HP COMPACT  | im Oktober 2018  |

Marc-André Delp, M.L.E., Rechtsanwalt in Hannover,
Fachanwalt für Internationales Wirtschaftsrecht |

Die Einführung der Datenschutz-Grundverordnung (DSGVO) hat in den letzten Monaten die Unternehmen stark beschäftigt. Interne Umsetzungsprozesse wurden in Gang gesetzt, gleichwohl gibt es noch Unsicherheiten im Umgang mit der DSGVO.

Für international tätige Unternehmen gilt es noch einen weiteren Aspekt der DSGVO zu beachten: Die Übermittlung der personenbezogenen Daten über die Grenzen der EU hinaus. Man spricht hier von Datenübermittlung in Drittländer, geregelt in den Artikeln 44 bis 49 der DSGVO. Die Übermittlung bezeichnet die Offenlegung personenbezogener Daten an einen Empfänger in einem Drittland, auf die Art der Offenlegung bzw. die Offenlegung gegenüber dem Dritten kommt es dabei nicht an. Ziel ist, dass das Datenschutzniveau der DSGVO auch bei Datenübermittlung in Drittländer erhalten bleibt.

 

Zwei-Stufen-Prüfung

Diese Datenübermittlung setzt zunächst voraus, dass die grundsätzlichen und allgemein bekannten Anforderungen der DSGVO eingehalten werden. Ist dies nicht der Fall, bedarf es keiner weiteren Prüfung hinsichtlich der Übermittlung personenbezogener Daten ins Ausland. Erst in einem zweiten Schritt sind die Anforderungen an die Datenübermittlung in Drittländer zu prüfen.

 

Datenübermittlung in Drittländer

Für die Datenübermittlung in Drittländer sieht die DSGVO drei Regelungen vor:

  • Feststellung der Angemessenheit des Datenschutzniveaus im Drittland durch die EU-Kommission (Artikel 45),
  • Vorliegen geeigneter Garantien (Artikel 46) und
  • Ausnahmen für bestimmte Fälle (Artikel 49).

 

Angemessenheitsbeschluss

Die Angemessenheit des Datenschutzniveaus im Drittland kann nur durch die EU-Kommission festgestellt werden, nicht hingegen durch die einzelnen Mitgliedstaaten. Bieten Drittländer ein angemessenes Datenschutzniveau, vergleichbar mit dem Niveau der DSGVO, stellt die EU-Kommission dies durch Beschluss fest. Anschließend dürfen personenbezogene Daten in diese Länder ohne weitere Genehmigungen übermittelt werden. Die Angemessenheitsbeschlüsse werden von der Kommission mindestens alle vier Jahre überprüft. Angemessenheitsbeschlüsse, die vor der Geltung der DSGVO erlassen wurden, behalten bis zur nächsten Überprüfung zunächst ihre Gültigkeit. Angemessenheitsbeschlüsse bestehen für Andorra, Argentinien, Kanada (Commercial Organisation), Färöer Inseln, Guernsey, Israel, Isle of Man, Jersey, Neuseeland, Schweiz, Uruguay, USA (begrenzt auf den Privacy Shield). Seit dem 05. September 2018 steht fest, dass auch für Japan ein Angemessenheitsbeschluss folgen soll. Zusätzlich laufen Gespräche mit Südkorea; Dialoge mit Indien, Brasilien und  Paraguay sind geplant.

Vorteile der Angemessenheitsbeschlüsse sind die hohe Rechtssicherheit und die Massentauglichkeit. Nachteil ist, dass es keine dauerhafte Übermittlungsgarantie gibt, da mindestens alle vier Jahre eine Überprüfung durch die EU-Kommission stattfindet.

 

Geeignete Garantien

Fehlt ein Angemessenheitsbeschluss können personenbezogenen Daten nur auf Grundlage geeigneter Garantien des Verantwortlichen oder des Auftragsverarbeiters übermittelt werden. Die Garantien haben ein geeignetes Schutzniveau zu gewährleisten. Hierzu zählen:

  • verbindliche interne Datenschutzvorschriften (Bindig Corporate Rules),
  • Standarddatenschutzklauseln der EU-Kommission oder einer Aufsichtsbehörde,
  • genehmigte Verhaltensregeln und genehmigter Zertifizierungsmechanismus sowie
  • einzeln ausgehandelte Vertragsklauseln.

Bei den Garantien sind den betroffenen Personen durchsetzbare Rechte und Rechtsbehelfe einzuräumen.

 

Binding Corporate Rules (BCR) sind Vorschriften, die sich Konzerne oder Gruppen von Unternehmen bei der Ausübung einer gemeinsamen Wirtschaftstätigkeit selber auferlegen können und die dann für alle beteiligten Unternehmen gelten. Die geeigneten BCR sind von der zuständigen nationalen Aufsichtsbehörde zu genehmigen. Die einmal genehmigten BCR können als Grundlage der Datenübermittlung genutzt werden, ohne dass es im Einzelfall weiterer Genehmigung zur Übermittlung personenbezogener Daten bedarf. Voraussetzung für die Genehmigung ist eine rechtliche Verbindlichkeit für die beteiligten Unternehmen, durchsetzbare Rechte für die betroffenen Personen sowie die Einhaltung der Mindestanforderungen nach Artikel 47 Absatz 2 DSGVO. BCR bieten sich für Unternehmensgruppen an, die aus einem herrschenden Unternehmen und von diesem abhängigen Unternehmen bestehen. Vorteil ist die hohe Rechtsicherheit und Transparenz sowie eine Massentauglichkeit. Zusätzlich sind die BCR auch auf Unternehmen/Konzerne und deren Handlungsweisen abgestimmt. Weiterhin wird ein einheitliches internes Datenschutzniveau (auch nach außen) gewährleistet. Nachteil ist das aufwendige Genehmigungsverfahren und damit verbunden der hohe Zeitaufwand.

 

Standardvertragsklauseln werden von nationalen Aufsichtsbehörden festgelegt sowie anschließend von der EU-Kommission genehmigt oder von der EU-Kommission direkt erlassen. Danach sind die Standardvertragsklauseln ohne weitere Genehmigung nutzbar. Auch hier bedarf der Datentransfer keiner weiteren Genehmigung. Dies gilt allerdings nur, sofern die Klauseln nicht verändert werden. Kommen Klauseln hinzu oder werden bestehende Klauseln verändert und widersprechen den genehmigten Regelungen, entfällt die Genehmigung. Vorteil gegenüber den BCR ist, dass es sich schon um fertig ausgearbeitete Klauseln handelt, die nur noch übernommen werden müssen. Zusätzlich können die Standardvertragsklauseln nicht nur intern im Konzern, sondern auch gegenüber Drittunternehmen genutzt werden. Die EU-Kommission hat bereits drei Pakete von Klauseln erlassen: Entscheidung EU-Kommission 2001/497/EG vom 15.06.2001 zu Standardvertragsklauseln, Entscheidung EU-Kommission 2004/915/EG vom 15.06.2001 zur Einführung alternativer Standardvertragsklauseln für Übermittlung von Daten von einem EU-Verantwortlichen zu einem Verantwortlichen in einem Drittland sowie Beschluss der EU-Kommission 2010/087/EU vom 05.02.2010 zu Standardvertragsklauseln für Übermittlung an Auftragsverarbeiter in Drittländern. In diesen Klauseln finden sich Formulierungen, die die Unternehmen einsetzen können. Vorteil der Standardvertragsklauseln ist ein kurzfristiger Einsatz, da die vorformulierten Klauseln nur übernommen werden müssen. Zusätzlich sind keine gesonderten Genehmigungen für einzelne Datenübermittlungen notwendig. Nachteil ist, dass die Standardvertragsklauseln nicht auf konkrete Bedürfnisse der Unternehmen/Konzerne anpassbar sind. Konzernunternehmen in Drittstaaten unterwerfen sich durch die Standardvertragsklauseln dem EU-Recht. Auch besteht die Möglichkeit, dass die EU-Kommission die Standardvertragsklauseln nachträglich ändert und die Unternehmen darauf sofort reagieren und ihre verwendeten Klauseln anpassen müssten.

 

Genehmigte Verhaltensregeln (Codes of Conduct) sind branchen-, sektor- oder verbandspezifische Richtlinien. Diese gelten somit für bestimmte Industriesektoren oder bestimmte Organisationen, die eigene Verhaltensregeln für ihre Branche zur Verarbeitung personenbezogener Daten schaffen können. Die genehmigten Verhaltensregeln müssen rechtsverbindliche und durchsetzbare Verpflichtungen des Verantwortlichen oder Auftragsverarbeiters enthalten. Die Verhaltensregeln sind von der nationalen Aufsichtsbehörde und vom EU-Datenschutzaus-schuss veröffentlicht. Vorteile der genehmigten Verhaltensregeln ist ebenfalls, dass es keiner gesonderten Genehmigung für die Datenübermittlung personenbezogener Daten bedarf. Nachteil ist die notwendige Kooperationsbereitschafft des zuständigen Verbandes sowie ein erheblicher Aufwand.

 

Zusätzliche Garantien können durch Zertifizierungsmechanismen erreicht werden. Zertifizierungen sind durch nationale Aufsichtsbehörden oder akkreditierte Zertifizierungsstellen durchzuführen, der Zertifizierungsmechanismus muss vorab genehmigt werden (Zertifizierung, Siegel, Prüfzeichen). Vorteil der Zertifizierungsmechanismen sind eine hohe Rechtsicherheit und Transparenz, Nachteil ist das aufwändige Zertifizierungsverfahren.

 

Genehmigte Vertragsklauseln, selbstgestaltete Vertragsklauseln oder geänderte Standarddatenschutzklauseln, können geeignete Garantien darstellen, wenn Sie von einer nationalen Aufsichtsbehörde geprüft und genehmigt wurden. Vorteil ist die individuelle Gestaltbarkeit und eine hohe Rechtsicherheit, Nachteil aber ein aufwendiges Prüfverfahren.

 

Ausnahmen für bestimmte Fälle

Wenn weder ein Angemessenheitsbeschluss noch Garantien vorliegen, sind möglicherweise Ausnahmen für die Übermittlung personenbezogener Daten gegeben. Die in Artikel 49 aufgelisteten Ausnahmetatbestände sind aber aufgrund der abgestuften Prüfung nur im Rahmen einer engen Auslegung anzuwenden. Zusätzlich sind die in Artikel 49 aufgelisteten Fälle ausdrücklich und abschließend geregelt.

Zu den Ausnahmen gehören Einwilligung, Erforderlichkeit zur Vertragserfüllung, wichtige Gründe des Öffentlichen Interesses, Verfolgung von Rechtsansprüchen, Schutz lebenswichtiger Interessen sowie Wahrung zwingender berechtigter Interessen.

Die Einwilligung ist eine ausdrückliche Einwilligung der betroffenen Person in die Weitergabe personenbezogener Daten in ein Drittland in einen konkreten Fall. Vorab ist die Person angemessen zu informieren, einschließlich konkreter Zweckbestimmung und Risikobelehrung. Der betroffenen Person ist dazulegen, dass möglicherweise kein angemessenes Datenschutzniveau im Drittland gewährleistet wird, möglicherweise auch eine schwierige Durchsetzung von betroffenen Rechten zu erwarten ist. Der betroffenen Person ist zusätzlich ein Widerrufsrecht einzuräumen. Die Einwilligung als Basis für wiederholte und auf Dauer angelegte sowie massenhafte Übermittlung in Drittländer wird von Aufsichtsbehörden kritisch beurteilt.

Die Ausnahme im Rahmen der Vertragserfüllung darf nur gelegentlich erfolgen und bedarf einer strikten Erforderlichkeit. Die Datenübermittlung ins Drittland muss erforderlich sein zur Erfüllung eines Vertrages mit der betroffenen Person oder zum Abschluss oder Erfüllung eines Vertrages im Interesse der betroffenen Person.

Ein wichtiges Öffentliches Interesse muss im Unionsrecht oder im Recht des Mitgliedstaates, dem der Verantwortliche unterliegt, anerkannt sein.

Eine Datenübermittlung in ein Drittland ist zur Verfolgung von Rechtsansprüchen möglich, wenn dieses erforderlich ist, es darf allerdings nur gelegentlich erfolgen.

Der Schutz lebenswichtiger Interessen bedeutet, dass eine betroffene Person aus physischen oder rechtlichen Gründen die Einwilligung nicht erteilen kann. Hier kann die Datenübermittlung in das Drittland erfolgen, wenn sie erforderlich ist, um die lebenswichtigen Interessen der betroffenen Person oder einer anderen Person zu schützen.

Die Ausnahmen des zwingenden berechtigten Interesses sind der Auffangtatbestand unter den Ausnahmen. Sie stellt die allerletzte Möglichkeit der Rechtfertigung dar. Hierbei darf die Übermittlung von Daten nicht wiederholt erfolgen, es darf nur eine begrenzte Anzahl von Personen betroffen sein. Für den Verantwortlichen muss sich ein überwiegendes (zwingendes) Interesse ergeben, eine Gesamtbeurteilung des Verantwortlichen muss erfolgen und geeignete Garantien müssen die personenbezogenen Daten schützen. Die Übermittlung muss zwingend erforderlich sein für die Ausübung des berechtigten Interesses. Zusätzlich sind die zuständige Aufsichtsbehörde und die betroffene Person zu informieren.

 

Übermittlung von Beschäftigtendaten im Konzern

Für Konzerne gibt es kein Konzernprivileg. Das bedeutet, dass die Übermittlung der personenbezogenen Daten in Konzerne in Drittstaaten immer eine Übermittlung an Dritte darstellt.

 

Sonderfall Brexit

Wenn Großbritannien am 29. März 2019 die EU verlässt, wird Großbritannien aus datenschutzrechtlicher Sicht als Drittland gelten. Dieses kann durch Vereinbarungen zwischen der EU und Großbritannien verhindert werden. Aus diesem Grunde sollten deutsche Unternehmen vorsichtshalber vertragliche Vorkehrungen mit Dienstleistern in Großbritannien treffen.

 

Fazit

Die DSGVO sieht für die Übermittlung personenbezogener Daten in Drittländer besondere Anforderungen vor. Ziel ist es, das hohe Datenschutzniveau der DSGVO auch im Verhältnis zu Drittstaaten zu gewährleisten. Dabei müssen die grundsätzlichen Anforderungen der DSGVO zunächst eingehalten werden. Erst in einem zweiten Schritt ist zu prüfen, ob auch die zusätzlichen Anforderungen an einen Datentransfer ins Drittland erfüllt sind. Für international aufgestellte Unternehmen bedeuteten diese Regelungen einen zusätzlichen Prüfungsaufwand.

In voller Länge haben wir für Sie das Compact nachfolgend zum kostenlosen Download bereitgestellt.

Dateien:
hp-compact-2018-12-datenschutz-im-auslandsgeschft

Sprechen Sie uns an!

Tel: +49 511-30756-0
Oder schreiben Sie uns:

    * Pflichtfeld

    Ich erkläre mich mit der Übertragung meiner Daten über ein gesichertes Formular einverstanden.*