EU-DS-GVO und der Datenschutz in Ländern außerhalb der EU
Die EU-Datenschutzgrundverordnung – kurz DS-GVO – regelt die gesetzlichen Grundlagen der Verarbeitung von personenbezogenen Daten für alle Länder innerhalb der Europäischen Union (EU). Für diese ist die DS-GVO zwingend gültig.
Was passiert aber, wenn die personenbezogenen Daten von Betroffenen diesen durch die DS-GVO geregelten Raum verlassen? Nicht-EU-Mitgliedstaaten gelten als Drittländer und müssen sich erst einmal nicht an die EU-DS-GVO halten.
Um eine Absenkung des Datenschutzniveaus außerhalb des Europäischen Rechtsraums bei der Datenübermittlung zu verhindern, gibt es verschiedene gesetzliche Grundlagen. Ziel ist hierbei die Sicherstellung des Schutzniveaus bei der Übermittlung der Daten in ein sogenanntes Drittland.
Mögliche Absenkung des Datenschutzniveaus im Drittland
Da nach den Vorgaben der EU-DS-GVO unterstellt wird, dass in einem Drittland ein potentiell niedrigeres Datenschutzniveau vorliegt, muss bei einer möglichen Übermittlung eine zusätzliche Rechtsgrundlage geprüft werden (Zwei-Stufen-Prüfung). Man geht erst einmal davon aus, dass durch die Übermittlung personenbezogener Daten in ein Drittstaat ein Risiko für den Betroffenen bestehen könnte – insbesondere für das Recht auf die informationelle Selbstbestimmung. Die Prüfung, ob eine Datenübermittlung rechtlich erlaubt ist, muss nun also in zwei Schritten erfolgen und entsprechende Grundlagen erfüllen.
In der ersten Stufe muss sichergestellt werden, dass die Datenübermittlung an sich zulässig ist. Hierbei wird geprüft, ob eine Rechtsgrundlage nach den Vorgaben der DS-GVO vorliegt:
„Artikel 6 Rechtmäßigkeit der Verarbeitung
(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
- Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
- die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
- die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
- die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
- die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
- die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.“
Artikel 6 Abs. 1 EU-DS-GVO
Zwei Stufen der Rechtsgrundlagen
Wenn die Datenübermittlung nach den Vorgaben der DS-GVO zulässig ist, muss ein sogenannter Erlaubnisbestand nach Art. 45 bis Art 49 gegeben sein. Im Moment gelten dazu die Angemessenheitsbeschlüsse der EU-Kommission, geeignete Garantien oder Ausnahmeregelungen.
Übermittlung in Drittstaaten – Angemessenheitsbeschluss der EU-Kommission
Beim Angemessenheitsbeschluss prüft und beurteilt die EU-Kommission, ob der Datenschutz im Drittland den Vorgaben entspricht. Liegt ein Angemessenheitsbeschluss vor, ist die Übermittlung von personenbezogenen Daten erlaubt. Derzeit (August 2021) liegen für folgende Länder Angemessenheitsbeschlüsse vor:
- Andorra
- Argentinien
- Färöer-Inseln
- Großbritannien (seit 28.06.2021 – vorerst nur für 4 Jahre, danach erneute Prüfung)
- Guernsey
- Isle of Man
- Israel
- Japan
- Jersey
- Kanada
- Neuseeland
- Schweiz
- Uruguay
Übermittlung in Drittstaaten – geeignete Garantien und weitere Ausnahmen
Auch wenn kein Angemessenheitsbeschluss der EU-Kommission vorliegt, kann eine Übermittlung der Daten rechtmäßig sein, wenn geeignete Garantien des Drittlandes vorliegen, die das Datenschutzniveau sicherstellen. Dabei kann das Datenschutzniveau sichergestellt werden, indem rechtliche bindende und durchsetzbare Dokumente zwischen den Behörden bestehen. Eine weitere Möglichkeit ist gegeben, wenn verbindliche interne Datenschutzvorschriften zwischen den Datenverarbeitern erstellt werden oder Standarddatenschutzklauseln (auch Standardvertragsklauseln), welche von der EU-Kommission oder der zuständigen Aufsichtsbehörde genehmigt sind genutzt werden. Auch sogenannte genehmigte Verhaltensregeln können eine geeignete Garantie zur Übermittlung von personenbezogenen Daten in Drittstaaten darstellen.
Wenn die gesetzlichen Vorgaben wie geeignete Garantien oder Angemessenheitsbeschluss der Europäischen Kommission nicht greifen, kann es noch Ausnahmen geben, unter welchen die Übermittlung von personenbezogenen Daten in einen Drittstaat möglich sind. Hierzu gehört zum Beispiel, dass der Betroffene der Übermittlung ausdrücklich zugestimmt hat, die Übermittlung für eine Vertragserfüllung oder aus wichtigen Gründen des öffentlichen Interesses notwendig ist.
Welche Länder gehören im Datenschutz zu den Drittstaaten?
Alle Staaten, welche nicht der EU oder dem Europäischen Wirtschaftsraum (EWR) angehören, zählen derzeit zu Drittländern. Neben den EU-Mitgliedstaaten sind dies also auch nicht die EWR-Mitgliedsstaaten (Island, Liechtenstein und Norwegen). Seit dem Austritt aus der EU zählt jedoch Großbritannien als Drittland.
Worauf muss man achten, wenn man personenbezogene Daten in Drittländer übermittelt?
Achten Sie darauf, dass eine Übermittlung nach der Zwei-Stufen Prüfung über eine Rechtsgrundlage verfügt. Ansonsten dürfen personenbezogene Daten nicht in Drittstaaten übermittelt werden. Stufe eins definiert die Übermittlung nach Artikel 6 der DS-GVO – Stufe zwei bildet eine zusätzliche Absicherung des Datenschutzes für die Übermittlung in Länder, in denen die DS-GVO keine gesetzliche Grundlage bildet.
Für wen gelten die Vorgaben im Datenschutz?
Grundsätzlich muss sich jede Organisation, die personenbezogene Daten regelmäßig verarbeitet, an die Vorgaben der EU-Datenschutzgrundverordnung halten. Dazu können neben unterschiedlichen Unternehmen auch Schulen, Vereine, Kindergärten, Dienstleister und andere Bereiche gehören. Die Größe der jeweiligen Organisation ist dabei unerheblich.
Es ist dabei auch egal in welcher Form die personenbezogenen Daten verarbeitet werden. Dazu gehört zum Beispiel auch das Speichern, Aufbewahren, Löschen oder Vernichten der personenbezogenen Daten. Erfolgt eine Verarbeitung der personenbezogenen Daten in einem Drittland oder werden diese an ein Drittland übermittelt (z.B. auch bei der Nutzung von Servern und Clouds oder der Übermittlung über einen E-Mail-Server im Drittland), muss geprüft werden, ob eine der oben genannten Regeln greift bzw. notwendig ist.
In einigen Fällen macht es daher Sinn, die Übermittlung von personenbezogenen Daten durch einen externen Datenschutzbeauftragten prüfen und bewerten zu lassen. Sollten Sie Unterstützung bei dieser Fragestellung benötigen, steht Ihnen das Team von Datenschutzberater.NRW im GKöln, Düsseldorf, Bonn, Siegen, Gummersbach, Siegburg und ganz NRW gerne zur Verfügung. Nehmen Sie einfach Kontakt zu uns auf.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.