Zum Inhalt springen Zur Navigation springen
Datenübermittlung in Drittländer ohne angemessenes Schutzniveau

Datenübermittlung in Drittländer ohne angemessenes Schutzniveau

Werden personenbezogene Daten in ein Drittland übermittelt, ist ein angemessenes Schutzniveau sicherzustellen. Liegt kein Angemessenheitsbeschluss der Europäischen Kommission vor, bleibt regelmäßig nur der Rückgriff auf Standardvertragsklauseln oder andere ausreichende Garantien. Wir zeigen auf, wann hierauf verzichtet werden kann.

Der Artikel für bestimmte Fälle

In einem früheren Beitrag haben wir näher erläutert, welche Voraussetzungen an eine Datenübermittlung in ein Drittland geknüpft sind und welche Hürden an eine hierfür eingeholte Einwilligung gem. Art. 49 Abs. 1 lit.a) DSGVO bestehen.

Art. 49 DSGVO enthält neben der Einwilligung noch weitere Erlaubnistatbestände, welche bei einer Drittlandübermittlung die Anforderung an die Sicherstellung eines angemessenen Schutzniveaus entbehrlich machen können.

Hierzu zählen Datenübermittlungen

  • Zur Vertragserfüllung / im Rahmen der Vertragsanbahnung
  • Zur Vertragserfüllung mit einem Dritten
  • Aus wichtigen Gründen des öffentlichen Interesses
  • Zur Ausübung oder Verteidigung von Rechtsansprüchen
  • Zum Schutz lebenswichtiger Interessen
  • Zur Übermittlung von Registerdaten
  • Wenn die Erforderlichkeit zur Wahrung zwingender berechtigter Interessen des Verantwortlichen besteht

Restriktive Handhabung

Art. 49 DSGVO steht damit in Widerspruch zu den Vorgaben aus Art. 46 ff. DSGVO, was den Hintergrund hat, dass der Gesetzgeber eine gewisse Flexibilität bei erforderlichen Datenübermittlungen in Drittländer gewährleisten wollte. Art. 49 DSGVO ist jedoch kein Grund, die mühsam eingeführten Standardvertragsklauseln bei der nächsten Weihnachtsfeier in den Kamin zu werfen. Denn dessen Anwendbarkeit unterliegt strengen Voraussetzungen. Außerdem werden Verstöße gegen Vorschriften zum Drittlandtransfer mit dem höheren Bußgeldrahmen gem. Art. 83 Abs. 5 DSGVO geahndet, welcher für Verstöße Bußgelder von bis zu 20.000.000 € oder 4 % des weltweiten Konzernjahresumsatzes vorsieht. Aufgrund des Ausnahmecharakters von Art. 49 DSGVO ist daher eine restriktiv Handhabung geboten. Diese lässt sich in die Voraussetzung der „strikten Erforderlichkeit“ übersetzen. Mit anderen Worten: Ist die Übermittlung für einen der in Art. 49 DSGVO aufgezählten Fälle nicht strikt erforderlich, kommt eine Anwendung der Ausnahmevorschriften nicht in Betracht.

Erlaubnistatbestände nach Art. 49 DSGVO

Die Erlaubnistatbestände, nach denen eine Übermittlung ausnahmsweise ohne Sicherstellung eines angemessenen Schutzniveaus erlaubt sein kann, stellen sich wie folgt dar:

Zur Vertragserfüllung / im Rahmen der Vertragsanbahnung

Im Fall des Art. 49 Abs. 1 lit. b) DSGVO muss der Betroffene Vertragspartei des Verantwortlichen sein, oder aber den Abschluss eines Vertrags mit dem Verantwortlichen angeregt haben.

Die Datenübermittlung muss zur Vertragserfüllung tatsächlich erforderlich sein. Datenübermittlungen, die nicht der unmittelbaren Vertragsdurchführung dienen, wie beispielsweise für Marketingmaßnahmen, lassen sich daher nicht auf Art. 49 Abs. 1 lit.b) DSGVO stützen.

Beispielhaft hierfür wären z.B. Banküberweisungen einer europäischen Bank an eine außereuropäische Stelle oder der Vertrag mit einem im Drittland ansässigen Luftfahrtunternehmen, das zur Vertragsdurchführung Daten des Betroffenen benötigt.

Zur Vertragserfüllung mit einem Dritten

Art. 49 Abs. 1 lit.c) DSGVO umfasst im Unterschied zu Art. 49 Abs. 1 lit.b) DSGVO diejenigen Fälle, in denen die betroffene Person nicht mehr selbst Vertragspartei ist, sondern ein Vertrag zwischen dem Verantwortlichen und einem im Drittland befindlichen Dritten Rechtsgrundlage für die Übermittlung ist. Auch hier muss die strikte Erforderlichkeit der Übermittlung für die Vertragsdurchführung gegeben sein. Da Verträge zulasten Dritter mit den Grundsätzen der Privatautonomie jedoch nicht vereinbar sind, ist zusätzlich erforderlich, dass der Vertrag im Interesse der betroffenen Person erfolgt (und damit letztlich für diesen begünstigend ist).

Hier kommt die Weitergabe von Daten an Transportunternehmen im Versandhandel in Betracht oder Reservierungen und Verträge zwischen örtlichem Reiseunternehmen und Dienstleistern im Drittland.

Notwendigkeit aus wichtigen Gründen des öffentlichen Interesses

Auch sind Übermittlungen erlaubt, die aus wichtigen Gründen des öffentlichen Interesses notwendig sind. Es muss sich um einen wichtigen Grund handeln und das öffentliche Interesse muss anerkannt sein.

Erwägungsgrund 112 der DSGVO nennt hier etwa den Datenaustausch zwischen Wettbewerbs-, Steuer- oder Zollbehörden, Finanzaufsichtsbehörden, zwischen für Angelegenheiten der sozialen Sicherheit oder öffentlichen Gesundheit zuständigen Diensten.

Zur Ausübung oder Verteidigung von Rechtsansprüchen

Wie auch an anderen Stellen im Datenschutzrecht (siehe Art. 17 Abs. 3 lit. e) DSGVO oder § 34 Abs. 1 Nr.2 lit.a) BDSG) wird in Art 49 Abs. 1 lit.e) DSGVO dem Interesse an der Verfolgung und Realisierung von Rechtsansprüchen Vorrang vor dem Datenschutzinteresse des Betroffenen eingeräumt. Trotzdem ist auch hier in jedem Fall sicherzustellen, dass die Datenübermittlung für die Rechtsverteidigung- oder die Ausübung von Rechtsansprüchen tatsächlich erforderlich ist und nur hierfür notwendige Daten übermittelt werden.

Zum Schutz lebenswichtiger Interessen

Die Erlaubnis nach Art. 49 Abs. 1 lit. f) DSGVO kommt nur bei höchstrangigen Interessen in Betracht, insbesondere wenn es um die körperliche Unversehrtheit und das Leben geht. Dem Wortlaut nach darf die betroffene Person psychisch oder physisch nicht in der Lage sein, eine Einwilligung zu erteilen.

Hier ist insbesondere an die Weitergabe medizinischer Daten für eine Behandlung eines bewusstlosen Betroffenen im Ausland zu denken oder die Übermittlung personenbezogener Daten an humanitäre Organisation um Aufgaben der Genfer Konventionen auszuführen (ja, auch solche Einsatzfelder werden von der DSGVO prinzipiell abgedeckt).

Zur Übermittlung von Registerdaten

In öffentlichen (!) Registern einsehbare Daten dürfen ohne Angemessenheitsbeschluss oder geeignete Garantien in Drittländer übermittelt werden, da es hier an einer Schutzbedürftigkeit der Betroffenen meistens fehlen wird. Umfasst sind sämtliche öffentliche Stellen, die Informationen der breiten Öffentlichkeit oder auch speziellen Personenkreisen mit einer niedrigen Zugangsschwelle zur Verfügung stellen. Um die Anwendbarkeit auf Registerdaten nicht ins uferlose ausarten zu lassen, besteht nach Art. 49 Abs. 2 S. 2 die Einschränkung, dass eine Auslandsübermittlung nur in dem Umfang rechtmäßig sein kann, in der auch eine Einsichtnahme im Inland zulässig wäre. Setzt die Einsicht ins Register von Gesetzes wegen ein berechtigtes Interesse voraus, muss dieses daher auch beim Drittlandempfänger vorliegen.

Die Erlaubnis nach Art. 49 Abs. 1 lit. g) DSGVO betrifft daher etwa Übermittlungen von Daten aus Handelsregistern, Vereinsregistern, dem Bundeszentralregister oder Grundbüchern.

Erforderlichkeit zur Wahrung zwingender berechtigter Interessen des Verantwortlichen

Daneben gibt es in Art. 49 Abs. 1 S. 2 DSGVO noch einen weiteren Auffangtatbestand, der in den Fällen, in denen sich die Übermittlung auf keine der genannten Grundlagen mehr stützen lässt, ausnahmsweise in Betracht kommen kann. Die umfangreichen Voraussetzungen hierzu sollen jedoch in einem anderen Artikel dargestellt werden.

Flexibilität bei Drittlandtransfers

Zusammenfassend ermöglicht die Anwendung von Art. 49 DSGVO auch solche Datenübermittlungen, für die ein vorheriger Abschluss von Standardvertragsklauseln schlicht impraktikabel wäre. Gleichzeitig wird durch das Erfordernis der strikten Erforderlichkeit sichergestellt, dass das Risiko für den Betroffenen, mit Blick auf die berechtigten Interessen des Verantwortlichen und die zugrundeliegenden Übermittlungszwecke, auf ein verträgliches Maß gesenkt wird.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.