Ausnahmen für die Übermittlung in unsichere Drittländer

Fachbeitrag

Wir haben uns schon mehrfach mit der Übermittlung von personenbezogenen Daten in Drittländer ohne angemessenes Schutzniveau auseinandergesetzt. Hierfür benötigt man normalerweise einen Beschluss der EU-Kommission oder muss geeignete Garantien vorweisen können. Allerdings verfügt die DSGVO auch über eine Ausnahme von diesen Voraussetzungen. Hier soll die Ausnahme des Art. 49 Abs. 1, S. 2 DSGVO erläutert werden.

Wenn alle Möglichkeiten ausgeschöpft sind

Wenn keine der rechtlichen Möglichkeiten aus Art. 45, Art. 46 oder Art. 49 Abs. 1, S. 1 lit a) – g) DSGVO greifen, um eine Datenübermittlung in ein unsicheres Drittland zu rechtfertigen, sieht die DSGVO noch die Auffangnorm des Art. 49 Abs. 1, S. 2 DSGVO vor. Die Norm stellt einen systematischen Bruch innerhalb der DSGVO dar, da die Daten auch ohne klare Zweckbindung und ohne angemessenen Schutz in ein unsicheres Drittland übermittelt werden dürfen.

Voraussetzungen des Art. 49 Abs. 1, S. 2 DSGVO

Die Norm beinhaltet zahlreiche Voraussetzungen was die Anwendung etwas kompliziert wirken lässt. Hiermit wird aber der Ausnahmecharakter der Norm betont und verhindert, dass ihre Anwendung zur Regel wird.

  • Keine wiederholte Übermittlung
    Die Übermittlung muss im Einzelfall erfolgen. Hierdurch soll gewährleistet werden, dass sich der Verantwortliche bei einer Übermittlung in ein unsicheres Drittland nicht immer auf ein berechtigtes Interesse stützt.
  • Begrenzte Anzahl von Betroffenen
    Die Datenübermittlung darf nur personenbezogene Daten einer begrenzten Anzahl von Betroffenen umfassen. Man kann davon ausgehen, dass hier keine zahlenmäßige Begrenzung gemeint ist. Die Feststellung, ob eine Anzahl von Betroffenen groß oder klein ist kann variieren und ist vom Einzelfall abhängig.
  • Zwingende berechtigte Interessen des Verantwortlichen und Abwägung
    Eine Übermittlung kommt in Betracht, wenn sie zur Wahrung zwingender berechtigter Interessen des Verantwortlichen erforderlich sind. Bei der Auslegung des Begriffs eines ,,zwingenden berechtigten Interesses“ kann aufgrund des Wortlauts nicht jedes berechtigte Interesse aus Art. 6 Abs. 1 lit. f) DSGVO gemeint sein. Als legitimes berechtigtes Interesse erwähnt ErwG 113 wissenschaftliche oder historische Forschungszwecke sowie statistische Zwecke. Eine Abwägung mit den Interessen der Betroffenen darf nicht zu dem Ergebnis kommen, dass diese Interessen überwiegen.
  • Beurteilung der Umstände der Datenübermittlung
    Der Verantwortliche muss sämtliche Umstände der Datenübermittlung beurteilen. Bei dieser Beurteilung sollte der Verantwortlichen die Art der personenbezogenen Daten, den Zweck und die Dauer der Verarbeitung, die Situation im Herkunftsland und im betreffenden Drittstaat berücksichtigen.
  • Geeignete Garantien
    Wenn der Verantwortliche die Beurteilung aller Umstände der Datenübermittlung abgeschlossen hat, muss er geeignete Garantien zum Schutz der personenbezogenen Daten vorsehen. Hierbei ist eine vertragliche Regelung zwischen dem Verantwortlichen und dem Empfänger im Drittstaat denkbar.
  • Benachrichtigung der Aufsichtsbehörde und der Betroffenen
    Der Verantwortliche muss die zuständige Aufsichtsbehörde von seinem Vorhaben informieren – eine Einwilligung der Aufsichtsbehörde ist jedoch nicht erforderlich. Zusätzlich zu den Informationen in Art. 13 und Art. 14 DSGVO muss der Verantwortliche die Betroffenen über die Übermittlung in den Drittstaat informieren.

Welche Auswirkungen hat die Ausnahme?

Es ist wahrscheinlich nicht damit zu rechnen, dass die Norm das Einfallstor für eine Umgehung der Mechanismen wird, die ungerechtfertigte Übermittlungen in unsichere Drittstaaten vermeiden sollen. Hierfür sorgen die Vielzahl von Voraussetzungen und die unbestimmten Rechtsbegriffe die die Norm beinhaltet, wodurch eine Anwendung für Unternehmen eher unattraktiv ist.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.