durchsetzbare und wirksame Datenschutzrechte für die betroffenen Personen gewähren. Diese Bestimmungen müssen allerdings von der zuständigen Aufsichtsbehörde genehmigt und mit den anderen europäischen Aufsichtsbehörden abgestimmt werden.

Der Europäische Datenschutzausschuss hat zu diesen Garantien in Verwaltungsvereinbarungen bereits Leitlinien erarbeitet, die Hinweise geben, wie diese Garantien ausgestaltet werden können. Diese sowie ein aktueller Überblick über die vom Europäischen Datenschutzausschuss verabschiedeten Leitlinien, finden sich auf seiner Internetseite.

Behörden, die Strafverfolgungsfunktionen wahrnehmen‚ können Datenübermittlungen im Rahmen der §§ 79 bis 81 BDSG vornehmen.

Ausnahmen

Ein Datentransfer in ein Drittland oder an eine internationale Organisation kann beim Vorliegen besonderer, in Art. 49 DSGVO explizit genannter und abschließender Fälle ausnahmsweise auch zulässig sein, wenn weder ein Angemessenheitsbeschluss der Europäischen Kommission noch geeignete Garantien vorliegen.

Diese Ausnahmefälle umfassen u. a. folgende Situationen:

  • wenn eine Einzelperson ausdrücklich in die vorgeschlagene Übermittlung eingewilligt hat, nachdem sie alle erforderlichen Informationen über die mit der Übermittlung verbundenen Risiken erhalten hat;
  • wenn die Übermittlung für die Erfüllung oder den Abschluss eines Vertrags zwischen der Einzelperson und dem Verantwortlichen erforderlich ist, oder wenn der Vertag im Interesse der Einzelperson geschlossen wird;
  • wenn die Datenübermittlung aus wichtigen Gründen des öffentlichen Interesses notwendig ist;
  • wenn die Datenübermittlung für die Wahrung der zwingenden berechtigten Interessen der Organisation erforderlich ist.

Die Ausnahmen des Artikel 49 DSGVO sind eng auszulegen und dürfen nach den Leitlinien des Europäischen Datenschutzausschusses nicht für regelmäßige Datentransfers verwendet werden, die eine Vielzahl von Personen betreffen.

Kommission zum internationalen Datentransfer

Kommission zu Standardvertragsklauseln

Kommission zum Genehmigungsverfahren BCR

EDSA - Übersicht über die verabschiedeten Leitlinien

EDSA - Leitlinien zu Art. 49 DSGVO