EU-Datenschutz-Grundverordnung (DSGVO): Internationaler Datenverkehr

Wann ist der Transfer personenbezogener Daten an Drittländer zulässig?

Lesedauer: 5 Minuten

Während der Datenverkehr innerhalb der EU aufgrund des durch die DSGVO gewährleisteten gleichen Datenschutzniveaus keinen Beschränkungen unterliegt, ist der Datenverkehr mit Drittländern¹⁾ (oder internationalen Organisationen²⁾) nur unter folgenden Voraussetzungen zulässig:

Zunächst muss die Datenverarbeitung im Inland (innerhalb der EU) den Vorgaben der DSGVO entsprechen.

Dieses unionsweit gewährleistete Schutzniveau für natürliche Personen darf bei der Übermittlung personenbezogener Daten aus der Union an Verantwortliche, Auftragsverarbeiter oder andere Empfänger in Drittländern oder an internationale Organisationen nicht untergraben werden. Dasselbe gilt auch dann, wenn aus einem Drittland (oder von einer internationalen Organisation) personenbezogene Daten an Verantwortliche oder Auftragsverarbeiter in demselben oder einem anderen Drittland (bzw. internationale Organisation) weiterübermittelt werden.

Hinweis

Ein Prüfungs- und Entscheidungsbaum findet sich unter Prüfschema Internationaler Datenverkehr.

1) „Drittländer“ sind Staaten außerhalb der EU. Nicht als „Drittländer“ gelten jedoch die EWR-Staaten (Liechtenstein, Island und Norwegen, die die Anwendbarkeit der DSGVO beschlossen haben.

2) Unter „Internationalen Organisationen“ werden völkerrechtliche Organisationen und ihre nachgeordneten Stellen oder jede sonstige Einrichtung verstanden, die durch eine zwischen zwei oder mehr Ländern geschlossene Übereinkunft oder auf der Grundlage einer solchen Übereinkunft geschaffen werden (z.B. UNO, OSZE).

Die DSGVO nennt folgende Fälle einer zulässigen Datenübermittlung an ein Drittland bzw. eine internationale Organisation:

Angemessenheitsbeschluss der Kommission

Datenübermittlungen auf der Grundlage eines Angemessenheitsbeschlusses bedürfen keiner besonderen Genehmigung durch die Aufsichtsbehörde.

Angemessenheitsbeschlüsse (Durchführungsrechtsakte der Kommission) müssen einen Mechanismus für eine regelmäßige Überprüfung, die mindestens alle 4 Jahre zu erfolgen hat, vorsehen. Die Kommission überwacht fortlaufend die Entwicklung in den entsprechenden Drittländern und widerruft, ändert oder setzt die Beschlüsse im Wege von Durchführungsrechtsakten aus, soweit Informationen vorliegen, dass das Drittland kein angemessenes Schutzniveau gewährleistet.

Angemessenheitsbeschlüsse bestehen derzeit für die Staaten Andorra, Argentinien, Färöer Inseln, Guernsey, Insel Man, Israel, Japan, Jersey, Kanada, Neuseeland, Schweiz, Südkorea, Uruguay, das Vereinigte Königreich (UK) und seit 10. Juli 2023 wieder für die USA („Adequacy decision for the EU-US Data Privacy Framework“ oder kurz „DPF“).

Achtung

Die USA ist ein Sonderfall, da personenbezogene Daten nur an jene US-Unternehmen auf Basis des DPF übermittelt werden dürfen, die sich vorab nach Selbstzertifizierung in die Data Privacy Framework List beim US Department of Commerce eintragen ließen.

Diese zertifizierten US-Unternehmen verpflichten sich damit, eine Reihe detaillierter Datenschutzverpflichtungen einzuhalten, wie z.B. die Zweckbindung, Datenminimierung, Aufbewahrungsdauer und Datensicherheit.

Vorliegen geeigneter Garantien

Ohne Genehmigung der Aufsichtsbehörde können diese geeigneten Garantien bestehen, in:

verbindlichen internen Datenschutzvorschriften (Binding Corporate Rules), die von der zuständigen Aufsichtsbehörde genehmigt worden sind.
Standarddatenschutzklauseln, die von der Kommission erlassen oder von einer Aufsichtsbehörde angenommen und von der Kommission genehmigt worden sind.

Achtung: Die Übergangsfrist der alten Standarddatenschutzklauseln, die von der Kommission erlassen wurden, liefen aus. Diese konnten nur mehr bis zum 27. Dezember 2022 herangezogen werden. Jetzt müssen die neuen Standarddatenschutzklauseln verwendet werden.

genehmigten Verhaltensregeln oder einem genehmigten Zertifizierungsmechanismus (beide zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters in dem Drittland zur Anwendung der geeigneten Garantien, einschließlich in Bezug auf die Rechte der betroffenen Personen).

Vorbehaltlich der Genehmigung durch die Aufsichtsbehörde können die geeigneten Garantien insbesondere auch bestehen in:

Vertragsklauseln, die zwischen den Verantwortlichen oder dem Auftragsverarbeiter und dem Verantwortlichen, dem Auftragsverarbeiter oder dem Empfänger der personenbezogenen Daten im Drittland vereinbart wurden.

Diese Instrumente gelten nach der Judikatur des EuGH jedoch nicht uneingeschränkt. Laut EuGH sind Verantwortliche oder Auftragsverarbeiter, die im Rahmen der Verarbeitung als Exporteure agieren, dafür verantwortlich, im Einzelfall und gegebenenfalls in Zusammenarbeit mit dem Datenimporteur im Drittland zu prüfen, ob das Recht oder die Praxis des jeweiligen Drittlandes die Wirksamkeit der oben genannten geeigneten Garantien beeinträchtigt.

Sollte eine solche Beeinträchtigung vorliegen, die dazu führt, dass im Rahmen einer Verarbeitung im jeweiligen Drittland nicht ein dem EU-Recht in der Sache gleichwertiges Schutzniveau gewährleistet werden kann, räumt der EuGH dem Exporteur noch die Möglichkeit ein, zusätzliche Sicherheitsgarantien zu ergreifen bzw. zu implementieren, um die Beeinträchtigungen zu beseitigen und dadurch die Verarbeitung auf das vom EU-Recht geforderte Niveau zu bringen (s. dazu die Information der Datenschutzbehörde: Internationaler Datenverkehr - Datenschutzbehörde (dsb.gv.at)).

Ausnahmen für bestimmte Fälle (ohne Genehmigung der Aufsichtsbehörde)

Es liegt eine ausdrückliche Einwilligung des Betroffenen (nach Unterrichtung über die Risiken einer Übermittlung ohne Vorliegen eines Angemessenheitsbeschlusses oder geeigneter Garantien) vor.
Die Übermittlung ist für die Erfüllung eines Vertrages zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich.
Die Übermittlung ist zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einer anderen natürlichen oder juristischen Person geschlossenen Vertrags erforderlich.
Die Übermittlung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich.
Die Übermittlung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder anderer Personen erforderlich, sofern die betroffene Person aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben.
Die Übermittlung ist aus wichtigen Gründen des öffentlichen Interesses notwendig oder die Übermittlung erfolgt aus einem Register, das nach dem Recht der Union oder der Mitgliedstaaten zur Information der Öffentlichkeit bestimmt ist.

Falls keine der genannten Ausnahmen vorliegt, darf eine Übermittlung an ein Drittland oder eine internationale Organisation nur dann erfolgen, wenn die Übermittlung nicht wiederholt erfolgt, nur eine begrenzte Zahl von betroffenen Personen betrifft, und für die Wahrung der zwingenden berechtigten Interessen des Verantwortlichen erforderlich ist.

Dies gilt nur, sofern die Interessen oder die Rechte und Freiheiten der betroffenen Person nicht überwiegen und der Verantwortliche geeignete Garantien in Bezug auf den Schutz personenbezogener Daten vorgesehen hat. Der Verantwortliche muss die Aufsichtsbehörde von solchen Übermittlungen in Kenntnis setzen und die betroffene Person über die Übermittlung und seine zwingenden berechtigten Interessen informieren.

Hinweis

Zu beachten sind auch die Informationspflichten für den Fall, dass Daten an ein Drittland (bzw. eine internationale Organisation) übermittelt werden sollen. Zudem müssen Übermittlungen in Drittländer (bzw. eine internationale Organisation) in das Verzeichnis von Verarbeitungstätigkeiten aufgenommen werden.

Geldstrafen

Bei Verstößen gegen die Bestimmungen zur Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen sind Geldbußen von bis zu 20 Mio. Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres vorgesehen.

Links

Angemessenheitsentscheidung der Kommission: EU-US Data Privacy Framework
Fragen und Antworten der Kommission: Questions & Answers: EU-US Data Privacy Framework
Allgemeine Informationen der Kommission: Datenschutz in der EU
Checkliste: Prüfschema Internationaler Datenverkehr
Standarddatenschutzklauseln in Word-Format („Standard contractual clauses for international transfers (Word)“ / ZIP-Download für alle Sprachfassungen)

Hinweis: Die Standarddatenschutzsklauseln sind modular aufgebaut, da sie für folgende Konstellationen von Datentransfers zur Anwendung gelangen:
MODUL EINS: Übermittlung von Verantwortlichen an Verantwortliche
MODUL ZWEI: Übermittlung von Verantwortlichen an Auftragsverarbeiter
MODUL DREI: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter
MODUL VIER: Übermittlung von Auftragsverarbeitern an Verantwortliche