Datenübermittlung ins Drittland- was sollte man beachten?

Bei der Übermittlung personenbezogener Daten ins Ausland sollten Unternehmen vorsichtig sein; insbesondere sind die hohen Anforderungen der Datenschutz-Grundverordnung (DSGVO) zu beachten, damit im Zweifel hohe Bußgelder und Schadensersatzklagen vermieden werden können.

Inhaltsverzeichnis

Wann spricht man von einer Datenübermittlung ins Drittland?

Da die DSGVO in allen Mitgliedsstaaten innerhalb der EU einen einheitlichen Datenschutz-Standard gewährleistet, ist nur der Transfer in Länder außerhalb der Europäischen Union, sogenannte Drittländer, problematisch. Innerhalb der Union werden Datenübermittlungen folglich wie eine Inlandsübermittlung gewertet. Unter einem „Drittland“ im Sinne der DSGVO sind daher sämtliche Staaten zu verstehen, die keine Mitgliedstaaten der EU oder des EWR sind.

Von einer „Übermittlung“ wird dann gesprochen, wenn personenbezogene Daten in einem Mitgliedsstaat der EU erhoben und gegenüber einem Empfänger in einem Drittland offengelegt werden. Ebenfalls fallen anschließende Weiterübermittlungen darunter, ganz gleich ob innerhalb desselben oder eines anderen Drittlandes.

Der Grundsatz des freien Datenverkehrs

Grundsätzlich darf die Übermittlung von Daten innerhalb der Union nicht eingeschränkt oder gar verboten werden (Grundsatz des freien Datenverkehrs); die Vorgaben für die Verarbeitung von personenbezogenen Daten sind abschließend in der DSGVO geregelt, dürfen also nicht noch darüber hinaus gehen. Auch innerhalb der EU müssen Unternehmen ihre Daten also datenschutzkonform verarbeitet werden.

Unter der „Verarbeitung“ ist dabei unter anderem die Erhebung, Speicherung, Veränderung, Löschung, Verbreitung, Offenlegung durch Übermittlung sowie die Verwendung von personenbezogenen Daten zu verstehen. Das bedeutet, dass jede Art der Bereitstellung oder Nutzung von Daten nach der DSGVO zu beurteilen ist. 

Anwendbarkeit der DSGVO

Die Vorschriften der DSGVO für die Übermittlung von Daten ins Ausland sind nur dann einschlägig, wenn es sich um personenbezogene Daten handelt; folglich Informationen, die sich auf identifizierbare natürliche Personen beziehen. Anonyme Daten sind hiervon also ausgenommen. Auf pseudonymisierte Daten ist die DSGVO ebenfalls uneingeschränkt anwendbar, da mit Hilfe von dem notwendigem Wissen Rückschlüsse auf die Person gezogen werden können.

Sofern personenbezogene Daten erstmalig in einem Drittland erhoben werden, ist die DSGVO nicht anwendbar, da hier keine „Übermittlung“ stattfindet.

Wann ist eine Datenübermittlung ins Drittland zulässig?

Eine Datenübermittlung ins Ausland ist nur dann zulässig, wenn Unternehmen auch garantieren können, dass der Empfänger die personenbezogenen Daten ebenfalls DSGVO-Konform verarbeiten wird. Hierfür bestehen verschiedene Möglichkeiten, wie dies sichergestellt werden kann.; durch einen sog. Angemessenheitsbeschluss der EU-Kommission oder wenn geeignete Garantien bestehen.

Angemessenheitsbeschluss

Sofern ein Angemessenheitsbeschluss vorliegt, hat die EU-Kommission (durch Beschluss) festgestellt, dass in dem jeweiligen Land ein ausreichendes Datenschutzniveau gegeben ist. Diese werden im Amtsblatt der EU sowie auf der Website der Kommission veröffentlicht. Ein solcher wurde bislang für die folgenden Staaten gefasst:

  • Andorra
  • Argentinien
  • Färöer-Inseln
  • Guernsey
  • Israel
  • Isle of Man
  • Japan
  • Jersey
  • Kanada
  • Neuseeland
  • Republik Korea (Südkorea)
  • Schweiz
  • Uruguay
  • Vereinigtes Königreich

Geeignete Garantien

Fehlt ein Angemessenheitsbeschluss für ein Drittland, kann eine Übermittlung personenbezogener Daten nur auf Grundlage geeigneter Garantien erfolgen. Diese sollen in einem Drittland bestehende Mängel am Datenschutzniveau ausgleichen und so den Schutz betroffener Personen gewährleisten.

Nach Art. 46 Abs. 2 DSGVO können diese Garantien (nicht ausschließlich) in folgenden Formen bestehen:

  • einem rechtlich bindenden und durchsetzbaren Dokument zwischen den Behörden oder öffentlichen Stellen;
  • verbindlich internen Datenschutzvorschriften gem. Art. 47 DSGVO;
  • von der Kommission im Verfahren nach Art. 93 Abs. 2 DSGVO erlassenen oder genehmigten und von einer Aufsichtsbehörde angenommenen Standarddatenschutzklauseln;
  • genehmigten Verhaltensregeln gem. Art. 40 DSGVO oder einem genehmigten Zertifizierungsmechanismus nach Art. 42 DSGVO zusammen mit rechtsverbindlichen und durchsetzbaren Pflichten des Verantwortlichen/Auftragsverarbeiters im Drittland zur Anwendung der geeigneten Garantien (auch hinsichtlich der Rechte der Betroffenen).

Standarddatenschutzklauseln

Die von der EU-Kommission erlassenen Standarddatenschutzklauseln dienen als vorformulierte Vertragsklauseln, deren Anwendung keiner weiteren Genehmigung durch eine Aufsichtsbehörde bedarf. Diese genügen nicht in jedem Fall der Datenübermittlung in ein Drittland zur Herstellung eines gleichwertigen Datenschutzniveaus. Vielmehr werden regelmäßig weitere Maßnahmen nötig sein.

Verbindlich interne Datenschutzvorschriften

Mithilfe von verbindlich internen Datenschutzvorschriften können personenbezogene Daten innerhalb einer Unternehmensgruppe von einem für die Erhebung von Daten Verantwortlichen innerhalb der EU an einen Empfänger außerhalb des Geltungsbereichs der DSGVO übermittelt werden.

Ausnahmefälle

Liegt weder ein Angemessenheitsbeschluss vor, noch bestehen geeignete Garantien, kann die Übermittlung personenbezogener Daten ausnahmsweise trotzdem zulässig sein, wenn die Übermittlung

  • auf Grundlage einer ausdrücklichen Einwilligung der betroffenen Personen erfolgt
  • für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich ist
  • zum Schutz lebenswichtiger Interessen erforderlich ist
  • aus wichtigen Gründen eines öffentlichen Interesses notwendig ist
  • zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist

Unsichere Drittstaaten

Trotz dieser Maßnahmen bleibt der Datentransfer in unsichere Drittstaaten riskant. Beispielsweise sind die Standardvertragsklauseln (SCCs) und Binding Corporate Rules (BCRs) strengen Bedingungen unterworfen, und die Rechtsprechung des Europäischen Gerichtshofs (EuGH), insbesondere das „Schrems II“-Urteil, hat gezeigt, dass selbst diese Schutzmechanismen in bestimmten Fällen nicht ausreichen können. Insbesondere, wenn in einem Drittstaat weitreichende Zugriffsmöglichkeiten staatlicher Behörden auf die Daten bestehen, kann dies den Schutz, den die DSGVO verlangt, untergraben.

 

Unternehmen sollten sich der Risiken bewusst sein, die mit dem Transfer personenbezogener Daten in unsichere Drittstaaten verbunden sind, und sicherstellen, dass sie die notwendigen rechtlichen und technischen Maßnahmen ergreifen, um die Einhaltung der DSGVO zu gewährleisten. Eine sorgfältige Bewertung der jeweiligen Umstände sowie eine kontinuierliche Überwachung der datenschutzrechtlichen Entwicklungen sind unerlässlich, um rechtliche und finanzielle Risiken zu minimieren.

Welche Rechte haben Betroffene?

Bei der Übermittlung personenbezogener Daten auf Grundlage geeigneter Garantien müssen natürlichen Personen in den Art. 15 bis 21 DSGVO vorgesehene Betroffenenrechte eingeräumt werden und durchsetzbar sein. Dabei handelt es sich insbesondere um folgende Rechte: 

 

  • Recht auf Auskunft: betroffene Personen können von den Verantwortlichen eine Bestätigung verlangen, ob sie betreffende Daten verarbeitet werden, über die Art der Verarbeitung sowie eine Benennung von Empfängern der Daten
  • Recht auf Berichtigung: das Recht auf Berichtigung gibt die Möglichkeit, eine unverzügliche Berichtigung unrichtiger personenbezogener Daten zu verlangen
  • Recht auf Löschung: nach dem Recht auf Löschung können betroffene Personen von den Verantwortlichen eine unverzügliche Löschung sie betreffender Daten – etwa aufgrund unrechtmäßiger Verarbeitung – verlangen
  • Recht auf Einschränkung der Verarbeitung: in dem Fall, dass die Rechte auf Berichtigung, Löschung oder Widerspruch noch nicht durchgesetzt werden können, verleiht das Recht auf Einschränkung der Verarbeitung die Möglichkeit, die zukünftige Verarbeitung von personenbezogenen Daten der betroffenen Person einzuschränken
  • Widerspruchsrecht: nach dem Widerspruchsrecht, können Personen, deren Daten für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt, oder in Ausübung öffentlicher Gewalt verarbeitet werden, der Verarbeitung sie betreffender personenbezogener Daten widersprechen. Dieses Recht kann allerdings nur geltend gemacht werden, soweit sich der Widerspruch aus einer besonderen Situation der betroffenen Person begründen lässt
  • Recht auf Geltendmachung von Schadensersatzansprüchen innerhalb der Union oder einem Drittland

Folgen bei Verstößen gegen die Vorschriften der DSGVO

Bei Verstößen droht die Verhängung hoher Geldbußen durch die zuständigen Aufsichtsbehörden, die genaue Höhe wird dabei insbesondere anhand der Schwere der Rechtsverletzung sowie der getroffenen Vorkehrungen ab Bekanntwerden der Rechtswidrigkeit des Handelns bemessen.

Sofern Sie einen Verstoß gegen datenschutzrechtliche Vorgaben der DSGVO festgestellt haben, oder ein hinreichender Verdacht für das Vorliegen eines solchen besteht, kann es sein, dass dieser bei der Datenschutzbehörde zu melden ist.

Hierfür ist zunächst eine Risikoabschätzung erforderlich; dabei ist das Risiko vor allem anhand der Art der betroffenen Daten und des Datenschutzvorfalls, des Grades der Vertraulichkeit sowie des Missbrauchspotentials zu beurteilen. Wird ein solches Risiko festgestellt, sind Sie zur Meldung des Datenschutzvorfalls binnen 72 Stunden nach Bekanntwerden gegenüber der zuständigen Aufsichtsbehörde verpflichtet.

Besteht ein hohes Risiko für Rechte und Freiheiten natürlicher Personen, kann zudem eine Meldepflicht gegenüber den betroffenen Personen bestehen, deren Daten von dem Datenschutzvorfall betroffen sind.

Die Schwelle des „hohen Risikos“ kann entweder durch eine hohe drohende Schadensschwere oder durch eine hohe Wahrscheinlichkeit des Schadenseintritts trotz geringer Schadensschwere überschritten werden.

Ihre Spezialisten im Datenschutzrecht - Hilfe bei DSGVO

Sie haben eine Webseite erstellt und benötigen Unterstützung bei der Erstellung einer Datenschutzerklärung, Impressum oder Allgemeinen Geschäftsbedinungen? In letzter Zeit werden vermehrt Abmahnung aufgrund fehlerhafter Webseitengestaltung ausgesprochen. Daher ist es umso wichtiger, diese von einem Anwalt prüfen oder formulieren zu lassen und zukünftig Kosten zu vermeiden. Unsere Anwälte sind auf das Medienrecht spezialisiert und haben bereits unzählige Webseiten unterstützt. Kontaktieren Sie uns noch heute!

Rechtsanwalt Dr. Severin Riemenschneider, LL.M. Eur. gründete die Media Kanzlei Frankfurt | Hamburg im Jahr 2014. Er ist seit 2016 Fachanwalt für Medien- und Urheberrecht.
Media Kanzlei, Medienrechtskanzlei Logo, Medienanwälte in Frankfurt, Rechtsberatung für Presse- und Äußerungsrecht, Persönlichkeitsrechtsschutz in Deutschland, Urheberrecht, Wettbewerbsrecht, Experten, Markenrecht, Unternehmen, Privatpersonen, Coaching-Verträge, Account-Entsperrung, Filesharing-Rechtsberatung

MEDIA KANZLEI IN DEN MEDIEN

MEHRFACH AUSGEZEICHNETE KANZLEI

Dr. Severin Riemenschneider Anwalt des Jahres 2019, 2020, 2021, 2022, 2023
für Medienrecht

JUVE Ranking 2020, 2021, 2022, 2023 Presse- und Äußerungsrecht, The Legal 500 2023 Presse- und Verlagsrecht, Best Lawyers Ranking 2020, 2021, 2022, Medien- und Urheberrecht – Handelsblatt, Most Outstanding Specialist Media Law 2020, 2021 – Acquisition INTL, Legal Tech Kanzlei 2020 – Legal Tech Kanzleien, Lawyer of the Year 2019, 2020, 2021, 2022, Medienrecht – Lawyer Monthly, Media Law International (MLI) ranked firm 2018, 2019, 2020, 2021, 2022, 2023

Legal 500 Media Kanzlei
Media Kanzlei erhält Auszeichnung vom MLI
JUVE Top 50 Wirtschaftskanzleien Deutschland

Nehmen Sie Kontakt mit uns auf

To Top
Call Now Button