23
Feb
2018
Datenspeicherung

Art. 29-Datenschutzgruppe: Leitlinien zur Datenübermittlung in Drittländer

Die Art. 29-Datenschutzgruppe (“Art. 29-Gruppe”) hat kürzlich neue Leitlinien zur Anwendung des Art. 49 DSGVO veröffentlicht. In dieser Norm sieht die DSGVO eine von mehreren Möglichkeiten für Unternehmen vor, die Übermittlung personenbezogener Daten in Drittländer außerhalb der EU und des EWR (“Drittländer”) rechtmäßig zu gestalten. Dabei regelt Art. 49 DSGVO Ausnahmetatbestände, in denen eine Datenübermittlung in ein Drittland ohne Angemessenheitsbeschluss der EU-Kommission und ohne geeignete Garantien (Art. 46 DSGVO) oder verbindliche interne Datenschutzvorschriften (Art. 47 DSGVO) zulässig ist.

Die Art. 29-Gruppe ist das interne Abstimmungsgremium der Datenschutzbehörden der EU. Sie veröffentlicht regelmäßig Empfehlungen und Leitlinien zum Umgang mit datenschutzrechtlichen Problemen. Den englischsprachigen Volltext der Stellungnahme zu den Ausnahmen des Art. 49 DSGVO finden Sie hier. Unternehmen sollten jedoch bedenken, dass diese Leitlinien der Art. 29-Gruppe rechtlich nicht bindend sind. Weder die nationalen Datenschutzaufsichtsbehörden noch die Gerichte müssen die Leitlinien bei ihren Entscheidungen umsetzen. Die nationalen Aufsichtsbehörden nutzen die Empfehlungen der Art. 29-Gruppe jedoch regelmäßig als Orientierungshilfe. Entsprechend können die Leitlinien auch Unternehmen einige wertvolle Hinweise auf die künftige Auslegung der DSGVO durch die nationalen Aufsichtsbehörden geben. Im Folgenden stellen wir Ihnen die für Unternehmen wichtigsten Informationen aus den veröffentlichten Leitlinien kurz dar.

Ausnahmecharakter von Art. 49 DSGVO

Zunächst betont die Art. 29-Gruppe ausdrücklich den Ausnahmecharakter der Tatbestände des Art. 49 DSGVO. Nach Ansicht der Aufsichtsbehörden sollten die Tatbestände keineswegs als Grundlage für regelmäßige Datenübermittlungen in Drittländer gewählt werden. Den Ausnahmecharakter der Vorschrift, welcher sich bereits aus der Überschrift ergibt, betonen die Datenschützer besonders.

Bei der Prüfung der Rechtmäßigkeit von Datenübermittlungen in Drittländer müssen Unternehmen immer eine zweistufige Prüfung vornehmen:

1. Zuerst muss eine Rechtsgrundlage für die Datenübermittlung an sich vorliegen.

2. Zudem muss sie den besonderen Anforderungen an Datenübermittlungen in Drittländer entsprechen.

Die Art. 29-Gruppe stellt in ihren Leitlinien klar, dass das Vorliegen eines Tatbestandes nach Art. 49 DSGVO keinesfalls das Erfordernis einer bestehenden Rechtsgrundlage auf der ersten Prüfungsebene entfallen lässt. Unternehmen müssen das Vorliegen einer Rechtsgrundlage weiterhin prüfen und auch gegebenenfalls dokumentieren können.

Einwilligungen in Datenübertragungen in Drittländer

Ein möglicher Ausnahmetatbestand für Datenübermittlungen in Drittstaaten kann gemäß Art. 49 Abs. 1 lit. (a) DSGVO auch eine Einwilligung der betroffenen Person in die grenzüberschreitende Datenübermittlung sein. Die Art. 29-Gruppe stellt klar, dass eine solche Einwilligungserklärung freiwillig, konkret, informiert und eindeutig erfolgen muss. Dabei sieht die Art. 29-Gruppe bei solchen Einwilligungen vor allem mögliche Probleme bei der notwendigen Konkretisierung und der ausreichenden Information der betroffenen Personen. Eine pauschale Einwilligungserklärung in mögliche Datenübermittlungen genügt diesen Anforderungen nach der Ansicht der Art. 29-Gruppe nicht. Unternehmen müssen daher gegebenenfalls vor einem konkreten Datentransfer eine gesonderte Einwilligungserklärung einholen.

Damit eine Einwilligungserklärung als hinreichend informiert gilt, fordern die Datenschützer, dass die betroffenen Personen zumindest die folgenden Informationen erhalten:

  • Alle Datenempfänger oder Kategorien von Datenempfängern;
  • Alle Länder, in welche die Daten übermittelt werden;
  • Die Information, dass die Einwilligung als Rechtsgrundlage für die Übermittlung wirkt;
  • Die Information, dass das Datenschutzniveau im Empfängerland unterhalb dem der EU liegt, sowie ein Hinweis auf spezifische Risiken, die sich daraus ergeben können (z. B. dass in dem entsprechenden Drittland keine Aufsichtsbehörde vorhanden ist, die Datenschutzprinzipien der DSGVO nicht eingehalten u.s.w.).

Vertragliche Rechtfertigungen für Datenübermittlungen in Drittländer

Eine weitere Möglichkeit der rechtmäßigen Datenübermittlung in Drittländer ist gemäß Art. 49 Abs. 1 lit. (b) und lit. (c) DSGVO die Erfüllung eines Vertrages mit der betroffenen Person oder eines Vertrages im Interesse der betroffenen Person. Bei diesem Tatbestand sieht die Art. 29-Gruppe eine besondere Gefahr, dass Unternehmen regelmäßige Datenübermittlungen darauf stützen. Als Beispiel erklären die Datenschützer, dass nach ihrem Verständnis die Durchführung von Mitarbeitertrainings in einem Drittland, für die regelmäßig Daten in das Land übermittelt werden, nicht dem Ausnahmecharakter des Tatbestands entspricht. Hingegen könnten Unternehmen beispielsweise die Übermittlung persönlicher Kontaktdaten eines Vertriebsleiters in ein Drittland auf diese Norm stützen, wenn der Vertriebsleiter berufsbedingt zu verschiedenen Kunden in Drittländern reist.

Datenübermittlung zur Geltendmachung von Rechtsansprüchen

Unternehmen können die Übermittlung personenbezogener Daten in Drittländer auf der zweiten Prüfungsstufe stützen, wenn dies zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen notwendig ist, Art. 49 Abs. 1 lit. (e) DSGVO. Erwägungsgrund 111 beendet dabei dankenswerterweise die Diskussion darüber, ob beispielsweise Pre-Trial-Discovery-Verfahren in den USA von dieser Ausnahmeregelung umfasst sind, indem er ausdrücklich außergerichtliche Verfahren und Verfahren auf dem Verwaltungsweg in den Anwendungsbereich einbezieht.

Die Art. 29-Gruppe betont in ihren Leitlinien, dass Unternehmen, die eine Datenübermittlung auf diesen Ausnahmetatbestand stützen wollen, genau prüfen müssen, ob nicht auch die Übermittlung anonymisierter oder pseudonymisierter Daten zu dem angegebenen Zweck ausreichend wäre. In diesem Fall wäre eine Übermittlung personenbezogener Daten nicht mehr gerechtfertigt. Inwiefern hier zum Beispiel eine explizite Anordnung eines ausländischen Gerichts zur Übermittlung der personenbezogenen Daten ausreicht, bleibt unklar. Gegebenenfalls sind Unternehmen künftig verpflichtet, zunächst das Gericht und / oder die Gegenpartei davon zu überzeugen, dass die Übermittlung anonymisierter Daten ausreicht.

Auffangtatbestand

Art. 49 Abs. 1 UAbs. 2 DSGVO hält noch einen weiteren Auffangtatbestand bereit, falls alle anderen Möglichkeiten des Kapitels V der DSGVO, eine Datenübermittlung in ein Drittland zu rechtfertigen, nicht in Betracht kommen. Neben weiteren Anforderungen kann eine Datenübermittlung danach erfolgen, wenn sie für die Wahrung berechtigter Interessen des Verantwortlichen erforderlich ist und eine Interessenabwägung zwischen dem Verantwortlichen und der betroffenen Person zu Gunsten des Verantwortlichen ausfällt. Weiterhin muss der Verantwortliche nach der Art. 29-Gruppe zwingend “geeignete Garantien” für den Schutz der personenbezogenen Daten vorsehen. Ansonsten würden im Regelfall die Interessen der Betroffenen Personen denen des Verantwortlichen überwiegen.

Auch wenn die Datenschützer ausdrücklich den absoluten Ausnahmecharakter dieses Tatbestandes betonen, erklären sie, dass eine Übermittlung auf Grundlage dieses Tatbestandes keiner ausdrücklichen Autorisierung durch die Aufsichtsbehörde bedarf. Der Verantwortliche muss jedoch die Aufsichtsbehörde über die entsprechende Übermittlung informieren.

Fazit

Die Art. 29-Gruppe betont in den Leitlinien mehrfach den absoluten Ausnahmecharakter von Art. 49 DSGVO. Entsprechend sollten Unternehmen künftig zunächst umfassend prüfen, ob nicht einer der anderen Tatbestände der Art. 46 DSGVO oder Art. 47 DSGVO die Übermittlung rechtfertigen kann. Sofern der europäische Gerichtshof die EU Standardvertragsklauseln (“SCCs”) nicht für ungültig erklären sollte, stellt der Abschluss eines Datenübermittlungsvertrags auf Grundlage von SCCs regelmäßig eine sichere und einfache Möglichkeit zur Absicherung von Datentransfers in Drittländer dar. Eine ausführliche Darstellung der Voraussetzungen der DSGVO an Datentransfers in Drittländer finden Sie in ZD 2017, 503 ff., den Sie hier im Volltext abrufen können.

 

Verfasst von Dr. Lukas Ströbel und Tim Wybitul (sind aus der Sozietät ausgeschieden)