Читать книгу Datenschutz 2020 - Regina Mühlich - Страница 16
Оглавление{Drittländer}
Europäische Union hin, Europäische Union her. Geht es um den Datentransfer ins Ausland, bietet das vereinte Europa Vorteile. Die Übermittlung in Vertragsstaaten des Europäischen Wirtschaftsraums (EWR) wie Norwegen, Island und Liechtenstein gestalten sich darüber hinaus unproblematisch.
Der Europäische Wirtschaftsraum und seine Mitglieder
Mit dem EWR, der 1994 in Kraft getreten ist, sollen die EU-Bestimmungen über den Binnenmarkt auf die Länder der Europäischen Freihandelszone (EFTA) ausgedehnt werden. Entstanden ist er durch ein Abkommen zwischen der EU und den EFTA-Staaten Island, Liechtenstein und Norwegen. Die EWR-Mitglieder bilden einen gemeinsamen Markt.
Die Schweiz dagegen ist zwar Mitglied der EFTA, aber weder EU-Mitgliedstaat noch EWR-Mitglied. Sie ist durch eine Reihe von bilateralen Verträgen mit der EU verbunden. In vielen Bereichen sind Schweizer Staatsangehörige daher EU-Bürgern gleichgestellt.
Problematisch sind Datentransfers in Länder, die weder der EU noch dem EWR angehören. Sie werden als sog. Drittländer betitelt. Die DSGVO sieht für die Datenübermittlungen in ein Drittland besondere Regelungen vor. Eine Datenübermittlung dorthin ist nur dann rechtlich zulässig, wenn entweder eine Ausnahmeregelung für die konkrete Datenübermittlung vorliegt oder wenn ein angemessenes Datenschutzniveau i. S. d. Art. 45 DSGVO – Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses durch zusätzlich ergriffene Maßnahmen sichergestellt wird.[1]
1.9.1 Drittländer mit angemessenem Datenschutzniveau
Die EU-Kommission hat gem. Art. 45 Abs. 1 DSGVO die Möglichkeit, nach entsprechender Prüfung das Bestehen eines angemessenen Schutzniveaus in bestimmten Drittländern festzustellen. Von dieser Möglichkeit hat die Kommission bereits auf Basis des BDSG a. F. Gebrauch gemacht.
Derzeit existieren Angemessenheitsbeschlüsse (in Deutsch und Englisch) für die Übermittlung personenbezogener Daten in folgende Drittländer[2]:
| •Andorra | •Jersey |
| •Argentinien | •Kanada |
| •Färöer-Inseln | •Neuseeland |
| •Guernsey | •Schweiz |
| •Isle of Man | •Uruguay |
| •Israel | •Vereinigte Staaten von Amerika (EU-U.S. Privacy Shield) |
| •Japan |
Die Europäische Kommission hat alle aufgeführten Angemessenheitsbeschlüsse noch auf Grundlage von Art. 25 Abs. 6 der RL 95/46/EG („EU-Datenschutzrichtlinie“) erlassen. Sie gelten auch nach Gültigwerden der DSGVO zum 25.05.2018 fort, solange die Europäische Kommission nicht ihre Änderung, Ersetzung oder Aufhebung beschließt (vgl. Art. 45 Abs. 9 DSGVO).
Am 23.01.2019 hat die EU-Kommission den Angemessenheitsbeschluss, der erste unter der DSGVO, für Japan angenommen und damit den weltgrößten Raum für sicheren Datenverkehr geschaffen.
| Praxistipp |
| Als Folge gilt für diese Drittländer ein vergleichbares Datenschutzniveau. Eine Datenübermittlung in jene Länder ist daher ohne eine weitere eigene Überprüfung datenschutzrechtlich zulässig. Dies entbindet den Verantwortlichen und Auftragsverarbeiter selbstverständlich nicht von seiner Verpflichtung, sämtliche sonstigen Voraussetzungen einer rechtmäßigen Datenverarbeitung, die sich aus den geltenden Datenschutzgesetzen ergeben, zu prüfen (z. B. Einhaltung der Sicherheit der Verarbeitung gem. Art. 32 DSGVO beim Auftragsverarbeiter) und zu erfüllen (z. B. Abschluss einer Vereinbarung zur Auftragsverarbeitung gem. Art. 28 Abs. 3 DSGVO). |
1.9.2 Was ist bei einer internationalen Datenübermittlung zu beachten?
Wird durch die Kommission festgestellt, dass ein angemessenes Schutzniveau {Datenschutzniveau} für personenbezogene Daten gegeben ist, ist eine Datenübermittlung ohne besondere Genehmigung möglich.
Sollte ein angemessenes Datenschutzniveau nicht vorliegen, müssen seit dem 25.05.2018 die bekannten Instrumente wie Binding Corporate Rules, Standardvertragsklauseln oder die Einwilligung des Betroffenen herangezogen werden.
Auch die Weitergabe von Daten innerhalb eines Konzerns {Konzern} (verbundene Unternehmen) stellt eine datenschutzrechtlich relevante Datenübermittlung dar. Die DSGVO kennt, wie auch das BDSG, kein Konzernprivileg {Konzernprivileg}. Ein angemessenes Datenschutzniveau setzt eine nationale Gesetzgebung in dem Drittland voraus, die die wesentlichen Datenschutzgrundsätze in einer Weise festlegt, wie sie auch für das Datenschutzrecht der EU und der EU-Mitgliedstaaten gelten. Das bedeutet, dass das Mutter- bzw. Tochterunternehmen wie ein „fremdes Unternehmen“ zu betrachten ist.
Artikel 44 ff. DSGVO regeln die Übermittlung an Drittländer oder an internationale Organisationen:
Art. 44 DSGVO – Allgemeine Grundsätze der Datenübermittlung
Jedwede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, ist nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die in diesem Kapitel niedergelegten Bedingungen einhalten und auch die sonstigen Bestimmungen dieser Verordnung eingehalten werden; dies gilt auch für die etwaige Weiterübermittlung personenbezogener Daten aus dem betreffenden Drittland oder der betreffenden internationalen Organisation an ein anderes Drittland oder eine andere internationale Organisation. Alle Bestimmungen dieses Kapitels sind anzuwenden, um sicherzustellen, dass das durch diese Verordnung gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird.
| Praxistipp |
| Der BayLfD veröffentlichte am 01.10.2018 die Orientierungshilfe „Die Datenschutz-Grundverordnung und der internationale Datenverkehr“[3]. Das Arbeitspapier richtet sich vornämlich an bayerische öffentliche Stellen. Allerdings gibt es Handlungsempfehlungen, deren Einhaltung auch für nicht öffentliche Stelle ratsam sind. Insbesondere sind geeignete Garantien und somit die technischen und organisatorischen Maßnahmen vorzusehen bzw. umzusetzen. |
1.9.3 Welche Grundsätze gelten für eine Datenübermittlung in Drittländer?
Nach der DSGVO gilt wie bisher auch: Es kommt darauf an, ob der Datenverarbeiter im Drittland ein angemessenes Datenschutzniveau einhält. Ist dies nicht der Fall, ist zu prüfen, ob eine Ausnahme für die Datenübermittlung greift. Die DSGVO sieht für Datentransfers in Drittländer folgende Möglichkeiten vor (für öffentliche Stellen gelten im Einzelfall ergänzende Regelungen):
| • | Feststellung der Angemessenheit des Datenschutzniveaus im Drittland durch die EU-Kommission (Art. 45 DSGVO) oder |
| • | Vorliegen geeigneter Garantien (Art. 46 DSGVO) – verbindliche interne Datenschutzvorschriften (Binding Corporate Rules) (Art. 46 Abs. 2 lit. b, Art. 47 DSGVO) – Standarddatenschutzklauseln der Kommission oder einer Aufsichtsbehörde (Art. 46 Abs. 2 lit. c und d DSGVO) – genehmigte Verhaltensregeln und genehmigter Zertifizierungsmechanismus (Art. 46 Abs. 2 lit. e und f DSGVO) – einzeln ausgehandelte Vertragsklauseln (Art. 46 Abs. 3 DSGVO) oder |
| • | Ausnahmen für bestimmte Fälle (Art. 49 DSGVO) – Einwilligung (Art. 49 Abs. 1 Unterabsatz 1 lit. a DSGVO) – Erforderlichkeit zur Vertragserfüllung (Art. 49 Abs. 1 Unterabsatz 1 lit. b und c DSGVO) – wichtige Gründe des öffentlichen Interesses (Art. 49 Abs. 1 Unterabsatz 1 lit. d DSGVO) – Verfolgung von Rechtsansprüchen (Art. 49 Abs. 1 Unterabsatz 1 lit. e DSGVO) – Schutz lebenswichtiger Interessen (Art. 49 Abs. 1 Unterabsatz 1 lit. f DSGVO) – Wahrung zwingender berechtigter Interessen (Art. 49 Abs. 1 Unterabsatz 2 Satz 1 DSGVO) |
1.9.4 Was müssen Anbieter mit Sitz außerhalb der EU beachten?
Gemäß Art. 3 Abs. 2 DSGVO (Räumlicher Anwendungsbereich) findet die Verordnung Anwendung, sobald ein nicht in der EU niedergelassener Verantwortlicher oder Auftragsverarbeiter Daten von betroffenen Personen, die sich in der EU befinden, verarbeitet. Man spricht hier vom sog. Marktortprinzip {Marktortprinzip} ( Kap. 1.8.5). Davon betroffen sind somit u. a. Betreiber von Online-Portalen, Versandhändler, Exporteure sowie jegliche Dienstleister, die Leistungen in der EU anbieten und dabei personenbezogene Daten verarbeiten.
Das bedeutet: Das Markortprinzip gilt, wenn ein Unternehmen weder seinen Sitz noch eine Niederlassung in der EU hat, jedoch Personen in der EU entgeltlich oder unentgeltlich Waren oder Dienstleistungen anbietet oder deren Verhalten (Profiling, Tracking) beobachtet.
| Beispiel |
| Die bloße Zugänglichkeit einer Website führt nicht automatisch zur Anwendung der DSGVO, die Verwendung einer Sprache oder Währung, die in einem oder mehreren Mitgliedstaaten der EU gebräuchlich ist, in Verbindung mit der Möglichkeit, Waren und/oder Dienstleistungen in der anderen Sprache zu verwenden (ErwG 23 DSGVO), dagegen schon. |
Unter anderem regelt Art. 3 DSGVO den räumlichen Anwendungsbereich:
Art. 3 Abs. 2 DSGVO
Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht […].
Checkliste: Drittland – Handlungsbedarfe
1. Information über die Datenübermittlung in ein Drittland
| Im Informationsblatt zur Datenverarbeitung und in der Datenschutzerklärung einer Website ist gem. Art. 13 Abs. 1 lit. f bzw. Art. 14 Abs. 1 lit. f DSGVO über die Datenübermittlung in ein Drittland zu informieren. |
2. Recht nach Auskunft
| Im Rahmen eines Auskunftsersuchens einer betroffenen Person ist sie gem. Art. 15 Abs. 1 lit. c, Abs. 2 DSGVO über die Datenübermittlung in Drittländer zu beauskunften. |
3. Verzeichnis der Verarbeitungstätigkeiten
| Im Verarbeitungsverzeichnis sind Datenübermittlungen in Drittländer gem. Art. 30 Abs. 1 lit. d und e bzw. Abs. 2 lit. c DSGVO als solche zu dokumentieren. |
4. Datenschutz-Folgenabschätzungen
| Eventuell sind DSFA (Art. 35 DSGVO) für Verarbeitungen durchzuführen oder bereits durchgeführte DSFA im Hinblick auf die neue Situation zu prüfen. |
5. Übermittlungen an Drittländer
| Es sind geeignete Garantien zum Schutz personenbezogener Daten bei der Übermittlung in ein Drittland zu schaffen, wenn keine Ausnahmetatbestände greifen (Artt. 44 ff. DSGVO). |
1.9.5 Exkurs EWR: Liechtenstein
Das Fürstentum Liechtenstein mit seiner Staatsform „konstitutionelle Erbmonarchie auf demokratischer und parlamentarischer Grundlage“ ist mit dem Zollanschlussvertrag von 1923 in den Schweizer Wirtschaftsraum eingebunden. Seit 01.05.1995 ist Liechtenstein Mitglied des EWR und nimmt damit am EU-Binnenmarkt teil. Am 20.07.2019 wurde die DSGVO im EWR wirksam.
Auch das Fürstentum Liechtenstein hat von den Öffnungsklauseln der DSGVO Gebrauch gemacht und sein Datenschutzgesetz (DSG) einer Revision unterzogen. Seit dem 01.01.2019 gelten das neue Datenschutzgesetz (DSG) sowie die neue Datenschutzverordnung (DSV).
Das DSG ist sowohl im Aufbau als auch inhaltlich stark an das BDSG angelehnt. Allerdings fehlt die besondere Pflicht zur Benennung eines Datenschutzbeauftragten (DSB) bei nicht öffentlichen Stellen.
Fußnoten:
Weitere Informationen dazu bietet die DSK mit ihrem Kurzpapier Nr. 4, auf: https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_4.pdf (zuletzt aufgerufen am: 29.01.2020).
Vgl. https://datenschutz.hessen.de/datenschutz/internationales/angemessenheitsbeschlüsse (zuletzt aufgerufen am: 29.01.2020).
Vgl. https://www.datenschutz-bayern.de/datenschutzreform2018/Internationaler_Datenverkehr.pdf (zuletzt aufgerufen am: 29.01.2020).
