Grundverordnung: Internationale Datentransfers ins Ausland

Fachbeitrag

Der Transfer von personenbezogenen Daten in Staaten außerhalb der EU/des EWA (sogenannten Drittstaaten) war schon immer problematisch. Daran wird sich auch mit dem Inkrafttreten der Datenschutz-Grundverordnung nichts ändern. Grund hierfür ist die Annahme, dass in Drittstaaten generell kein angemessenes Datenschutzniveau herrscht. Dementsprechend werden Datentransfers in Drittstaaten auch weiterhin nur zulässig sein, wenn zusätzliche Sicherheitsmechanismen dazu beitragen ein angemessenes Datenschutzniveau zu gewährleisten oder ein solches verbindlich festgestellt wurde. Dieser Artikel ist Teil unserer Reihe zur EU-Datenschutz-Grundverordnung.

Bleiben bestehende Instrumente für internationale Datentransfers wirksam?

Grundsätzlich bestehen die in der Datenschutz-Richtlinie festgelegten Regelungen fort. Sofern es eine Rechtsgrundlage für die generelle Datenübermittlung gibt, kann mit den zur Verfügung stehenden Instrumentarien die Übermittlung auch in einen Drittstaat erfolgen. Mechanismen zur Herstellung eines angemessenen Datenschutzniveaus sind beispielsweise:

  • Binding Corporate Rules (BCR), verbindliche, selbstauferlegte Unternehmensvorschriften zum Umgang mit personenbezogenen Daten
  • EU-Standardverträge, von der EU-Kommission vorgegeben Modelklauseln, deren Inhalt nicht abgeändert werden darf

Daneben bleiben auch die in der Datenschutz-Richtlinie geregelten weiteren Möglichkeiten des Datentransfers anwendbar. So ist es gem. Art. 49 DSGVO beispielsweise möglich, personenbezogene Daten auf Basis einer Einwilligung oder zur Erfüllung eines Vertrages zu übermitteln. Von der Kommission erlassene Beschlüsse über ein angemessenes Datenschutzniveau in einem bestimmten Land, welche auf der Grundlage der Datenschutz-Richtlinie entschieden wurden, bleiben ebenfalls in Kraft bis sie durch einen nach einem in der Grundverordnung festgelegten Prüfverfahren erlassenen Beschluss der Kommission geändert, ersetzt oder aufgehoben werden.

Welche Neuerungen bringt die Datenschutz-Grundverordnung?

Neben den bereits zuvor existierenden Möglichkeiten des Datentransfers, sieht die Datenschutz-Grundverordnung auch neue Aspekte vor:

  • Nach der Datenschutz-Grundverordnung ist die Feststellung eines angemessenen Datenschutzniveaus auch für ein Gebiet oder ein oder mehrere spezifische Sektoren eines Drittlands möglich. Daher ist ein Datentransfer ohne weitere übermittlungsspezifische Maßnahmen auch an Stellen innerhalb solcher Gebiete bzw. Sektoren zulässig.
  • Binding Corporate Rules werden in der Datenschutz-Grundverordnung konkret in Art. 47 geregelt. Dort werden u.a. Mindestanforderungen hinsichtlich des notwendigen Inhalts festgelegt.
  • Sofern Datenübermittlungen nicht über Ausnahmeregelungen zulässig sind und auch keine besonderen Mechanismen ergriffen wurden, sollen sie dennoch zulässig sein, wenn:

„die Übermittlung nicht wiederholt erfolgt, nur eine begrenzte Zahl von betroffenen Personen betrifft, für die Wahrung der zwingenden berechtigten Interessen des für die Verarbeitung Verantwortlichen erforderlich ist, sofern die Interessen oder die Rechte und Freiheiten der betroffenen Person nicht überwiegen, und falls der für die Verarbeitung Verantwortliche alle Umstände der Datenübermittlung beurteilt und auf der Grundlage dieser Beurteilung geeignete Garantien in Bezug auf den Schutz personenbezogener Daten vorgesehen hat.“

  • Dabei sind die Aufsichtsbehörde und die betroffene Person in Kenntnis zu setzen.
  • Zusätzlich werden Verhaltensregeln (Art. 40 DSGVO) und die Möglichkeit einer Zertifizierung (Art. 42 DSGVO) vorgesehen, auf deren Grundlage nach erfolgter Genehmigung ebenfalls ein Datentransfer möglich ist.

Was können Unternehmen tun um sich optimal vorzubereiten?

Um sich optimal auf die Regelungen Datenschutz-Grundverordnung vorzubereiten, sollten Unternehmen die folgenden Maßnahmen ergreifen:

  1. Analyse der bestehenden Datenflüsse in Drittstaaten.
  2. Identifizierung der bestehenden Rechtsgrundlagen bzw. Mechanismen zur Herstellung eines angemessenen Datenschutzniveaus.
  3. Im Anschluss an die Feststellung der Datenflüsse und deren Bedeutung und Funktion für das Unternehmen sollte evaluiert werden, welcher Transfermechanismus für das eigene Unternehmen die praktikabelste Lösung ist.

Hier finden Sie weitere ausgewählte Artikel zur EU-Datenschutz-Grundverordnung.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Datenschutz-Grundverordnung (DSGVO)

10 Kommentare zu diesem Beitrag

  1. Hallo Dr. Datenschutz, bleibt denn nun die übliche 2 Stufen Prüfung erhalten oder gibt es hier Erleichterungen für Unternehmen im allgemeinen oder im Konzern? Die DSGVO lässt in gewisser Hinsicht ja, ein konzernprivileg andeuten. Vielen Dank vorab.

    • Der Wortlaut der Art. 44 ff. DSGVO mag hier teilweise missverständlich sein, indem suggeriert wird, dass die Zulässigkeit allein auf diese Vorschriften gestützt werden kann. So lautet z.B. Art. 45 Abs. 1 S. 1: „Eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation darf vorgenommen werden, wenn die Kommission beschlossen hat, dass das betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland oder die betreffende internationale Organisation ein angemessenes Schutzniveau bietet.“

      Durch Auslegung nach Sinn und Zweck der Vorschriften kann man aber nur zu dem Ergebnis kommen, dass die Anforderungen der Art. 44 DSGVO bei Drittstaatentransfers ZUSÄTZLICH zu beachten sind, es also bei der zweistufigen Prüfung bleibt. Auch der Wortlaut gibt diese Auslegungen letztendlich her: Art. 44 Abs. 1 S. 1 sagt, dass die Übermittlung in einen Drittstaat NUR zulässig ist, wenn die genannten Bedingungen erfüllt werden.

  2. Grüß Gott
    Ersteinmal vielen Dank für Ihre sehr gut zusammengefassten und dargelegten Artikel zum DSGVO.

    Beim internationalen Datentransfer kann ich jedoch nicht nachvollziehen, wie diese „Ausnahme“ gemäß Art. 49 Abs. 1 Unterabsatz 2 von den internationalen Sicherheitsmaßnahmen im Unterabsatz 1 zu verstehen ist.
    Einerseits würde mich interessieren, ob es für den Begriff „eine begrenzte Zahl von betroffenen Personen“ schon eine Orientierungshilfe gibt?
    Andererseits ist mir nicht klar inwiefern es sich im letzten Fall um eine Ausnahme von den Sicherheitspflichten handelt, wenn dann doch „Garantien“ (wie in Unterabsatz 1) vorgesehen werden müssen.

    Vorab vielen Dank für Ihre Mühen.

  3. Vielen Dank für den Artikel. Ist mit der Übermittlung an Drittstaaten auch gemeint, wenn ein Unternehmen einem Rechnungsempfänger, der seinen Wohnsitz im Ausland hat, eine Rechnung zukommen lässt?

    • Wann eine Drittstaatenübermittlung vorliegt, kommt immer auf die Umstände des Einzelfalls an. Maßgeblich ist, ob das Unternehmen unter den Anwendungsbereich der DSGVO fällt. Allerdings dürfte der Vorgang einer Rechnungsstellung grundsätzlich gem. Art. 49 Abs. 1 b) DSGVO legitimiert sein, da die Daten hier zur Vertragsdurchführung verarbeitet werden.

  4. Wie ist Ihre Meinung zum Verhältnis Art. 6 zu Art. 9?

    Wie sieht es mit dem Transfer von besonderen personenbezogenen Daten im Konzern aus, wenn bspw. ein konzernweites Tool eingesetzt wird und die Vorgesetzten im Ausland sitzen. Ist hierfür eine generelle Einwilligung notwendig? Oder kann die nicht technisch/organisatorisch geregelt werden? Evtl. Erwägungsgrund 48. Vielen Dank!

    • Art. 9 DSGVO ist im Verhältnis zu Art. 6 DSGVO die speziellere Norm und genießt deshalb Vorrang. Mithin müssen bei besonderen Kategorien personenbezogener Daten die Voraussetzungen des Art. 9 DSGVO erfüllt sein.
      Zudem sind die Ausnahmen in Art. 9 Abs. 2 DSGVO restriktiv auszulegen, so dass ein Rückgriff auf Art. 6 DSGVO wohl ausgeschlossen sein dürfte.

      Bei der Übermittlung im Konzern erleichtert der Erwägungsgrund 48 den konzerninternen Datenaustausch als „berechtigtes Interesse“ und privilegiert diesen (sog. kleines Konzernprivileg). Insofern kann eine Abwägung mit entgegenstehenden schutzwürdigen Interessen der Betroffenen für einen Datenaustausch im Konzern bspw. bei Art. 6 Abs. 1 Satz 1 lit. f DSGVO herangezogen werden. Eine ähnliche Möglichkeit steht bei Art. 9 DSGVO indes nicht zur Verfügung, da es an einer entsprechenden Regelung fehlt.

      Aus diesem Grund sollte eine Übermittlung besonderer Kategorien personenbezogener Daten auf die Ausnahmetatbestände des Art. 9 Abs. 2 DSGVO gestützt werden. Fehlen gesetzlich statuierte Ausnahmen (lit. b bis j) ist eine Einwilligung nach lit. a einzuholen.

      Bei einem Transfer an konzernangehörige Unternehmen in Drittstaaten sind zudem die Anforderungen der Art. 44 ff. DSGVO zu beachten – insbes. Art. 49 DSGVO (vgl. auch Erwägungsgrund 48 Satz 2 DSGVO).

  5. Guten Tag, eine Frage zu dieser Regelung. Ich sitze in Argentinien, mein Server (SiteGround) steht wohl in Kanada. Ich biete Dienstleistungen in Deutschland an, und möchte auch gerne ein anonymisiertes Kommentarfeld einbauen. Soweit so gut, Argentinien gehört zu den sicheren Ländern und Kanada soweit es den Server angeht auch. Aber was ist denn, wenn jemand aus Ghana versehentlich auf meine Seite gerät, oder Ecuador? Das kann doch passieren (Buchstabendreher z.B.)? Darauf habe ich doch gar keinen Einfluss. Oder verstehe ich da etwas falsch?

    • Details zum räumlichen Anwendungsbereich finden Sie hier: “Wo gilt die DSGVO?
      Sie gilt (verkürzt):
      – soweit die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der EU erfolgt, unabhängig davon, ob die Verarbeitung in der EU stattfindet

      – soweit die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der EU befinden, durch einen nicht in der EU niedergelassenen Verantwortlichen oder Auftragsverarbeiters, wenn die Datenverarbeitung im Zusammenhang damit steht

      – betroffenen Personen in der EU Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist

      – das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der EU erfolgt

      – und wenn die Verarbeitung personenbezogener Daten durch einen nicht in der EU niedergelassenen Verantwortlichen an einem Ort, der aufgrund Völkerrechts dem Recht eines Mitgliedstaats unterliegt

      Wenn also Personen, die sich in der EU befinden eine Internetseite besuchen, die sich auch an den Markt in der EU richtet, muss die Internetseite den Anforderungen der DSGVO entsprechen. Ob auch Personen aus nicht EU-Staaten die Seite aufrufen können ist insoweit nicht relevant.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.