Internationaler Datenschutz

Fachbeitrag

Es ergeben sich datenschutzrechtliche Besonderheiten, wenn personenbezogene Daten ins Ausland weitergeleitet bzw. dort verarbeitet werden. Praxisrelevanz gewinnt diese Thematik vor allem in den Bereichen der Auftragsdatenverarbeitung und bei international tätigen Unternehmen. Um datenschutzrechtliche Konsequenzen herleiten zu können, muss jedoch das BDSG überhaupt anwendbar sein. Diese Frage hat insbesondere bei Apple und Facebook für große Diskussionen gesorgt und auch schon deutsche Gerichte beschäftigt.

Anwendbarkeit des BDSG

Das BDSG ist grundsätzlich dann anwendbar, wenn eine Erhebung, Verarbeitung oder Nutzung von Daten auf deutschem Territorium vorgenommen wird, sogenanntes Territorialprinzip. Es bleibt demnach auch dann anwendbar, wenn eine Übermittlung ins Ausland stattfindet. Auch ausländische Konzerne können dem deutschen Datenschutzrecht unterliegen, wenn sie über ein deutsches Tochterunternehmen mit eigenständiger Rechtspersönlichkeit personenbezogene Daten erheben, verarbeiten oder nutzen.

Für den grenzüberschreitenden Datentransfer hebt Art. 4 EU-Datenschutzrichtlinie das Territorialprinzip jedoch wieder auf und bestimmt die Geltung des Sitzprinzips. Das wiederum bedeutet, dass das Recht desjenigen Landes Anwendung findet, in dem die für die Datenerhebung oder –verarbeitung verantwortliche Stelle ihren Sitz hat, sofern sich dieser Sitz in einem Mitgliedsland der EU befindet. Sofern diese Stelle aber wiederum eine Niederlassung im Inland hat, ist für sie das inländische Recht maßgeblich.

Folglich ist immer im Einzelfall zu prüfen, ob das BDSG für den konkreten Fall anwendbar ist oder nicht.

Zulässigkeit der Datenverarbeitung

Zu beachten ist jedoch, dass in einem ersten Schritt geprüft werden muss, ob die jeweilige Datenverarbeitung überhaupt zulässig ist. Diese kann sich gemäß § 4 Abs. 1 BDSG aus einer Rechtsvorschrift oder der Einwilligung des Betroffenen ergeben.

Erst nachdem diese grundsätzliche Zulässigkeit der Übermittlung bejaht wurde, muss in einem zweiten Schritt geprüft werden, ob die Übermittlung in das jeweilige Empfängerland zulässig ist.

Länder der EU/ des EWR

Übermittlungen aus Deutschland an Länder innerhalb der EU sowie innerhalb des EWR sind unter denselben Voraussetzungen zulässig wie Übermittlungen im Inland (§ 4b I BDSG, § 4c BDSG). Ein Grund hierfür ist die Tatsache, dass europaweit die gleichen Prinzipien und damit das gleiche Datenschutzniveau herrschen. Maßgeblich ist hier die Datenschutzrichtlinie 95/46/EG.

Drittstaaten

Laut Lexikon von Datenschutz Praxis sind

„Drittstaaten Staaten, in denen ein Datenschutzrecht herrscht, das unter dem Niveau liegt, das mit der Umsetzung der EU-Richtlinie erreicht werden sollte und dem Betroffenen so weniger Garantien zum Schutz seiner personenbezogenen Daten gibt.“

Dabei muss wiederum zwischen sogenannten unsicheren und sicheren Drittländern wie folgt unterschieden werden:

  • Unsichere Drittländer sind solche, in denen kein angemessenes Datenschutzniveau herrscht. Dazu gehören unter anderem Japan, Indien und China. Bei diesen Ländern muss die Daten übermittelnde Stelle grundsätzlich selbst das Datenschutzniveau des Staates überprüfen (§ 4b Abs. 3 und 5 BDSG).
  • Sichere Drittländer sind solche, die über ein angemessenes Datenschutzniveau verfügen, welches dem EU-Recht hinreichend vergleichbar ist. Dazu gehören zurzeit die Schweiz, Kanada, Argentinien, Andorra, Färöer, Guernsey, Israel, Isle of Man, Jersey, Neuseeland und Uruguay.

Die Entscheidung darüber, ob es sich um ein sicheres Drittland handelt, trifft die EU-Kommission.

Ausnahmen

Darüber hinaus gibt es noch Ausnahmen, unter denen eine Übermittlung in ein Drittland auch dann zulässig sein kann, wenn kein angemessenes Datenschutzniveau herrscht. Dazu zählen die Einwilligung des Betroffenen, die Erfüllung eines Vertrages oder die Wahrung lebenswichtiger Interessen des Betroffenen.

Zu weiteren Möglichkeiten, personenbezogene Daten in das EU-Ausland zu übermitteln, gehören die Verwendung von EU-Standardvertragsklauseln sowie Binding Corporate Rules (für den gesamten Konzern). Am häufigsten werden die Standardvertragsklauseln angewendet. Es sind zwei Vertragsformen veröffentlicht, eine für Übermittlungen und eine für Auftragsdatenverarbeitungen, die im Wortlaut nicht verändert werden dürfen, sondern durch die entsprechenden Angaben der beteiligten Unternehmen ergänzt und unterschrieben werden müssen.

Datenübermittlungen in die USA waren bislang außerdem auf Grundlage sogenannter Safe-Harbor-Zertifizierungen zulässig. US-Unternehmen sicherten zu, ein Datenschutzniveau zu gewährleisten, das bestimmten Anforderungen (Safe Harbor Principles) entspricht und ließen sich in eine Liste des US‑Handelsministeriums aufnehmen. Der Europäischen Gerichtshof (EuGH) hat dieses auf einer Entscheidung der EU-Kommission beruhende Vorgehen im Oktober 2015 für ungültig erklärt.

Die Entscheidung des EuGH führt dazu, dass die Übertragung personenbezogener Daten in die USA derzeit mit gewissen rechtlichen Unsicherheiten verbunden ist. Teilweise sehen die Aufsichtsbehörden auch Datenübermittlungen auf der Grundlage von EU-Standardvertragsklauseln und Binding Corporate Rules von der genannten Entscheidung des EuGH betroffen. Eine einheitliche Stellungnahme deutscher und europäischer Aufsichtsbehörden darüber, ob eine Datenübertragung auf Grundlage dieser Institute auch nach Januar 2016 zulässig sein wird, steht noch aus.

Sie haben Fragen?

Die Bestellung eines externen Datenschutzbeauftragten bietet Ihrem Unternehmen zahlreiche Vorteile. Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Praxisnahe und wirtschaftsorientierte Datenschutzorganisation für Ihr Unternehmen
  • Hochqualifizierte Berater mit interdisziplinären Kompetenzen in Recht und IT
  • Klar kalkulierbare Kosten und hohe Flexibilität

Informieren Sie sich hier über unser Leistungsspektrum: Externer Datenschutzbeauftragter

13 Kommentare zu diesem Beitrag

  1. > Ein Grund hierfür ist die Tatsache, dass europaweit die gleichen Prinzipien und damit das gleiche Datenschutzniveau herrschen.

    Waren Sie schonmal in Großbritannien? Mit Sicherheit herrscht in Europa KEIN einheitliches Datenschutzniveau.

    > Unsichere Drittländer (…) Israel
    > Sichere Drittländer (…) Israel

    Gibt es zwei verschiedene Israel?

  2. Wenn man das Datenschutzniveau in Deutschland und Luxemburg vergleicht, welches Gesetz stellt denn die strengeren Anforderungen, BDSG oder luxemburgisches Datenschutzgesetz?

    • Beide Länder haben als Mitglieder der EU die Datenschutzrichtlinie 95/46/EG umgesetzt, welche hohe Anforderungen an die Zulässigkeit der Verarbeitung personenbezogener Daten stellt. Eine pauschale Aussage, ob ein Datenschutzgesetz in Europa strenger als ein anderes ist, kann allerdings aufgrund der Komplexität der Rechtsordnungen nicht getroffen werden.

  3. Wie sieht es aus mit der statistischen Verarbeitung von Arbeitnehmer-Lohndaten unverdichtet in einer britischen Tochtergesellschaft? Unterliegen die Arbeitnehmerdaten einem höheren Schutz?

  4. Demnach ist die Übertragung von Daten (z.B. durch Nutzung einer CRM-Lösung) nach Australien oder Kanada kein Problem? Die Nutzung eines CRM-Systems in den USA ist durch das neue US-EU-Privacy-Shield „abgesichert“? Aber was ist mit Indien, als eines der wichtigsten Offshore-Länder?

  5. Ich habe eine Frage. Innerhalb der EU ist die Übertragung und Datenverarbeitung ja durch das BDSG und die EU-Datenschutzrichlinien geregelt. Auf welches Recht / welche rechtlichen Grundlagen stützt sich dann beispielsweise die Thematik mit Microsoft, die ihren Sitz ja außerhalb der EU, nämlich in den USA, haben, jedoch beispielsweise ein Datencenter in der EU, also in Irland, betreiben? Beziehungsweise welche Gesetze muss man dafür zu Rate ziehen?

    • Welches Gesetz Anwendung findet, richtet sich zunächst nach § 1 Abs. 5 BDSG. Das anzuwendende Recht ist nach dieser Vorschrift nicht jenes, welches am Ort der Erhebung, Verarbeitung oder Nutzung Gültigkeit hat, sondern jenes, welches in dem Land gilt, in dem die verantwortliche Stelle für die Datenerhebung, -verarbeitung oder -nutzung ihren Sitz hat. Das BDSG findet demnach Anwendung, wenn die verantwortliche Stelle ihren Sitz in Deutschland hat, nicht jedoch, wenn sich dieser in einem anderen Mitgliedsstaat der EU befindet – dann ist nicht das BDSG, sondern das dortige nationale Datenschutzrecht anwendbar. Findet also beispielsweise eine Datenverarbeitung in Irland durch eine dort ansässige verantwortliche Stelle statt, ist für die Datenverarbeitung auch das dort geltende Datenschutzrecht anwendbar. Auch Datenübermittlungen in die USA (ggf. zur Muttergesellschaft) wären nach diesem Recht zu beurteilen. Etwas anderes gilt natürlich für Datenübermittlungen (oder Auftragsdatenverarbeitungsverhältnisse) von einer verantwortlichen Stelle in Deutschland an eine andere verantwortliche Stelle außerhalb Deutschlands oder der EU (z.B. an einen Dienstleister wie Microsoft) – dann würde für diese Datenweitergabe wiederum das BDSG einschlägig sein. Es kommt hier also immer auf eine Einzelfallprüfung an.

  6. Sehr geehrter Dr. Datenschutz,

    wie verhält es sich bei einer Auftragsverarbeitung bei der Mitarbeiter aus einem unsicheren Drittland per Remotedesktop-Verbindung wie z.B. einer Citrix-Session, auf ein System innerhalb der EU zugreifen um auf diesem eine Datenerfassung vorzunehmen?

    Ein klassischer „Datentransfer“ findet an sich ja nicht statt, die Datei, bzw. das Dokument von dem Daten erfasst werden, verbleibt ja innerhalb der EU. Stellt sich für mich die Frage, ob das auf dem im unsicheren Drittland angezeigte Bild eines Dokuments bereits einen Transfer darstellt. Mittels eines Screenshots wäre es hier ja zu einem indirekten Transfer gekommen, wenn ich das richtig beurteile.

    Müssen in dieser Situation die europäischen Standardvertragsklauseln Anwendung finden?

    Ergänzend zu erwähnen ist, dass der auf die in der EU liegenden Daten zugreifende Datenerfasser der Mitarbeiter eines Unterauftragnehmers ist, dessen Hauptsitz sich in Deutschland befindet. Dieser Unterauftragnehmer beschäftigt seinerseits die Mitarbeiter in einem unsicheren Drittland. Natürlich wird hier eine ADV-Vereinbarung nach §11 BDSG benötigt, nur ob es dann noch der europäischen Standardvertragsklauseln bedarf erschließt sich mir nicht vollständig, da es keinen direkten Datentransfer in das unsichere Drittland gibt.

    Besten Dank im Voraus und viele Grüße
    UserOne

    • Auch in diesem Fall bedarf es eines EU-Standardvertrages. Dabei ist ausreichend, dass der Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann, was bei einer Remote Desktop-Verbindung der Fall ist.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.