Datenübermittlung ins außereuropäische Ausland

Die DSGVO gewährleistet ab dem 25. Mai 2018 einen einheitlichen Standard für den Schutz personenbezogener Daten. Doch welche Regeln gelten beim Datentransfer ins außereuropäische Ausland, z.B. bei der Nutzung von Clouddiensten?  

Was ist bei einem Datentransfer ins außereuropäische Ausland zu beachten?

Da die europäische Datenschutz-Grundverordnung einen einheitlichen Datenschutz-Standard gewährleistet, ist nur der Transfer in Länder außerhalb der Europäischen Union, sogenannte Drittländer, problematisch. Denn der Datentransfer ins außereuropäische Ausland, der insbesondere die Inanspruchnahme ausländischer Cloud-Dienste betrifft, wird durch die Art. 44 ff. DSGVO weitestgehend eingeschränkt. Zwar dürfen verschlüsselte Daten grundsätzlich immer ins Ausland übertragen werden, weil sie ihren personenbezogenen Charakter verloren haben, jedoch ist dies anders, wenn die Daten unverschlüsselt in das außereuropäische Ausland transferiert werden.

Unter welchen Bedingungen ist ein Datentransfer in Drittstaaten zulässig?

Ob personenbezogene Daten in einem konkreten Einzelfall in Drittstaaten überführt werden dürfen, wird auf Basis eines zweistufigen Verfahrens beurteilt (sogenannter Zwei Stufen-Test). Danach ist Grundvoraussetzung, dass die allgemeinen Anforderungen an eine rechtskonforme Datenübermittlung erfüllt werden. Dazu gehört beispielsweise das Erfordernis, besondere Kategorien personenbezogener Daten wie solche über die rassische und ethnische Herkunft oder politische Meinung entsprechend den Anforderungen des Art. 9 DSGVO zu verarbeiten. Erst wenn die erste Stufe ergibt, dass dies sichergestellt werden kann, wird auf der zweiten Stufe geprüft, ob die spezifischen Voraussetzungen für einen Datentransfer in Drittstaaten entsprechend den Art. 45 ff. DSGVO vorliegen. Entscheidend ist dabei, dass das Schutzniveau am Zielort dem europäischen Schutzniveau entspricht. Denn ein Großteil der Software in Drittstaaten ist nicht mit dem europäischen Recht kompatibel und weist große Defizite auf. Aus diesem Grund sieht Art. 45 Abs. 1 DSGVO vor, dass personenbezogene Daten grundsätzlich nur dann an ein Drittland übertragen werden dürfen, wenn die Europäische Kommission beschlossen hat, dass dieses Land ein angemessenes Schutzniveau bietet. Zudem muss der Betroffene über den Transfer seiner Daten ins Ausland mindestens informiert werden. Hierzu bietet sich die Datenschutzerklärung an, der die Betroffenen zustimmen sollten, bevor mit der Datenverarbeitung oder dem Datentransfer begonnen wird.

In welche Drittstaaten ist ein Datenstransfer zulässig?

Welche Länder ein europäisches Schutzniveau gewährleisten, veröffentlicht die Europäische Kommission im Amtsblatt der Europäischen Union und auf ihrer Webseite. Bei dieser Beurteilung untersucht die Komission, ob das jeweilige Land im Hinblick auf ein bestimmtes Gebiet bzw. einen bestimmten Sektor oder in einer speziellen Datenkategorie einerseits auf Grundlage eigener nationaler Datenschutzregelungen und einer effektifen Durchsetzung der Regelungen durch Aufsichtsbehörden sowie andererseits durch eingegangene internationale Verpflichtungen ein dem europäischen Standard entsprechendes Schutzniveau gewährleistet.

Diese Voraussetzungen erfüllen derzeit beispielsweise die Schweiz, Kanada, Argentinien, Israel, Australien oder Neuseeland, nicht jedoch beispielweise Japan, Indien und China. Auch die USA gehörten zwischenzeitlich zu den unsicheren Drittstaaten. Denn der Europäische Gerichtshof (Urteil vom 06.10 2015, Az. C-362/14) hat entschieden, dass das sogenannte Safe-Harbor-Abkommen ungültig sei, weil es nicht den geltenden gesetzlichen Voraussetzungen entspreche. Insbesondere seien die Daten durch das Abkommen nicht genügend vor den US-amerikanischen Geheimdiensten geschützt. Zu einem neuen Datenschutzabkommen zwischen Europa und den USA kam es dann mit dem Privacy-Shield-Abkommen, dessen endgültige Fassung die Kommission am 12.07.2016 offiziell als Angemessenheitsentscheidung verabschiedete. Bei dem Privacy-Shield-Abkommen handelt es sich ebenso wie beim Vorgänger nicht um ein rechtsverbindliches Abkommen, sondern eher um einen rechtlichen Rahmen, zu dessen Einhaltung sich Unternehmen in den USA seit dem 01.08.2016 durch Eintragung in die sogenannte Privacy-Shield-Liste verpflichten können.

Ist ein Datentransfer in unsichere Staaten auch ohne Kommissionsbeschluss zulässig?

Unternehmen, die Daten in Drittländer übertragen möchten, für die kein Kommissions-Beschluss vorliegt, können dies gemäß Art. 46 Abs. 1 DSGVO tun, wenn der Auftragsdatenverarbeiter mit geeigneten Garantien die Einhaltung des europäischen Datenschutzniveaus belegt und den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. Welche Garantien dies sein können, hat der Gesetzgeber in Art. 46 Abs. 2 DSGVO geregelt. Danach sind beispielsweise sogenannte Binding Corporate Rules oder Verträge zwischen Auftraggeber und Auftragsverarbeiter unter Verwendung der bestehenden Standarddatenschutzklauseln der Europäischen Kommission ebenso effektive Garantien wie nun auch europäische Zertifizierungen.

Kann ein Datentransfer in Drittstaaten auch ohne Garantien erfolgen?

Ausnahmen von dem Erfordernis eines Kommissions-Beschlusses oder geeigneter Garantien hat der europäische Gesetzgeber ebenfalls vorgesehen und diese in Art. 49 DSGVO normiert. Danach ist ein solcher Datentransfer zum Beispiel dann zulässig, wenn die von der Datenverarbeitung betroffene Person in die Datenübermittlung ausdrücklich eingewilligt hat, nachdem sie umfassend und transparent über die damit verbundenen Risiken – insbesondere im Hinblick auf die Durchsetzung von Betroffenenrechten – und ihr jederzeitiges Widerrufsrecht belehrt wurde. Dies ist in der Praxis wohl der bedeutenste Ausnahmefall innerhalb des enga uazulegenden Ausnahmekatalogs. Darüber hinaus ist eine Datenübermittlung unter anderem auch dann unter bestimmten Voraussetzungen zulässig, wenn diese zur Vertragserfüllung im Interesse der betroffenen Person erforderlich ist oder wichtigen öffentlichen Interessen, lebenswichtigen Interessen des Betroffenen oder berechtigten Interessen des Verantwortlichen dient.

Christian Solmecke ist Partner der Kanzlei WILDE BEUGER SOLMECKE und inbesondere in den Bereichen des IT-, des Medien- und des Internetrechts tätig. Darüber hinaus ist er Autor zahlreicher juristischer Fachveröffentlichungen in diesen Bereichen.

Gefällt Ihnen der Artikel? Bewerten Sie ihn jetzt:

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (2 Bewertungen, Durchschnitt: 5,00 von 5)