Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Navigation und Service

Internationaler Datentransfer

Wenn Daten in ein Drittland oder an eine internationale Organisation übermittelt werden, müssen Verantwortliche oder Auftragsverarbeiter prüfen, ob die allgemeinen Voraussetzungen der DSGVO für eine Datenübermittlung erfüllt sind. Außerdem muss den zusätzlichen Anforderungen nach Kapitel V der DSGVO Rechnung getragen werden.

es ist eine Weltkarte mit vernetzten Leuchtpunkten abgebildet
Quelle: ©royyimzy - stock.adobe.com

Unter den folgenden Voraussetzungen können Daten in ein Drittland oder an eine internationale Organisation übermittelt werden:

Angemessenheitsbeschluss

Nach Art. 45 DSGVO kann die Europäische Kommission feststellen, dass ein Drittland oder eine internationale Organisation ein angemessenes Datenschutzniveau gewährleistet. Wird eine Datenübermittlung von einem Angemessenheitsbeschluss umfasst, bedarf es keiner weiteren Schutzmaßnahme. Angemessenheitsbeschlüsse bestehen zurzeit u. a. für Argentinien, Israel, Japan (nur in Bezug auf den Privatsektor), Kanada (nur in Bezug auf den Privatsektor), Neuseeland, Schweiz, Uruguay. Eine aktuelle Übersicht über die verabschiedeten Angemessenheitsbeschlüsse stellt die Europäische Kommission bereit.

Geeignete Garantien

Liegt kein Angemessenheitsbeschluss vor, geht die DSGVO davon aus, dass das Drittland oder die internationale Organisation kein angemessenes Datenschutzniveau bietet. Dann muss die Datenübermittlung von weiteren Schutzmaßnahmen begleitet werden.

Die DSGVO sieht hier folgende geeignete Garantien vor:

Standarddatenschutzklauseln

Standarddatenschutzklauseln, die von der Europäischen Kommission erlassen wurden, können ohne weitere Genehmigung durch die Aufsichtsbehörden als Grundlage für Datenübermittlungen in Drittländer und an internationale Organisationen genutzt werden, wenn sie im Wesentlichen unverändert in die zugrunde liegenden Verträge übernommen werden.

Die Europäische Kommission hat im Juni 2021 Standardvertragsklauseln erlassen, Durchführungsbeschluss (EU) 2021/914 der Kommission. Im Rahmen des Verfahren hatten der Europäische Datenschutzausschuss und der europäische Datenschutzbeauftrage eine gemeinsame Stellungnahme abgegeben.

Seit dem 27. September 2021 können nur noch die aktuellen Standardvertragsklauseln abgeschlossen werden, ab diesem Zeitpunkt können keine Verträge mehr auf Grundlage der "alten Standardvertragsklauseln" (s. Entscheidung 2001/497/EG oder Beschlusses 2010/87/EU) geschlossen werden. Hinweis für noch vor dem 27. September 2021 geschlossene "alte Verträge": Diese Verträge können noch bis zum 27. Dezember 2022 weiterverwendet werden, "[...] sofern die Verarbeitungsvorgänge, die Gegenstand des Vertrags sind, unverändert bleiben und die Anwendung dieser Klauseln gewährleistet, dass die Übermittlung personenbezogener Daten geeigneten Garantien unterliegt.", Artikel 4 der Standardvertragsklauseln 2021/914. Dann muss eine Umstellung auf die aktuellen Standardvertragsklauseln erfolgt sein, eine Weiterverwendung der alten Verträge ist nicht mehr möglich.

Auch Aufsichtsbehörden können eigene Standarddatenschutzklauseln entwerfen. Diese müssen aber mit den anderen europäischen Aufsichtsbehörden abgestimmt und anschließend von der Europäischen Kommission genehmigt werden.

Einzeln ausgehandelte Vertragsklauseln

Auch einzeln ausgehandelte individuelle Vertragsklauseln können eine geeignete Garantie für eine Datenübermittlung in ein Drittland sein. Sie müssen jedoch von der zuständigen Aufsichtsbehörde genehmigt und mit den anderen europäischen Aufsichtsbehörden abgestimmt werden.

Verbindliche interne Datenschutzvorschriften (Binding Corporate RulesBCR)

BCR werden vor allem von international tätigen Konzernen mit internem Datenfluss (auch) in Drittländer verwendet. Dabei legt das Unternehmen Regelungen für den Umgang mit personenbezogenen Daten auch in Drittländern fest. Die BCR müssen für alle betreffenden Mitglieder der Unternehmensgruppe rechtlich bindend sein und den betroffenen Personen durchsetzbare Rechte gewähren. BCR müssen durch die zuständige Aufsichtsbehörde nach Abstimmung mit den anderen europäischen Aufsichtsbehörden genehmigt werden. Nähere Informationen zum Genehmigungsverfahren können auf der Internetseite der Europäischen Kommission zum internationalen Datentransfer abgerufen werden.

Genehmigte Verhaltensregeln (Code of Conduct) oder ein genehmigter Zertifizierungsmechanismus

Sowohl branchenspezifische Verhaltensregeln (Code of Conduct) als auch Zertifizierungsmechanismen können nach der DSGVO Grundlage für einen internationalen Datentransfer sein, wenn sie von der zuständigen Aufsichtsbehörde genehmigt bzw. von der Zertifizierungsstelle oder der Aufsichtsbehörde erteilt wurden. Diese Instrumente müssen allerdings von rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters im Drittland, insbesondere im Hinblick auf die Betroffenenrechte, begleitet werden.

Der Europäische Datenschutzausschuss erarbeitet zurzeit Leitlinien zu den rechtlichen Rahmenbedingungen und Verfahrensfragen, um eine einheitliche Umsetzung dieser neuen Transferinstrumente zu gewährleisten.

Spezielle Garantien für Behörden

Für Behörden sieht die DSGVO weitere Transferinstrumente vor, die ihrer Situation besser entsprechen. So können Behörden ein rechtsverbindliches und durchsetzbares Dokument wie ein internationales Abkommen nutzen, das den vom internationalen Datentransfer betroffenen Personen durchsetzbare Datenschutzrechte und wirksame Rechtsbehelfe gewährt. Als zweites besonderes Transferinstrument können Behörden Bestimmungen in eine Verwaltungsvereinbarung aufnehmen, die durchsetzbare und wirksame Datenschutzrechte für die betroffenen Personen gewähren. Diese Bestimmungen müssen allerdings von der zuständigen Aufsichtsbehörde genehmigt und mit den anderen europäischen Aufsichtsbehörden abgestimmt werden.

Der Europäische Datenschutzausschuss hat zu diesen Garantien in Verwaltungsvereinbarungen bereits Leitlinien erarbeitet, die Hinweise geben, wie diese Garantien ausgestaltet werden können. Diese sowie ein aktueller Überblick über die vom Europäischen Datenschutzausschuss verabschiedeten Leitlinien, finden sich auf seiner Internetseite.

Behörden, die Strafverfolgungsfunktionen wahrnehmen‚ können Datenübermittlungen im Rahmen der §§ 79 bis 81 BDSG vornehmen.

Ausnahmen

Ein Datentransfer in ein Drittland oder an eine internationale Organisation kann beim Vorliegen besonderer, in Art. 49 DSGVO explizit genannter und abschließender Fälle ausnahmsweise auch zulässig sein, wenn weder ein Angemessenheitsbeschluss der Europäischen Kommission noch geeignete Garantien vorliegen.

Diese Ausnahmefälle umfassen u. a. folgende Situationen:

  • wenn eine Einzelperson ausdrücklich in die vorgeschlagene Übermittlung eingewilligt hat, nachdem sie alle erforderlichen Informationen über die mit der Übermittlung verbundenen Risiken erhalten hat;
  • wenn die Übermittlung für die Erfüllung oder den Abschluss eines Vertrags zwischen der Einzelperson und dem Verantwortlichen erforderlich ist, oder wenn der Vertag im Interesse der Einzelperson geschlossen wird;
  • wenn die Datenübermittlung aus wichtigen Gründen des öffentlichen Interesses notwendig ist;
  • wenn die Datenübermittlung für die Wahrung der zwingenden berechtigten Interessen der Organisation erforderlich ist.

Die Ausnahmen des Artikel 49 DSGVO sind eng auszulegen und dürfen nach den Leitlinien des Europäischen Datenschutzausschusses nicht für regelmäßige Datentransfers verwendet werden, die eine Vielzahl von Personen betreffen.

Zum Schrems II Urteil

Kommission zum internationalen Datentransfer

Kommission zu Standardvertragsklauseln

Kommission zum Genehmigungsverfahren BCR

EDSA - Übersicht über die verabschiedeten Leitlinien

EDSA - Leitlinien zu Art. 49 DSGVO