Die Übermittlung personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) ist im Hinblick auf den internationalen Handel oder die Zusammenarbeit oft unerlässlich. Ihr KMU muss möglicherweise im Rahmen seiner Tätigkeiten personenbezogene Daten in ein Land außerhalb des EWR übermitteln, beispielsweise, wenn Sie personenbezogene Daten an Ihre Geschäftspartner oder an Ihre Lieferanten mit Sitz außerhalb des EWR weitergeben müssen.
Die DSGVO enthält besondere Bestimmungen für solche Übermittlungen. Mit diesen Bestimmungen zielt die DSGVO darauf ab, ein gleichwertiges Schutzniveau für die Übermittlung personenbezogener Daten außerhalb des EWR zu gewährleisten, wie es Datenübermittlungen innerhalb des EWR genießen.
Wann erfolgt eine Übermittlung personenbezogener Daten außerhalb des EWR?
Die DSGVO enthält keine Definition solcher Übertragungen. Der EDSA hat jedoch die folgenden drei kumulativen Kriterien ermittelt, um eine Übertragung außerhalb des EWR zu ermitteln:
- ein für die Verarbeitung Verantwortlicher oder Auftragsverarbeiter unterliegt der DSGVO für die betreffende Verarbeitung;
- dieser für die Verarbeitung Verantwortliche oder ein Auftragsverarbeiter legen durch Übermittlung oder auf andere Art einer anderen Organisation (Datenverantwortlicher oder Auftragsverarbeiter) personenbezogene Daten offen;
- diese andere Organisation befindet sich in einem Land außerhalb des EWR oder ist eine internationale Organisation.
Wie können personenbezogene Daten außerhalb des EWR übertragen werden?
Kurz gesagt, die DSGVO verhängt Beschränkungen für die Übermittlung personenbezogener Daten außerhalb des EWR, an Nicht-EWR-Länder oder internationale Organisationen, um sicherzustellen, dass das durch die DSGVO gewährte Schutzniveau für Personen gleichbleibt.
Personenbezogene Daten dürfen nur unter Einhaltung der in Kapitel V der DSGVO festgelegten Bedingungen für solche Übermittlungen außerhalb des EWR übermittelt werden.
Die Voraussetzungen für die Übermittlung müssen zusätzlich zur allgemeinen Einhaltung anderer DSGVO-Vorschriften eingehalten werden. Diese Voraussetzungen stellen beispielsweise eine zusätzliche Anforderung an die grundlegenden Verarbeitungsgrundsätze dar, die auch im Rahmen internationaler Übermittlungen zu beachten sind. Bei der Übermittlung personenbezogener Daten müssen Sie weiterhin sicherstellen, dass Sie über eine angemessene Rechtsgrundlage für die Verarbeitung verfügen; dass die erforderlichen Sicherheitsmaßnahmen umgesetzt werden; dass Sie nur die personenbezogenen Daten verarbeiten, die für diese besondere Verarbeitungstätigkeit erforderlich sind (Grundsatz der Datenminimierung), etc. Wenn der Empfänger der personenbezogenen Daten als Auftragsverarbeiter fungiert, sind Sie dennoch gesetzlich verpflichtet, einen Vertrag abzuschließen. Genau wie Sie es für einen Auftragsverarbeiter innerhalb des EWR tun würden.
Im Rahmen der DSGVO gibt es grundsätzlich zwei Möglichkeiten, personenbezogene Daten an ein Land außerhalb des EWR oder an eine internationale Organisation zu übermitteln. Übertragungen können auf der Grundlage eines Angemessenheitsbeschlusses oder, in Ermangelung einer solchen Entscheidung, auf Grundlage geeigneter Garantien, einschließlich durchsetzbarer Rechte und Rechtsbehelfe für Einzelpersonen, erfolgen. In Ermangelung eines Angemessenheitsbeschlusses oder geeigneter Garantien lässt die DSGVO in bestimmten Situationen einige Ausnahmen zu.
Weitere Informationen zu den verschiedenen Optionen finden Sie unten.
Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses
Die Europäische Kommission hat die Möglichkeit, Angemessenheitsbeschlüsse zu erlassen, um mit verbindlicher Wirkung für EWR-Länder förmlich zu bestätigen, dass das Datenschutzniveau in einem Drittland oder einer internationalen Organisation im Wesentlichen dem Schutzniveau im Europäischen Wirtschaftsraum entspricht.
Bei der Bewertung der Angemessenheit des Schutzniveaus prüft die Europäische Kommission Elemente wie Rechtsstaatlichkeit, die Achtung der Menschenrechte und Grundfreiheiten sowie die Frage, ob die Rechte der betroffenen Personen wirksam und durchsetzbar sind, das Bestehen und die wirksame Arbeitsweise einer unabhängigen Datenschutzbehörde im Nicht-EWR-Land und die internationalen Verpflichtungen, die das Land oder die internationale Organisation eingegangen sind.
Wenn die Europäische Kommission beschließt, dass das Land ein angemessenes Schutzniveau bietet und ein Angemessenheitsbeschluss erlassen wird, können personenbezogene Daten an ein anderes Unternehmen oder eine andere Organisation in diesem Nicht-EWR-Land übermittelt werden, ohne dass der Datenexporteur, d. h. die Stelle, die die Daten übermittelt, verpflichtet ist, weitere Garantien zu treffen oder zusätzliche Bedingungen im Zusammenhang mit internationalen Übermittlungen zu erfüllen. Mit anderen Worten, die Übermittlungen in ein „angemessenes“ Nicht-EWR-Land werden mit einer Datenübermittlung innerhalb des EWR vergleichbar sein. Wie oben erläutert, muss Ihr Unternehmen jedoch weiterhin die anderen Grundprinzipien der DSGVO einhalten.
Angemessenheitsbeschlüsse können sich auf ein Land als Ganzes oder auf einen Teil davon (d. h. auf eine Region) beschränken. Angemessenheitsbeschlüsse können sich auf alle Datenübermittlungen in ein Land erstrecken oder auf bestimmte Arten von Übermittlungen (z. B. in einem Sektor) beschränkt sein.
Bisher hat die Europäische Kommission Angemessenheitsbeschlüsse für:
- Andorra,
- Argentinien,
- Kanada (kommerzielle Organisationen),
- Färöer Inseln,
- Guernsey,
- Israel,
- Isle of Man,
- Japan,
- Jersey,
- Neuseeland,
- Republik Korea,
- Schweiz,
- Vereinigtes Königreich,
- Vereinigte Staaten (kommerzielle Organisationen, die am EU-US-Datenschutzrahmen teilnehmen),
- Uruguay.
Die Europäische Kommission veröffentlicht die Liste ihrer Angemessenheitsbeschlüsse auf ihrer Website.
Die Datenexporteure sind dafür verantwortlich, zu überwachen, ob Angemessenheitsentscheidungen, die für ihre Übermittlungen relevant sind, noch in Kraft sind und nicht im Prozess des Widerrufs oder der Nichtigerklärung.
Bitte beachten Sie, dass Angemessenheitsentscheidungen Einzelpersonen nicht daran hindern, eine Beschwerde einzureichen. Sie verhindern auch nicht, dass Datenschutzbehörden (DPA) ihre Befugnisse gemäß der DSGVO ausüben.
Datenübermittlung auf der Grundlage geeigneter Garantien
In Ermangelung eines Angemessenheitsbeschlusses können Organisationen auch personenbezogene Daten übermitteln, wenn geeignete Garantien gegenüber der Organisation, die die personenbezogenen Daten erhält, bereitgestellt werden können. Darüber hinaus müssen Einzelpersonen in der Lage sein, ihre Rechte auszuüben und ihnen wirksame Rechtsbehelfe zur Verfügung zu haben.
Art. 46 DSGVO listet eine Reihe von Übertragungsinstrumenten auf, die „angemessene Garantien“ enthalten, mit denen Sie personenbezogene Daten in Nicht-EWR-Länder übertragen können, wenn keine Angemessenheitsentscheidungen getroffen wurden. Die wichtigsten Arten von Art. 46 DSGVO-Übertragungsinstrumenten, die für private Organisationen relevant sind, sind:
- Standard-Datenschutzklauseln (SCC);
- Verbindliche Unternehmensregeln (BCRs);
- Verhaltenskodizes;
- Zertifizierungsmechanismen;
- Ad-hoc-Vertragsklauseln.
Standardvertragsklauseln (SCCs)
Standardvertragsklauseln (SCCs) sind eine Reihe standardisierter Verträge, die es Datenexporteuren ermöglichen, angemessene Sicherheitsvorkehrungen zu treffen. Es ist ein Werkzeug, das häufig von vielen Organisationen verwendet wird. Die Europäische Kommission ist befugt, SCC als angemessene Schutzvorkehrung für die Übermittlung personenbezogener Daten an Nicht-EWR-Länder gemäß Artikel 46 Absatz 2 Buchstabe c DSGVO anzunehmen.
Am 4. Juni 2021 nahm die Europäische Kommission einen Durchführungsbeschluss zu SCCs für die Übermittlung personenbezogener Daten an Nicht-EWR-Länder im Rahmen der DSGVO an. Die Europäische Kommission stellt auch eine Reihe von Standardvertragsklauseln auf ihrer Website bereit. Erfahren Sie mehr über die Standardvertragsklauseln.
Die SCCs befassen sich mit verschiedenen Transferszenarien und der Komplexität moderner Verarbeitungsketten. Verantwortliche und Auftragsverarbeiter können je nach den besonderen Umständen der Übertragung mehrere Optionen nutzen, darunter:
- Controller-zu-Controller (C2C);
- Controller-zu-Prozessor (C2P);
- Prozessor-zu-Prozessor (P2P);
- Prozessor-zu-Controller (P2C), wenn der Auftragsverarbeiter in der EU und der für die Verarbeitung Verantwortliche in einem Drittland ist.
Weitere wichtige Aspekte der SCC sind:
- die Möglichkeit für mehr als zwei Parteien, sich an die Klauseln zu halten;
- eine Möglichkeit, mit einigen Ausnahmen SCCs bei der Übermittlung personenbezogener Daten an einen Unterauftragsverarbeiter in einem Nicht-EWR-Land zu verwenden;
- eine Möglichkeit für Einzelpersonen, sich mit einigen Ausnahmen auf die Klauseln als Drittbegünstigte zu berufen;
- Vorschriften über die Haftung zwischen den Parteien für den Fall, dass die Rechte des Einzelnen verletzt werden;
- das Recht des Einzelnen auf Ersatz des erlittenen Schadens, wenn seine Rechte als Drittbegünstigter verletzt wurden;
- eine Anforderung, eine „Übertragungsfolgenabschätzung“ durchzuführen, in der die besonderen Umstände der Übermittlung, die Gesetze im Bestimmungsland und die zusätzlichen Garantien zum Schutz der personenbezogenen Daten dokumentiert werden;
- Verpflichtungen im Falle des Zugriffs der Behörden auf die übermittelten Daten, z. B. die Verpflichtung, Datenexporteuren Informationen zur Verfügung zu stellen und rechtswidrige Anträge anzufechten.
Verbindliche Unternehmensregeln (BCRs)
Verbindliche Unternehmensregeln (BCRs) tragen dazu bei, ein angemessenes Schutzniveau für Daten zu gewährleisten, die innerhalb einer Unternehmensgruppe innerhalb und außerhalb des EWR ausgetauscht werden, und eignen sich besser für eine multinationale Unternehmensgruppe, die eine große Anzahl von Datenübermittlungen durchführt.
BCRs sind interne Regeln, die von einer Unternehmensgruppe erlassen werden, die ihre globale Politik für die Übermittlung personenbezogener Daten festlegt. Diese Regeln müssen von allen Unternehmen der Gruppe unabhängig von ihren Standortländern verbindlich und eingehalten werden. Darüber hinaus müssen sie Personen ausdrücklich durchsetzbare Rechte in Bezug auf die Verarbeitung ihrer personenbezogenen Daten gewähren.
Die Bedingungen, die erfüllt werden müssen, um von der zuständigen Datenschutzbehörde genehmigte BCR zu erhalten, sind in Artikel 47 DSGVO aufgeführt, in den Empfehlungen der Gruppe 29 näher erläutert und vom EDSA gebilligt. Für BCR-Controller und BCR-Verarbeiter ist ein anderer Satz vorgesehen.
Lesen Sie mehr
Empfehlung zum Standardantragsformular für die Genehmigung von für die Verarbeitung Verantwortlichen verbindliche unternehmensrechtliche Vorschriften für die Übermittlung personenbezogener Daten aus dem EDSA
EDSA
Artikel 29-Datenschutzgruppe: Empfehlung zur Genehmigung der prozessorbindenden Unternehmensregeln
Newsroom der Europäischen Kommission
Verhaltenskodizes
Mit der DSGVO wird dieses neue Tool für die Datenübertragung eingeführt. Im Gegensatz zu BCRs, die direkt von einzelnen Unternehmensgruppen erstellt werden können, sind Verhaltenskodizes branchenspezifisch und werden von Verbänden entwickelt, die Kategorien von Organisationen vertreten. Es muss ein System akkreditierter Stellen eingerichtet werden, die die Einhaltung des Verhaltenskodex überwachen. Der EDSA hat die Initiative ergriffen, um die Bedingungen zu klären, unter denen Verhaltenskodizes von den zuständigen Behörden angewendet und genehmigt werden können. Darüber hinaus ist der EDSA auch dafür zuständig, die Kohärenz der Bedingungen zu gewährleisten, unter denen Überwachungsstellen akkreditiert werden können.
Zertifizierung
Mit der DSGVO wird dieses neue Instrument für Datenübermittlungen an Organisationen eingeführt, die von Zertifizierungsstellen oder EWR-DPA zertifiziert wurden.
Der EDSA hat Leitlinien angenommen, um die Bedingungen zu präzisieren, unter denen ein Zertifizierungsmechanismus eingerichtet werden kann. Dieses Tool befindet sich noch in der Entwicklung.
Der EDSA ist auch für die Gewährleistung der Kohärenz der Bedingungen für die Akkreditierung von Zertifizierungsstellen zuständig.
Ad-hoc-Vertragsklauseln
Wenn Datenverantwortliche oder Auftragsverarbeiter beschließen, die Standardvertragsklauseln der Europäischen Kommission nicht zu verwenden, können sie ihre eigenen Vertragsklauseln („Ad-hoc-Klausel“) mit ausreichenden Datenschutzgarantien ausarbeiten. Vor einer Datenübermittlung müssen solche Ad-hoc-Vertragsklauseln nach einer Stellungnahme des EDSA von der zuständigen nationalen Datenschutzbehörde gemäß Artikel 46 Absatz 3 Buchstabe a DSGVO genehmigt werden.
Lesen Sie mehr
Ergänzende Maßnahmen nach Schrems-II-Urteil
In seinem Urteil C-311/18 (Schrems II) aus dem Jahr 2020 hob der Gerichtshof der Europäischen Union (EuGH) hervor, dass Organisationen bei der Übermittlung personenbezogener Daten außerhalb des EWR zusätzliche Maßnahmen ergreifen müssen.
SCCs und andere Übertragungstools gemäß Art. 46 DSGVO funktionieren nicht im Vakuum. Der EuGH stellte fest, dass die für die Verarbeitung Verantwortlichen oder Auftragsverarbeiter, die als Daten-Exporteure fungieren, dafür verantwortlich sind, von Fall zu Fall zu überprüfen, ob das Recht oder die Praxis des Nicht-EWR-Landes, z. B. aufgrund von Rechtsvorschriften, die den Zugang zu Daten vorschreiben, auf die Wirksamkeit der in den Art. 46 DSGVO-Übertragungsinstrumenten enthaltenen geeigneten Garantien überprüft wird.
Um Daten-Exporteuren bei der komplexen Aufgabe zu helfen, die Länder, die die Daten erhalten, zu bewerten und erforderlichenfalls geeignete ergänzende Maßnahmen zu ermitteln, hat der EDSA Empfehlungen angenommen.
Datenübermittlungen auf der Grundlage von Ausnahmeregelungen
Neben Angemessenheitsentscheidungen und Art. 46 DSGVO-Übertragungsinstrumenten enthält die DSGVO einen dritten Weg, der die Übermittlung personenbezogener Daten in bestimmten Situationen ermöglicht. Unter bestimmten Bedingungen können Sie möglicherweise weiterhin personenbezogene Daten auf der Grundlage einer in Art. 49 DSGVO aufgeführten Ausnahmeregelung übermitteln.
Art. 49 DSGVO hat einen Ausnahmecharakter. Die Ausnahmeregelungen sind in einer Weise auszulegen, die der Natur der Ausnahmen nicht widerspricht, als Ausnahmen von der Regel, dass personenbezogene Daten nicht in ein Drittland übermittelt werden dürfen, es sei denn, dieses Land sieht ein angemessenes Datenschutzniveau vor oder es werden geeignete Garantien getroffen. Ausnahmen können in der Praxis nicht zur „Regel“ werden, sondern müssen auf bestimmte Situationen beschränkt werden.
Auf der Grundlage von Art. 49 DSGVO kann eine Übertragung oder eine Reihe von Übertragungen vorgenommen werden, wenn die Übertragung wie folgt erfolgt:
- mit ausdrücklicher Zustimmung der Person gemacht werden;
- für die Erfüllung eines Vertrags zwischen der Einzelperson und der Organisation oder für vorvertragliche Schritte, die auf Wunsch der Einzelperson unternommen werden, erforderlich ist;
- für die Erfüllung eines Vertrags erforderlich, der im Interesse der Person zwischen dem Verantwortlichen und einer anderen Person geschlossen wurde;
- aus wichtigen Gründen des öffentlichen Interesses erforderlich ist;
- für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist;
- für den Schutz der lebenswichtigen Interessen der betreffenden Person oder anderer Personen erforderlich ist, wenn die Person physisch oder rechtlich nicht in der Lage ist, eine Einwilligung zu erteilen; oder
- erstellt aus einem Register, das nach dem nationalen Recht eines EWR-Landes oder EU-Rechts dazu bestimmt ist, der Öffentlichkeit Informationen zur Verfügung zu stellen (und entweder von der Öffentlichkeit allgemein oder von Personen, die ein berechtigtes Interesse an der Einsichtnahme des Registers nachweisen können, konsultiert werden können).
Es muss ein gewisser „Notwendigkeitstest“ angewandt werden, um die Notwendigkeit der Übertragung zu beurteilen. Dieser Test erfordert eine Bewertung, ob eine Übermittlung personenbezogener Daten für den spezifischen Zweck der betreffenden Ausnahmeregelung als notwendig erachtet werden kann.
Wenn keine der oben genannten Ausnahmen auf eine bestimmte Situation anwendbar ist, ist es möglich, Daten aus zwingenden berechtigten Interessen des für die Verarbeitung Verantwortlichen zu übermitteln.
Solche Übertragungen sind jedoch nur zulässig, wenn die Übertragung
- nicht wiederholt wird (gleiche Übertragungen werden nicht regelmäßig vorgenommen);
- es handelt sich um Daten, die nur eine begrenzte Anzahl von Personen betreffen;
- für die Zwecke zwingender berechtigter Interessen der Organisation erforderlich ist (sofern diese Interessen nicht von den Interessen des Einzelnen überwiegen);
- den von der Organisation (im Lichte einer Bewertung aller Umstände im Zusammenhang mit der Übermittlung) getroffenen geeigneten Garantien zum Schutz der personenbezogenen Daten unterliegen; und
- nicht von einer Behörde in Ausübung ihrer öffentlichen Befugnisse ausgeübt wird.
In diesen Fällen sind die Organisationen verpflichtet, die zuständige Datenschutzbehörde über die Übermittlung zu unterrichten und Einzelpersonen zusätzliche Informationen zur Verfügung zu stellen.
Im Allgemeinen sollten Ausnahmen nur als letztes Mittel für die Gestaltung einer Datenübermittlung verwendet werden – Organisationen sollten zunächst prüfen, ob es nicht möglich ist, entweder einen Angemessenheitsbeschluss oder eine angemessene Schutzvorkehrung zu verwenden.
Bei der Inanspruchnahme von Art. 49 DSGVO-Ausnahmen müssen Sie beachten, dass Organisationen, die Daten übermitteln, auch andere Bestimmungen der DSGVO einhalten müssen (eine Rechtsgrundlage für die Übermittlung von Daten haben, Sicherheitsmaßnahmen ergreifen, Datenminimierung durchführen, einen Vertrag unterzeichnen, wenn der Empfänger ein Datenverarbeiter ist usw.).