EU-Datenschutz-Grundverordnung (DSGVO): Prüfschema internationaler Datenverkehr
Was ist bei internationalen Transfers von Daten zu beachten?
Lesedauer: 4 Minuten
Dieses Prüfschema zum „internationalen Datenverkehr“ erfasst Übermittlungen von personenbezogenen Daten an Drittländer oder internationale Organisationen . Es ist dabei unerheblich, ob an weitere Verantwortliche oder Auftragsverarbeiter übermittelt wird.
Vorab prüft der Verantwortliche, ob
- er für die Datenverarbeitung und die Übermittlung die allgemeinen Grundsätze der Datenverarbeitung einhält,
- eine Rechtmäßigkeitsgrundlage für die Übermittlung vorliegt, sowie
- die sonstigen Rechtspflichten (z.B. Einhaltung der Betroffenenrechte, Ergreifen geeigneter Datensicherheitsmaßnahmen, Datenschutz-Folgenabschätzung), erfüllt werden.
Prüfschritte
1. Werden personenbezogene Daten von natürlichen Personen an (gemeinsam oder weitere) Verantwortliche oder Auftragsverarbeiter übermittelt („Know your transfers“)?
Werden keine personenbezogenen Daten übermittelt, endet die Prüfung hier.
Werden personenbezogene Daten übermittelt, weiter zur Frage 2.
2. Auf welcher Rechtsgrundlage erfolgt die Übermittlung?
- Übermittlung an andere Verantwortliche: Prüfung der Grundlage für die Übermittlung von „schlicht-personenbezogenen“ oder sensiblen Daten nach den allgemeinen Grundsätzen (z.B. Einwilligung der betroffenen Person, etc.)
Übermittlungen an Auftragsverarbeiter: Es ist keine weitere Rechtmäßigkeitsgrundlage nötig, allerdings muss ein Auftragsverarbeitervertrag abgeschlossen sein.
3. Werden die Daten innerhalb des EWR-Raumes (das sind die EU-Staaten sowie die EWR-Staaten Liechtenstein, Island, Norwegen) an (weitere oder gemeinsam) Verantwortliche bzw. Auftragsverarbeiter übermittelt?
Wenn ja, sind keine weiteren Rechtsgrundlagen zu prüfen.
Wenn personenbezogene Daten in Staaten außerhalb des EWR-Raums übermittelt werden, weiter zur Frage 4.
4. Werden die Daten an (weitere oder gemeinsam) Verantwortliche bzw. Auftragsverarbeiter in Drittländer oder internationale Organisationen übermittelt?
Der Begriff „Drittländer“ umfasst Staaten, die nicht Mitglied der Europäischen Union (EU) oder des Europäischen Wirtschaftsraumes (EWR) sind. Unter „Internationalen Organisationen“ werden völkerrechtliche Organisationen und ihre nachgeordneten Stellen oder jede sonstige Einrichtung verstanden, die durch eine zwischen zwei oder mehr Ländern geschlossene Übereinkunft oder auf der Grundlage einer solchen Übereinkunft geschaffen werden (z.B. UNO, OSZE).
Übermittlungen von personenbezogenen Daten in Drittländer oder internationale Organisationen sind nur bei Erfüllung einer der nachfolgenden Voraussetzungen rechtmäßig:
4.1 Liegt für das Drittland, in das eine Datenübermittlung erfolgen soll, ein Angemessenheitsbeschluss der Europäischen Kommission vor?
Die Europäische Kommission kann mit Beschluss aussprechen, dass das Datenschutzregime des jeweiligen Drittlands ein mit der EU vergleichbares Datenschutzniveau aufweist. In diesem Fall sind keine weiteren Rechtsgrundlagen mehr zu prüfen.
Derzeit bestehen Angemessenheitsentscheidungen für folgende Staaten: Andorra, Argentinien, Färöer Inseln, Guernsey, Insel Man, Israel, Japan, Jersey, Kanada, Neuseeland, Schweiz, Südkorea, Uruguay, das Vereinigte Königreich (UK) und seit 10. Juli 2023 wieder für die USA („Adequacy decision for the EU-US Data Privacy Framework“ oder kurz „DPF“).
Die USA ist ein Sonderfall, da personenbezogene Daten nur an jene US-Unternehmen auf Basis des DPF übermittelt werden dürfen, die sich vorab nach Selbstzertifizierung in die Data Privacy Framework List beim US Department of Commerce eintragen ließen.
Diese zertifizierten US-Unternehmen verpflichten sich damit, eine Reihe detaillierter Datenschutzverpflichtungen einzuhalten, wie z.B. die Zweckbindung, Datenminimierung, Aufbewahrungsdauer und Datensicherheit.
4.2 Wenn kein Angemessenheitsbeschluss der Europäischen Kommission vorliegt: Liegen sonstige „geeigneter Garantien“ vor?
Solche „geeigneten Garantien“ können sein:
- verbindliche interne Datenschutzvorschriften (Binding Corporate Rules), die von der zuständigen Aufsichtsbehörde genehmigt worden sind
- Standarddatenschutzklauseln, die von der Kommission erlassen oder von einer Aufsichtsbehörde angenommen und von der Kommission genehmigt worden sind.
Die Übergangsfrist der alten Standarddatenschutzklauseln, die von der Kommission erlassen wurden, ist abgelaufen. Diese konnten nur bis zum 27. Dezember 2022 herangezogen werden. Jetzt müssen die neuen Standarddatenschutzklauseln verwendet werden.
Bei Datenübermittlung in unsichere Drittländer auf Grundlage von Standarddatenschutzklauseln ist eine Risikoeinschätzung nötig (Transfer-Datenschutzfolgenabschätzung, Transfer Impact Assessments oder TIA). Eine solche Analyse muss eine Beschreibung des geplanten Transfers, die allgemeinen Parameter der Analyse (z.B. Zeitraum), die Sicherheitsvorkehrungen für den Transfer und die Risikoanalyse eines problematischen Zugriffs im Zielland erfassen.
- genehmigte Verhaltensregeln oder ein genehmigter Zertifizierungsmechanismus
Bei Datenübermittlung aufgrund „geeigneter Garantien“ muss geprüft werden, ob die Garantien tatsächlich geeignet sind, um einen sicheren Transfer zu ermöglichen. Sollten weiterhin Lücken im Schutz der personenbezogenen Daten im Drittland bestehen, müssen zusätzliche effektive technische, vertragliche oder organisatorische Maßnahmen („supplementary measures“) wie bspw. Pseudonymisierungs-, Verschlüsselungs- oder ähnliche Maßnahmen eingeführt werden (s. hierzu die Empfehlungen des Europäischen Datenschutzausschusses, 2. Anhang).
4.3 Wenn weder ein Angemessenheitsbeschluss der Europäischen Kommission noch sonstige „geeignete Garantien“ vorliegen: Wird eine der nachfolgenden Voraussetzungen erfüllt?
- Es liegt eine ausdrückliche Einwilligung des Betroffenen (nach Unterrichtung über die Risiken einer Übermittlung ohne Vorliegen eines Angemessenheitsbeschlusses oder geeigneter Garantien) vor
Es ist nach derzeitigem Diskussionsstand aber fraglich, ob Datenverarbeitungen über Webseiten mit einer Einwilligung arbeiten können, weil hier nicht mehr von einem „Einzelfall“ gesprochen werden kann. Wer eine risikolose Datenverarbeitung möchte, muss sich um geeignete technische Sicherheitsmaßnahmen für die transferierten personenbezogenen Daten (Verschlüsselung, Pseudonymisierung oder Anonymisierung) kümmern oder sollte sich für europäische Alternativen entscheiden.
- die Übermittlung ist für die Erfüllung eines Vertrages zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich
- die Übermittlung ist zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einer anderen natürlichen oder juristischen Person geschlossen Vertrags erforderlich
- die Übermittlung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich
- die Übermittlung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder anderer Personen erforderlich, sofern die betroffene Person aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben
- die Übermittlung ist aus wichtigen Gründen des öffentlichen Interesses notwendig oder die Übermittlung erfolgt aus einem Register, das nach dem Recht der Union oder der Mitgliedstaaten zur Information der Öffentlichkeit bestimmt ist
4.4. Liegen keine der unter 4.1.-4.3. genannten Fälle vor?
Falls keine der genannten Ausnahmen vorliegt, darf eine Übermittlung in ein Drittland oder eine internationale Organisation nur dann erfolgen,
- wenn die Übermittlung nicht wiederholt erfolgt,
- nur eine begrenzte Zahl von betroffenen Personen betrifft, und
- für die Wahrung der zwingenden berechtigten Interessen des Verantwortlichen erforderlich ist.
Letzteres gilt nur, sofern die Interessen oder die Rechte und Freiheiten der betroffenen Person nicht überwiegen und der Verantwortliche geeignete Garantien in Bezug auf den Schutz personenbezogener Daten vorgesehen hat. Der Verantwortliche muss die Aufsichtsbehörde von solchen Übermittlungen in Kenntnis setzen und die betroffene Person über die Übermittlung und seine zwingenden berechtigten Interessen informieren.
Die Anlage "Internationaler Datenverkehr: Prüfungs- und Entscheidungsbaum" finden Sie unter Downloads.
Stand: 01.04.2024