DAS DATENSCHUTZ-GESETZ

Datenübermittlung an Drittländer oder an internationale Organisationen

Die Übermittlung personenbezogener Daten an Drittländer und die Auftragsverarbeitung in Drittländern sind in Kapitel V (Art. 44 ff. DSGVO) geregelt. Art. 44 DSGVO bestimmt, dass jedwede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, nur zulässig ist, wenn der Verantwortliche und der Auftragsverarbeiter die in diesem Kapitel niedergelegten Bedingungen einhalten und auch die sonstigen Bestimmungen dieser Verordnung eingehalten werden; dies gilt auch für die etwaige Weiterübermittlung personenbezogener Daten durch das betreffende Drittland oder die betreffende internationale Organisation an ein anderes Drittland oder eine andere internationale Organisation. Alle Bestimmungen dieses Kapitels sind anzuwenden, um sicherzustellen, dass das durch diese Verordnung gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird [siehe dazu auch Kurzpapier Nr. 4 der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz)].

Drittland im Sinne der DSGVO ist jeder Staat, der weder Mitglied der EU noch des EWR ist. Eine Datenübermittlung oder eine Auftragsverarbeitung in ein Drittland liegt immer dann vor, wenn personenbezogene Daten an Stellen außerhalb der EU oder des EWR übermittelt werden oder von dort aus zugänglich sind oder durch diese Stellen im Auftrag verarbeitet werden. Wenn Informationen in einem Netzwerk oder auf sonstige Weise so zur Verfügung gestellt werden, dass sie von Stellen außerhalb des Unionsgebiets oder des EWR abgerufen oder zur Kenntnis genommen oder verarbeitet werden können, stellt dies auch eine Datenübermittlung an Drittländer dar und unterfällt den Regelungen der Art. 44 ff. DSGVO. Ebenfalls unter die Regelungen der Art. 44 ff. DSGVO fallen nach einer Datenübermittlung an eine Stelle in einem Drittland Weiterübermittlungen von personenbezogenen Daten von dieser Stelle an eine andere Stelle in diesem Drittland oder an eine Stelle in einem anderen Drittland.

Bei einer Datenübermittlung an Stellen im Ausland wird zwischen einer Übermittlung innerhalb der Staaten der Europäischen Union oder des Europäischen Wirtschaftsraums (Norwegen, Island, Liechtenstein) einerseits und einer Übermittlung in Länder außerhalb der EU/EWR (Drittländer) andererseits unterschieden. Bei einer Datenübermittlung an Stellen innerhalb der EU und des EWR gelten die gleichen Regelungen wie bei einer Datenübermittlung im Inland. Die Drittländerregelungen der Art. 44 ff. DSGVO gelten deshalb nur für Datenübermittlungen an Stellen in Ländern außerhalb der EU und des EWR.

Der Europäische Gerichtshof hat mit Urteil vom 16. Juli 2020 den Privacy-Shield-Beschluss 2016/1250 der EU-Kommission vom 12. Juli 2016 über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes für ungültig erklärt. Die EU-Standardvertragsklauseln hingegen bleiben nach dieser Entscheidung weiter gültig. Damit können auf der Basis des EU-US Privacy Shield keine personenbezogenen Daten mehr an Empfänger in den Vereinigten Staaten übermittelt werden. Dies bedeutet, dass für Datenexporte an Stellen in den USA, die bisher auf der Grundlage des EU-US Privacy Shield vorgenommen wurden, eine andere Rechtsgrundlage, z. B. in Form eines Vertrags nach den EU-Standardvertragsklauseln, geschaffen werden muss.

Aber auch bei einem Datenexport auf der Grundlage der EU-Standardvertragsklauseln müssen der Datenexporteur und der Datenimporteur in einer rechtsverbindlichen Einzelfallprüfung überprüfen, ob die Regelungen der vereinbarten Standardvertragsklauseln nach den im Drittland geltenden gesetzlichen Bestimmungen eingehalten werden können, oder ob gesetzliche Regelungen des Drittlands der Einhaltung der Vereinbarungen der Standardvertragsklauseln entgegenstehen. Sind die Regelungen der EU-Standardvertragsklauseln allein nicht ausreichend, müssen zusätzliche Regelungen vereinbart werden. Der EuGH stellt ferner fest, dass aufgrund der unverhältnismäßigen Zugriffsrechte der US-Behörden und des mangelnden Rechtsschutzes vor amerikanischen Gerichten allein mit den Regelungen der EU-Standardvertragsklauseln kein ausreichender Schutz für die Rechte der Betroffenen gewährleistet ist und dass deshalb ergänzende Regelungen erforderlich sind. Andernfalls muss der Exporteur die Datenübermittlung aussetzen und/oder vom Vertrag mit dem Empfänger zurücktreten.

Der nachstehende Prozess zeigt die Vorgehensweise zur Prüfung von Datenexporten in die USA und in andere Drittländer.