Datenübermittlung ins Drittland: So gehen Unternehmen bei der Übermittlung personenbezogener Daten rechtssicher vor
29.01.2019 | JS – Online-Redaktion, Forum Verlag Herkert GmbH
Unternehmen, die Geschäftsbeziehungen mit Großbritannien pflegen, schauen zurzeit gespannt nach London. Denn sollte es zu einem harten Brexit kommen, ist das Vereinigte Königreich als sog. Drittland gemäß DSGVO zu werten. Und dann gilt es, bei der Datenübermittlung einige Besonderheiten zu beachten.Drittland gemäß DSGVO – was gilt als „sicheres Drittland“?
Bevor Unternehmen und Organisationen personenbezogene Daten in Drittländer übermitteln dürfen, müssen sie erst einmal prüfen, ob der Datentransfer an sich zulässig ist und dann schauen, ob die Datenübermittlung in das jeweilige Drittland erlaubt ist. Als Drittland gelten dabei Länder, die weder der EU (Europäische Union) noch dem EWR (Europäischer Wirtschaftsraum) angehören.
Rechtlich zulässig ist die Datenübermittlung in ein Drittland nur dann, wenn
- ein angemessenes Datenschutzniveau i. S. d. Art. 45 DSGVO festgestellt wird,
- für einen konkreten Datentransfer eine Ausnahmeregelung gelten kann oder
- geeignete Garantien vorliegen.
Unternehmer müssen vorab zwischen sicheren und unsicheren Ländern unterscheiden:
Sichere Drittländer gemäß DSGVO
Ein Land gilt nach der DSGVO als sicher, wenn die Europäische Kommission nach Prüfung verschiedener Kriterien feststellt, dass ein Drittland das Schutzniveau der DSGVO an die Datensicherheit erfüllt. Dann ist die Rede von einem sog. Angemessenheitsbeschluss gemäß Art. 45 Abs. 3 DSGVO.
Diese Länder garantieren mittels nationaler Gesetzgebung einen Schutz von personenbezogenen Daten, der mit dem europäischen Datenschutzniveau vergleichbar ist. Eine Datenübermittlung in diese Drittländer ist daher ohne eine weitere Überprüfung datenschutzrechtlich zulässig.
Japan ist seit 2019 ein sicheres Land
Aktuelles Beispiel ist Japan. Seit dem 23.01.2019 gilt Japan – wie z. B. auch die Schweiz – hinsichtlich des Datenverkehrs als sicheres Land. So hat sich das japanische Datenschutzrecht im Zuge des Anerkennungsprozesses weiterentwickelt und bietet zusätzliche Garantien, um dem europäischen Datenschutzniveau zu genügen. Das Land hat u. a. zusätzliche Vorschriften erlassen, um datenschutzrechtliche Unterschiede auszugleichen, und ein Verfahren entwickelt, um Beschwerden europäischer Betroffener zu prüfen bzw. zu klären.
Weitere Länder mit einem angemessenen Datenschutzniveau sind: Andorra, Argentinien, die Färöer-Inseln, Guernsey, Isle of Man, Israel, Jersey, Kanada, Neuseeland, Schweiz, die USA und Uruguay.
Hinweis: Die DSGVO kennt kein Konzernprivileg. Das heißt, dass auch eine Datenübermittlung innerhalb eines Konzerns einen datenschutzrechtlich relevanten Datentransfer darstellt und den Regeln der DSGVO zur Datenübermittlung in ein Drittland folgen muss. Mutter- und Tochterunternehmen werden also als fremde Unternehmen betrachtet.
Datenübermittlung in „unsichere Drittländer“
Komplizierter wird es, wenn personenbezogene Daten in ein Drittland übermittelt werden sollen, für das kein Angemessenheitsbeschluss vorliegt. Dann müssen Unternehmen prüfen, ob für diese Datenübermittlung geeignete Garantien gemäß Art. 46 DSGVO vorliegen oder ob eine Ausnahme gemäß Art. 49 DSGVO greifen kann.
Als geeignete Garantien gelten:
- interne Datenschutzvorschriften (Binding Corporate Rules), die für alle Beschäftigten verbindlich sind.
- Standardschutzklauseln, die von der Europäischen Kommission erlassen und von einer Aufsichtsbehörde genehmigt wurden.
- Verhaltensregeln und Zertifizierungsmechanismen, die von einer Aufsichtsbehörde genehmigt wurden.
- Vertragsklauseln, die einzeln ausgehandelt wurden.
Sind diese Faktoren gegeben, kann der Unternehmer sich darauf verlassen, dass der Verantwortliche oder Auftragsverarbeiter geeignete Maßnahmen getroffen hat, um die personenbezogenen Daten europäischer Bürger DSGVO-konform zu schützen. Einer Datenübermittlung steht dann nichts mehr im Weg.
Für den Fall, dass auch keine geeigneten Garantien vorliegen, sieht der Gesetzgeber für bestimmte Fälle Ausnahmen vor: Unternehmen können eine Datenübermittlung in ein Drittland vornehmen, wenn
- eine Einwilligungserklärung der betroffenen Person vorhanden ist. Ein kostenloses Muster sowie Grundlagen zur Einwilligung finden Unternehmen hier;
- eine Erforderlichkeit zur Vertragserfüllung vorliegt;
- wichtige Gründe des öffentlichen Interesses überwiegen;
- Rechtsansprüche verfolgt werden;
- der Schutz lebenswichtiger Interessen gewährleistet werden muss;
- zwingende berechtigte Interessen gewahrt werden müssen.
Marktortprinzip für Anbieter mit Sitz außerhalb der EU
Für Verantwortliche und Auftragsverarbeiter, die nicht in der EU niedergelassen sind, aber personenbezogene Daten von europäischen Bürgern verarbeiten, gilt das sog. Marktortprinzip. Unternehmen also, die Personen in der EU entgeltlich oder unentgeltlich Waren oder Dienstleistungen anbieten oder deren Verhalten beobachten (Profiling, Tracking) müssen den neuen territorialen Anwendungsbereich der DSGVO berücksichtigen.
Was genau unter dem Marktortprinzip zu verstehen ist, wird im Buch „Datenschutz 2019“ erläutert. Unternehmer, die personenbezogene Daten nicht nur in Drittländer übermitteln, erhalten in diesem Buch zudem alle notwendigen Informationen, um rechtssicher handeln zu können und empfindliche Geldbußen zu vermeiden.
Brexit und der europäische Datenschutz – Wie geht es weiter?
Sollte es am 29.03.2019 zu einem harten Brexit kommen, gilt das Vereinigte Königreich als Drittland. Hinsichtlich der Datenübermittlung sind dann Art. 44 bis 50 DSGVO anzuwenden. Doch im Fall Großbritanniens gibt es einen entscheidenden Vorteil: Nachdem das Land zum Zeitpunkt des Inkrafttretens der DSGVO noch europäischer Mitgliedstaat war, sollte ein angemessenes Datenschutzniveau bereits gegeben sein. Eine Datenübermittlung ist dann ohne besondere Genehmigung möglich.
Das schließt nicht aus, dass sämtliche Geschäftsbeziehungen mit britischen Unternehmen oder Unternehmen mit Standorten in Großbritannien, bei denen personenbezogene Daten übermittelt werden, geprüft und neu vereinbart werden müssen. Eine Vereinbarung über die Verarbeitung personenbezogener Daten gem. Art. 28 und 29 DSGVO (Auftragsverarbeiter) ist dann nicht mehr ausreichend und nur bei Anwendung zusätzlicher Instrumente möglich.
Quellen: „Datenschutz 2019“, Datenschutzkonferenz (DSK)