Übermittlung personenbezogener Daten in Drittländer mittels Einwilligung

Fachbeitrag

Eine Datenübermittlung in Drittländer stellt viele Unternehmen vor enorme Herausforderungen. In manchen Fällen wollen Unternehmen dabei auf eine Einwilligung durch die betroffenen Personen nach Art. 49 Abs. 1 lit. a DSGVO setzen. Was hierbei zu beachten ist, stellen wir in diesem Artikel dar.

Voraussetzungen einer Datenübermittlung in Drittländer

Bei einer Datenübermittlung in Drittländer bietet sich nach wie vor eine zweistufige Zulässigkeitsprüfung an:

  • 1. Stufe:
    Der Verantwortliche muss zunächst sicherstellen, dass die Datenübermittlung an den Empfänger im Drittland auf eine rechtliche Grundlage der DSGVO gestützt werden kann. In Betracht kommen hierbei etwa die Erlaubnistatbestände nach Art. 6 Abs. 1 DSGVO oder im Bereich des Beschäftigtendatenschutzes Art. 88 DSGVO i. V. m. § 26 BDSG-neu. Es ist an dieser Stelle also zu prüfen, ob die Datenübermittlung von einem Erlaubnistatbestand grundsätzlich gedeckt ist.
  • 2. Stufe:
    Auf der zweiten Stufe ist zu prüfen, ob die Datenübermittlung in Drittländer möglich ist (Art. 44 ff. DSGVO). In Betracht kommen hierbei etwa ein Angemessenheitsbeschluss der EU-Kommission, Binding Corporate Rules (BCRs), EU-Standarddatenschutzklauseln (SCCs) oder eine Einwilligung nach Art. 49 Abs. 1 lit. a DSGVO durch die betroffene Person, um die es in diesem Artikel geht.

Ausführlichere Informationen zur Datenübermittlung in Drittländer finden Sie im Kurzpapier der Datenschutzkonferenz vom 11.07.2017 (Nr. 4).

Voraussetzungen einer Einwilligung

Art. 49 Abs. 1 lit. a DSGVO gestattet eine Übermittlung, wenn der Betroffene hierzu seine ausdrückliche Einwilligung erteilt hat. Die Anforderungen an eine entsprechend DSGVO-konforme Einwilligungserklärung sind allerdings hoch.

Eine wirksame Einwilligungserklärung muss insbesondere

  • freiwillig
  • informiert
  • ausdrücklich
  • konkret
  • und jederzeit widerrufbar sein.

Die Einwilligungserklärung sollte in verständlicher und leicht zugängliche Form in einer klaren und einfachen Sprache erfolgen.

In der Praxis häufig anzutreffende vorangekreuzte Kästchen genügen -ebenso wie Stillschweigen- nicht. Auch General- bzw. Pauschaleinwilligungen sind nicht möglich. Vorsicht ist zudem geboten, wenn zumindest eine der in Art. 9 Abs. 1 DSGVO genannte Kategorie personenbezogener Daten verarbeitet werden soll oder eine solche Verarbeitung nicht ausgeschlossen werden kann, da dies deutlich herausgestellt werden muss (Art. 9 Abs. 2 lit. a DSGVO).

Die Einwilligung muss in jedem Falle nachgewiesen werden können (Erwägungsgrund 42). Ein Schriftformerfordernis ist von der DSGVO jedoch nicht mehr vorgesehen (§ 4 a Abs. 1 S. 3 BDSG a. F.).

Informationspflichten

Auch im Rahmen der Informationspflichten ist zu beachten, dass die betroffenen Personen über einen beabsichtigte Datenübermittlung an einen Empfänger in einem Drittland zu informieren sind. Die gestellten Anforderungen sind hier ebenfalls hoch.

Die betroffene Person ist etwa in verständlicher Form über den konkreten Zweck der Datenübermittlung, die genauen Kategorien der zu übermittelnden Daten und der Kategorien der Empfänger zu informieren.

Die Informationen müssen einen Hinweis auf das Fehlen eines angemessenen Datenschutzniveaus (Aufklärung über fehlenden Angemessenheitsbeschluss, Fehlen geeigneter Garantien) enthalten und mögliche Risiken enthalten. Bislang sollte die betroffene Person im Rahmen von § 4 c Abs. 1 S. 1 Nr. 1 BDSG bereits ebenfalls über die Gefahren bzw. Risiken der Datenübermittlung in ein Drittland informiert werden. In der Praxis ist eine vollständige Aufklärung über alle denkbaren Risiken wohl leider nicht möglich, sodass aber zumindest die wesentlichen Risiken transparent dargestellt werden sollten.

Einwilligungen als Lösung?

Ob in der Praxis, gerade bei Datenübermittlungen in Konzernen, auch Einwilligungen nach Art. 49 Abs. 1 lit. a DSGVO (2. Stufe) zum Zuge kommen werden, kann aufgrund der weiterhin hohen Anforderungen, der jederzeitigen Widerruflichkeit und anderer Alternativen durchaus bezweifelt werden. Im Einzelfall kann eine Einwilligungslösung -wie bisher auch- jedoch hilfreich sein. Der Datenschutzbeauftragte sollte einbezogen werden.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Datenschutz-Grundverordnung (DSGVO)

6 Kommentare zu diesem Beitrag

  1. Sehr geehrter Herr Doktor,

    stimmen Sie mir zu, dass unter der oben genannten Voraussetzung einer expliziten Einwilligung, eine Kommunikation zwischen einem kleinen Handwerksbetrieb und seinem Kunden über whatsApp möglich sein sollte, vor allem wenn der Kunde dies ausdrücklich wünscht?

  2. Sehr geehrter Herr Doktor,
    wie verhält es sich denn, wenn ein Unternehmen Daten in eine Cloud legen will.
    Auch liegt doch auch, in den meisten Fällen, eine Datenübermittlung in Drittstaaten vor.
    Muss dann auch von jedem MA eine Einwilligung dazu vor liegen?
    Vielen Dank im Voraus für ihre Antwort

    • Nehmen sie, v.a. als Unternehmen ein bisschen Geld in die Hand und nutzen sie statt der Amazon- und Google-Cloud, Server von deutschen Cloud-Anbietern mit einem ADV Vertrag.
      Dann wäre keine Einwilligung notwendig.

    • Die DSGVO sieht neben der Einwilligung auch weitere Möglichkeiten vor, um ein angemessenes Datenschutzniveau in Drittstaaten zu gewährleisten (2. Stufe). In Betracht kommen hierbei -wie im Artikel erwähnt- etwa EU-Standarddatenschutzklauseln (SCCs). Derzeit einen noch guten Einstieg in das Thema bietet die Orientierungshilfe, die Sie auf der Webseite des BayLDA finden können, wenngleich sich diese noch auf das BDSG bezieht: https://www.lda.bayern.de/media/oh_cloud-computing.pdf

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.