Informationen zum Datenexport in Drittländer
Für die Übermittlung personenbezogener Daten in Drittländer gelten besondere Anforderungen. Diese sollen sicherstellen, dass personenbezogene Daten im Wesentlichen genauso gut im Drittland geschützt sind, wie durch die Datenschutz-Grundverordnung (DS-GVO) innerhalb der Europäischen Union (EU) bzw. des Europäischen Wirtschaftsraums (EWR: Island, Lichtenstein und Norwegen.) Die DS-GVO verwendet u. a. in Kapitel V den Begriff „Drittland“. Häufig wird auch der inhaltsgleiche Begriff „Drittstaat“ verwendet.
Nicht jeder Datentransfer ist auch eine Drittlandübermittlung im Sinne der DS-GVO, die den besonderen Anforderungen des Kapitels V genügen muss. Der Europäische Datenschutzausschuss (EDSA) hat den Begriff der Drittlandübermittlung konkretisiert (Leitlinien 05/2021, jetzt in der Version 2.0 vom 14.02.2023, Rn. 9). Eine Drittlandübermittlung hat drei Voraussetzungen:
- Ein für die Verarbeitung Verantwortlicher oder ein Auftragsverarbeiter ("Daten-Exporteur") unterliegt für die jeweilige Verarbeitung der DS-GVO.
- Der Daten-Exporteur stellt personenbezogene Daten, die Gegenstand dieser Verarbeitung sind, durch Übermittlung oder auf andere Weise, einem anderen für die Verarbeitung Verantwortlichen, gemeinsam Verantwortlichen oder Auftragsverarbeiter ("Daten-Importeur") zur Verfügung.
- Der Daten-Importeur befindet sich in einem Drittland, unabhängig davon, ob dieser Daten-Importeur für die betreffende Verarbeitung der DS-GVO gemäß Artikel 3 unterliegt, oder eine internationale Organisation ist.
Nach dem Beschluss der Datenschutzkonferenz (DSK) stellt die bloße Gefahr eines Zugriffs öffentlicher Stellen von Drittländern auf personenbezogene Daten, die im Auftrag einer Drittlands-Muttergesellschaft durch ein im EWR ansässiges Unternehmen verarbeitet werden, keine Drittlandübermittlung nach den o. g. Voraussetzungen (insb. Nr. 2) dar (Beschluss vom 31. Januar 2023). Allerdings gelten in diesen Fällen, die keine Drittlandübermittlung darstellen, dennoch die übrigen Anforderungen der DS-GVO, insbesondere an die Sicherheit der Verarbeitung nach Art. 32 DS-GVO.
Liegt eine sog. Drittlandübermittlung personenbezogener Daten vor, bedarf diese neben einer Rechtsgrundlage für die Datenverarbeitung nach Art. 6 Abs. 1 DS-GVO einer besonderen, zusätzlichen Rechtfertigung nach Kapitel V der DS-GVO. Dies bedeutet, dass der Verantwortliche oder Auftragsverarbeiter eine Zwei-Stufen-Prüfung vornehmen muss:
1. Stufe:
Zunächst muss geprüft werden, ob die allgemein gültigen Anforderungen der DS-GVO an Datenverarbeitungen, also auch Drittlandübermittlungen, erfüllt werden, also insbesondere, ob eine Rechtsgrundlage nach Art. 6 Abs. 1 DS-GVO für die Datenverarbeitung (das schließt die geplante Datenübermittlung an Drittländer ein) gegeben ist. Ferner ist die Drittlandübermittlung sowohl in der Datenschutzerklärung als auch im Verzeichnis von Verarbeitungstätigkeiten transparent zu machen (vgl. Art. 13 Abs. 1 Buchstabe f und Art. 30 Abs. 1 S. 2 Buchstabe d und e DS-GVO).
2. Stufe:
Zusätzlich müssen die besonderen Anforderungen an Datenübermittlungen an Drittländer gemäß Kapitel V DS-GVO (Art. 44ff.) erfüllt werden. Diese Anforderungen müssen auch bei einer Weiterübermittlung der personenbezogenen Daten durch die empfangende Stelle im Drittland erfüllt werden (Art. 44 S. 1, 2. HS DS-GVO).
Zur Erfüllung der besonderen Anforderungen nach der 2. Stufe kommen nachfolgende rechtliche Instrumente der DS-GVO in Betracht:
- Angemessenheitsbeschluss der EU-Kommission (Art. 45 DS-GVO)
- Vorliegen geeigneter Garantien nach Art. 46 DS-GVO, dazu zählen insbesondere sog. Standarddatenschutzklauseln und verbindliche interne Datenschutzvorschriften (Binding Corporate Rules – sog. „BCR“)
- Ausnahmen gem. Art. 49 DS-GVO
Mit dem Urteil zu Schrems-II vom 16. Juli 2020 (Rs. C-311/18) hat der EuGH u.a. festgestellt, dass der Einsatz der Standarddatenschutzklauseln für Datenübermittlungen an Drittländer nur noch unter Verwendung wirksamer zusätzlicher Maßnahmen ausreichend ist, wenn die Prüfung des Verantwortlichen ergeben hat, dass im Empfängerland kein gleichwertiges Schutzniveau für die personenbezogenen Daten gewährleistet werden kann.
Denn Standarddatenschutzklauseln können aufgrund ihres Vertragscharakters naturgemäß keine drittstaatlichen Behörden binden und damit deren Zugriffe auf personenbezogene Daten verhindern.
Die von der EU-Kommission erlassenen Standarddatenschutzklauseln gemäß Art. 46 Abs. 2 c) i. V. m. Art. 93 Abs. 2 DSGVO für Datenexporte in Drittländer bleiben also weiterhin gültig, müssen aber die vom EuGH aufgestellten Anforderungen erfüllen.
Welche „zusätzlichen Maßnahmen“ dies sein können, ist aus dem zitierten Urteil des EuGH nicht ersichtlich. Dazu verabschiedete der EDSA aber zwei Dokumente (Empfehlungen 01/2020 und 02/2020), die den Daten-Exporteur bei der Gestaltung datenschutzkonformer Datenexporte unterstützen sollen. Die Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungsinstrumenten zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten beschreiben die vorzunehmenden Prüfschritte. Dazu gehört im Kern die Analyse und Bewertung der einschlägigen Rechtslage im jeweiligen Drittland durch ein sog. „Transfer Impact Assessment“ („Folgenabschätzung des Datenexports“). Die Empfehlungen 02/2020 zu den wesentlichen Garantien bei Überwachungsmaßnahmen fassen zusammen, welche datenschutzrechtlichen Anforderungen an die Rechtsordnung eines Drittlandes zu stellen sind.
Der EDSA hat in seinen Empfehlungen 01/2020 ganz grundsätzlich aufgezeigt, welche „zusätzlichen Maßnahmen“ implementiert werden können, um das von Art. 44 DS-GVO geforderte angemessene Schutzniveau für personenbezogene Daten zu gewährleisten; dabei hat der EDSA zwischen technischen, vertraglichen und organisatorischen Zusatzmaßnahmen differenziert.
Der EDSA gibt derzeit zur Beurteilung der Rechtslage (Schutzniveau) in Drittländern Gutachten in Auftrag. Diese sollten von den Verantwortlichen bei der Bewertung der einzusetzenden Übermittlungsinstrumente und ggf. zusätzlicher Maßnahmen herangezogen werden.
EXKURS – Datenübermittlungen in die USA:
Im sogenannten Schrems II-Urteil vom 16. Juli 2020 (Rs. C-311/18) hat der EuGH den Durchführungsbeschluss zum sog. „Privacy Shield“ (nach Art. 45 DS-GVO) für unwirksam erklärt. Da der EuGH keine Übergangsfrist eingeräumt hat, konnten Datenübermittlungen in die USA ab diesem Zeitpunkt nicht mehr auf dieses Abkommen gestützt werden. Damit fehlte seit diesem Zeitpunkt eine sichere Rechtsgrundlage für den Transfer personenbezogener Daten in die USA, wenn - neben den Garantien nach Art. 46 DS-GVO - keine ausreichenden zusätzlichen Maßnahmen getroffen werden können und auch keine Ausnahmevorschriften im Einzelfall anwendbar sind.
Allerdings haben sich die EU und die USA zwischenzeitlich auf einen „Transatlantischen Datenschutz-Rahmen“ geeinigt („Trans-Atlantic Data Privacy Framework“ - TADPF, auch als „EU-US Data Privacy Framework“ bzw. „EU-US Datenschutzrahmen“ bezeichnet). Dabei handelt es sich um eine Selbstverpflichtung der USA zum Schutz der Privatsphäre. Die entsprechende Exekutivanordnung des US-Präsidenten vom 7. Oktober 2022 dient der Umsetzung des EU-US Data Privacy Framework. Durch das EU-US Data Privacy Framework sollen die durch den Europäischen Gerichtshof (EuGH) mit dem Schrems II-Urteil festgestellten Defizite nunmehr abgestellt und eine neue Rechtsgrundlage für Datentransfers in die USA geschaffen werden.
Auf dieser Grundlage hat die Europäische Kommission am 10. Juli 2023 den Angemessenheitsbeschluss für das „EU-US Data Privacy Framework“ (EU-US DPF) angenommen. Seit diesem Tag können unter bestimmten Voraussetzungen wieder personenbezogene Daten aus der EU an die USA übermittelt werden, ohne dass weitere Übermittlungsinstrumente oder zusätzliche Maßnahmen erforderlich sind. Der Angemessenheitsbeschluss gilt aber nur sektoral, d. h. Datenexporteure in der EU müssen vorab prüfen, ob sich der jeweilige US-Datenimporteur unter den Bedingungen des EU-US DPF zertifiziert hat. Das Department of Commerce veröffentlicht eine Liste mit den zertifizierten US-Organisationen nebst Informationen und weiteren Verlinkungen. Sofern der Datenimporteur nicht auf dieser Liste steht, muss der Datenexporteur die Rechtfertigung seiner Datenübermittlung auf andere geeignete Garantien nach Art. 46 DS-GVO, bspw. auf Standarddatenschutzklauseln, stützen.
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder hat am 4. September 2023 Anwendungshinweise zum Angemessenheitsbeschluss zum EU‐US Data Privacy Framework (EU-US DPF) vom 10. Juli 2023 veröffentlicht und dazu eine Pressemitteilung herausgegeben. Diese Hinweise richten sich an Verantwortliche, die personenbezogene Daten an die USA übermitteln und an betroffene Personen, die sich über ihre Rechtsschutzmöglichkeiten informieren möchten. Zudem hat der Europäische Datenschutzausschuss zwischenzeitlich F.A.Q. zu diesem Thema für Unternehmen und für betroffene Personen (Privatpersonen) bereitgestellt. Beide Dokumente liegen in nichtamtlicher Übersetzung in deutscher Sprache vor.
Wenn Sie der Meinung sind, dass ein unter dem EU-US DPF zertifiziertes US-Unternehmen, an welches Ihre Daten übermittelt worden sind, gegen seine Pflichten aus dem EU-US DPF verstoßen hat oder die Rechte, die Ihnen nach dem EU-US DPF zustehen, verletzt hat, können Sie sich mit Ihrer Beschwerde direkt an den Landesbeauftragten für den Datenschutz Sachsen-Anhalt wenden. Bitte nutzen Sie dafür das vom Europäischen Datenschutzausschuss entwickelte Beschwerdeformular und senden Sie dieses an poststelle(at)lfd.sachsen-anhalt.de oder postalisch an den Landesbeauftragten. Der Landesbeauftragte empfiehlt, schutzwürdige Nachrichten — insbesondere, wenn sie sensible personenbezogene Daten enthalten — entweder konventionell auf postalischem Wege oder als Ende-zu-Ende-verschlüsselte E-Mail zu versenden. Hinweise zum E-Mail-Versand finden Sie hier. Die Kontaktdaten des Landesbeauftragten finden Sie hier.
So wird sichergestellt, dass alle Informationen, die für eine sinnvolle Bearbeitung Ihres Anliegens nötig sind, zur Verfügung stehen. Sie können das Formular auch dann nutzen, wenn es sich noch um Übermittlungen handelt, die unter dem Vorgängerabkommen EU-US Privacy Shield erfolgt sind.
Zuständig für die Beratung von US-Unternehmen bei ungelösten DPF-Beschwerden von Privatpersonen über den Umgang mit personenbezogenen Daten, die gemäß der DS-GVO aus der Europäischen Union übermittelt wurden, ist das Informelle Gremium der EU-Datenschutzbehörden. Die Arbeitsweise des Gremiums ist in einer Geschäftsordnung beschrieben.
Für Beschwerden mit Blick auf von Ihnen angenommene Zugriffe auf Ihre Daten durch US-amerikanische Geheimdienste oder Sicherheitsbehörden wurde vom Europäischen Datenschutzausschuss ein gesondertes Beschwerdeformular nebst ergänzenden Hinweisen erarbeitet.
Weiterführende Informationen zum Datenexport in Drittländer infolge des "Schrems II"-Urteils des EuGH finden Sie hier.
Stand: 24.06.2024
Downloads: