Internationaler Datenverkehr
Internationaler Datenverkehr ist die Weitergabe von personenbezogenen Daten an Empfänger in Drittstaaten oder in internationalen Organisationen („Datenexport“). Die DSGVO widmet dem Internationalen Datenverkehr ein eigenes Kapitel, die diesbezüglichen Regelungen befinden sich in Art. 44-50 DSGVO. Im Unterschied zur alten Rechtslage nach der Richtlinie 95/46/EG ist der internationale Datenverkehr bis auf wenige Sonderfälle genehmigungsfrei
Beim Export personenbezogener Daten im Rahmen des internationalen Datenverkehrs sind neben den allgemeinen Grundsätzen der Verarbeitung zusätzlich die Bestimmungen zu Datenübermittlungen zu beachten.
Liegt für ein Drittland oder eine internationale Organisation ein sog. Angemessenheitsbeschluss der Europäischen Kommission vor, dürfen personenbezogene Daten im Anwendungsbereich des Angemessenheitsbeschlusses ohne zusätzliche Voraussetzungen übermittelt werden. Die Europäische Kommission stellt auf ihrer Website eine Liste der derzeit gültigen Angemessenheitsbeschlüsse zur Verfügung.
Liste (Adequacy decisions)»
Liegt kein Angemessenheitsbeschluss vor, ist die Übermittlung personenbezogener Daten nur bei Vorliegen geeigneter Garantien zulässig, die ein ausreichendes Schutzniveau sicherstellen. Die möglichen Garantieinstrumente finden sich in Art. 46 DSGVO bzw. Art. 37 der Richtlinie (EU) 2016/680. Zu beachten ist, dass neben dem Einsatz geeigneter Garantieinstrumente unter Umständen zusätzliche Maßnahmen ergriffen werden müssen. Die diesbezüglichen Empfehlungen des Europäischen Datenschutzausschusses werden im Folgenden dargestellt.
Liegt weder ein Angemessenheitsbeschluss noch ein geeignetes Übermittlungsinstrument vor, sehen Art. 49 DSGVO bzw. Art. 38 der Richtlinie (EU) 2016/680 Ausnahmen für bestimmte Fälle vor.
Kapitel V der DSGVO sieht neben einem Angemessenheitsbeschluss nach Art. 45 DSGVO auch andere Instrumente für einen rechtmäßigen Datentransfer an Drittländer vor. Diese werden in Art. 46 DSGVO (Datenübermittlung vorbehaltlich geeigneter Garantien) angeführt. Man muss jedoch dabei berücksichtigen, dass die in Art. 46 erwähnten Instrumente nicht uneingeschränkt gelten. Der EuGH hält hierzu in seiner Entscheidung zur RS C-311/18 Schrems II fest, dass Verantwortliche oder Auftragsverarbeiter:innen, die im Rahmen der Verarbeitung als Exporteure agieren, dafür verantwortlich sind, im Einzelfall und gegebenenfalls in Zusammenarbeit mit dem Datenimporteur im Drittland zu prüfen, ob das Recht oder die Praxis des jeweiligen Drittlandes die Wirksamkeit der in den Transferinstrumenten nach Art. 46 DSGVO enthaltenen geeigneten Garantien beeinträchtigt.
RS C-311/18 Schrems II »
Sollte eine solche Beeinträchtigung vorliegen, die dazu führt, dass im Rahmen einer Verarbeitung im jeweiligen Drittland nicht ein dem EU-Recht in der Sache gleichwertiges Schutzniveau gewährleistet werden kann, räumt der EuGH dem Exporteur noch die Möglichkeit ein, zusätzliche Sicherheitsgarantien zu ergreifen bzw. zu implementieren, um die Beeinträchtigungen zu beseitigen und dadurch die Verarbeitung auf das vom EU-Recht geforderte Niveau zu bringen. Der EuGH gibt jedoch nicht an, welche Maßnahmen genau zu ergreifen sind.
Um Exporteure bei dieser komplexen Aufgabe (Bewertung des Datenschutzniveaus in Drittländern und gegebenenfalls die Implementierung von geeigneten zusätzlichen Sicherheitsgarantien) zu unterstützen, hat der EDSA am 10. November 2020 Empfehlungen hierzu veröffentlicht. Diese – rechtlich nicht verbindlichen – Empfehlungen beinhalten eine Reihe von vorgeschlagenen Schritten für Exporteure, die nachstehend kurz zusammengefasst werden. Weitere Details, Informationen zu potenziellen Informationsquellen für die Bewertung von Drittländern sowie Beispiele für zusätzliche Sicherheitsgarantien finden Sie in der Empfehlung des EDSA, die untenstehend zum Download als PDF (vorerst nur auf Englisch) bereitgestellt wird.
Empfehlungen (Recommendations 01/2020) »
1. Schritt – Analysieren Sie Ihre internationalen Datentransfers („Know your transfers“)
In einem ersten Schritt sollten Sie als Exporteur zunächst alle Transfers personenbezogener Daten in Drittländer identifizieren und eine Übersicht erstellen.
Ein gemäß Art. 30 DSGVO obligatorisch zu führendes Verzeichnis von Verarbeitungstätigkeiten kann für eine erste Übersicht zu allen Transfers herangezogen werden. Das Verzeichnis sollte alle Verarbeitungstätigkeiten, die Ihrer Zuständigkeit unterliegen, umfassen. Auch allfällige Informationserteilungen Ihrerseits nach Art. 13 und 14 DSGVO an betroffene Personen könnten eine erste Übersicht über allfällige Transfers in Drittländer liefern.
Als Ergebnis sollten Sie eine Datenflussübersicht zu allen internationalen Transfers haben. Dieser erste Schritt ist essentiell, um sicherzustellen, dass die übermittelten Daten in den jeweiligen Drittländern einem nach dem EU-Recht in der Sache gleichwertigen Schutzniveau unterliegen.
2. Schritt – Identifizieren Sie das jeweilige Transferinstrument, auf das Sie den Transfer stützen wollen
Zur Auswahl stehen die in Kapitel V der DSGVO angeführten Transferinstrumente:
- Angemessenheitsbeschluss gemäß Art. 45 DSGVO
- Verbindliche interne Vorschriften gemäß Art. 46 Abs. 2 lit. b DSGVO
- Standarddatenschutzklauseln gemäß Art. 46 Abs. 2 lit. c und d DSGVO
- Genehmigte Verhaltensregeln gemäß Art. 46 Abs. 2 lit. e DSGVO
- Genehmigte Zertifizierungsmechanismen gemäß Art. 46 Abs. 2 lit. f DSGVO
- Ad hoc Standarddatenschutzklauseln gemäß Art. 46 Abs. 3 lit. a DSGVO
- Ausnahmen nach Art. 49 Abs. 1 und UAbs. 1 DSGVO
Wenn die Europäische Kommission das betreffende Drittland, eine bestimmte Region vom Drittland oder einen Sektor, in das/den Sie die Daten übertragen oder in Zukunft übertragen möchten, bereits durch einen Angemessenheitsbeschluss gemäß Art. 45 DSGVO oder gemäß der Datenschutz-Richtlinie 95/46 für „sicher“ erklärt hat, müssen Sie bis auf die laufende Kontrolle bzw. Überwachung der Gültigkeit des konkreten Angemessenheitsbeschlusses keine weiteren Schritte unternehmen.
Liegt jedoch kein solcher Angemessenheitsbeschluss für das betroffene Drittland vor, müssen Sie sich bei regelmäßigen und sich wiederholenden Transfers auf eines der in Art. 46 DSGVO angeführten Transferinstrumente stützen. Nur in bestimmten Ausnahmefällen von gelegentlichen und sich nicht wiederholenden Transfers, können Sie sich auf eine der in Art. 49 DSGVO vorgesehenen Ausnahmen berufen, wenn Sie die in Art. 49 DSGVO angeführten Voraussetzungen erfüllen.
3. Schritt – Beurteilung, ob das ausgewählte Transferinstrument, unter Berücksichtigung aller Umstände des Transfers, effektiv genug ist.
Der dritte Schritt besteht darin, zu prüfen, ob im Recht oder im Lichte der Praxis des betroffenen Drittlandes irgendwelche Aspekte bzw. Umstände vorliegen, welche die Wirksamkeit der geeigneten Garantien des ausgewählten Transferinstruments beeinträchtigten könnten. Ihre Beurteilung sollte sich in erster Linie auf die Gesetzgebung des Drittlandes beschränken, die für Ihren Transfer und das Transferinstrument nach Art. 46 DSGVO, auf das Sie sich stützen, relevant ist und dessen Schutzniveau untergraben könnte.
Ziehen Sie dazu auch den (möglichen) Datenimporteur bei, weil dieser mit dem Recht und der Praxis des Empfangsstaates vertraut sein sollte. Gewerbliche Unternehmen können sich auch an die Wirtschaftskammer Österreich als gesetzliche Interessensvertretung wenden, die - einzelfallabhängig - weiterhelfen kann:
Ansprechpartner:innen Aussenwirschaft Austria (WKO) »
Für die Bewertung von Umständen, die mit dem Datenzugriff durch Behörden zum Zwecke der Überwachung im Zusammenhang stehen, verweisen wir auf die untenstehend beigefügte Empfehlung des EDSA zu „European Essential Guarantees“.
Sollte die Beurteilung ergeben, dass Umstände vorliegen, welche die angemessenen Garantien beeinträchtigen könnten, müssen in einem vierten Schritt (siehe unten) zusätzliche Sicherheitsgarantien ermittelt und implementiert werden, um ein dem EU-Recht in der Sache gleichwertiges Schutzniveau zu gewährleisten.
Die Beurteilung des ausgewählten Transferinstruments sollten Sie jedenfalls mit gebotener Sorgfalt durchführen und gründlich dokumentieren, da Sie gegenüber den Datenschutz-Aufsichtsbehörden hierfür nach Art. 5 Abs. 2 DSGVO zur Rechenschaft verpflichtet sind (auf Anfrage einer Behörde, müssen Sie diese Beurteilung bzw. die Dokumentation darüber vorlegen können).
4. Schritt – Ermittlung und Implementierung von zusätzlichen Sicherheitsgarantien
Dieser Schritt ist, wie bereits erwähnt, nur dann erforderlich, wenn Ihre Beurteilung ergibt, dass die Gesetzgebung oder sonstige Umstände im jeweiligen Drittland die Wirksamkeit des ausgewählten Transferinstruments nach Art. 46 DSGVO beeinträchtigen. Sie müssen daher in weiterer Folge zusätzliche Sicherheitsgarantien, unter Berücksichtigung des jeweiligen Transfers und des ausgewählten Transferinstruments, ermitteln und implementieren. Die Empfehlungen des EDSA enthalten (im 2. Anhang) eine – nicht abschließende – Reihe von Beispielen für solche zusätzlichen Sicherheitsgarantien, die von Exporteuren ergriffen werden können.
Wie auch bei den geeigneten Garantien der Transferinstrumente nach Art. 46 DSGVO, können einige der zusätzlichen Sicherheitsgarantien für bestimmte Transfers in bestimmten Drittländern wirksam sein, in anderen Drittländern jedoch nicht.
Es kann durchaus auch erforderlich sein, dass Sie mehrere zusätzliche Sicherheitsgarantien kombinieren müssen (z.B. technische Sicherheitsgarantien in Kombination mit organisatorischen Maßnahmen). Es kann natürlich letztlich auch der Fall eintreten, dass Sie feststellen, dass es keine zusätzlichen Sicherheitsgarantien gibt, die gewährleisten können, dass der konkrete Transfer einem dem EU-Recht in der Sache gleichwertigem Schutzniveau unterliegt. In solchen Fällen müssen Sie den Transfer vermeiden, aussetzen oder beenden, um das Schutzniveau der personenbezogenen Daten nicht zu beeinträchtigen. Auch diese Beurteilung der zusätzlichen Sicherheitsgarantien sollten Sie mit gebotener Sorgfalt durchführen und gründlich dokumentieren.
Schritt 5 – Einleitung formeller Verfahrensschritte
Der fünfte Schritt besteht darin, alle formellen Verfahrensschritte einzuleiten, die für die finale Implementierung Ihrer zusätzlichen Sicherheitsgarantien erforderlich sein könnten, je nachdem, auf welches Transferinstrument nach Art. 46 DSGVO Sie sich berufen. In bestimmten Fällen müssen Sie die für Sie zuständige Aufsichtsbehörde kontaktieren. Im Rahmen der Empfehlungen des EDSA werden diese formalen Verfahrensschritte näher beschrieben.
Schritt 6 – Regelmäßige Kontrolle
Der sechste und letzte Schritt besteht darin, dass Sie in angemessenen Zeitabständen das Schutzniveau des Drittstaates, in den Sie Daten übermitteln, neu bewerten und überwachen, ob es Entwicklungen gegeben hat oder geben wird, die sich darauf auswirken könnten. Der Grundsatz der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO erfordert eine ständige Wachsamkeit über das Schutzniveau der personenbezogenen Daten.
Der EDSA weist zudem darauf hin, dass weiterhin Leitlinien für Exporteure entwickelt und die Maßnahmen innerhalb des EDSA koordiniert werden, um eine einheitliche Anwendung des EU-Datenschutzrechts zu gewährleisten.
Schließlich wird in Bezug auf das Transferinstrument der "Standarddatenschutzklauseln", die von der Europäischen Kommission gemäß dem Prüfverfahren nach Art. 93 Abs. 2 DSGVO genehmigt werden, darauf hingewiesen, dass eine Anpassung der aktuellen Standarddatenschutzklausen der Kommission geplant ist.
Zu den Standarddatenschutzklausen »
Relevante Dokumente und Informationen:
Empfehlungen des EDSA 01/2020 zu „zusätzlichen Sicherheitsgarantien“ vom 10.11.2020 »
Empfehlungen des EDSA 02/2020 zu „Essential Guarantees for surveillance measures“ vom 10.11.2020 »
Roadmap: grafische Darstellung aller sechs Schritte in Form eines Entscheidungsbaumes »
Siehe dazu auch die FAQs - Verpflichtungen für Unternehmen (Punkt "Datenübermittlung & Standardvertragsklauseln"):