Als Ausnahmsfälle gibt Art. 49 DSGVO Unternehmen die Möglichkeiten an die Hand, Daten aufgrund einer Einwilligung durch die Betroffenen in Drittsaaten ohne angemessenes Schutzniveau zu übermitteln. Wann die Datenübermittlungen auf Basis einer Einwilligung in unsichere Drittstaaten erfolgen können, stellen wir in diesem Artikel dar.
Der Inhalt im Überblick
Allgemeine Voraussetzungen: Angemessenes Datenschutzniveau
Personenbezogene Daten dürfen grundsätzlich nur in ein Land außerhalb der Europäischen Union übermittelt werden, wenn dort ein angemessenes Datenschutzniveau gewährleistet wird. Sofern die EU-Kommission die Angemessenheit nicht durch einen entsprechenden Beschluss festgestellt hat, darf eine Übermittlung erfolgen, wenn geeignete Garantien vorgesehen sind.
Derartige Garantien können Unternehmen für konzernintern Datenflüsse durch so genannte Binding Corporate Rules (BCR) schaffen. Daneben können sowohl konzernintern als auch zwischen Unternehmen EU-Standardvertragsklauseln (SCC) abgeschlossen und hierdurch das erforderliche Schutzniveau möglicherweise herbeigeführt werden.
Ausnahmefälle: Übermittlung in unsichere Drittländer
Bei der Ermöglichung des Drittlandtransfers über geeignete Garantien hat der europäische Gesetzgeber aber einen Ausnahmetatbestand eingebaut: Art. 49 DSGVO. Danach können Daten in Drittländer, für die weder ein Angemessenheitsbeschluss noch geeignete Garantien (BCR und SCC) vorliegen, unter bestimmten Voraussetzungen dennoch übermittelt werden.
Als erste Ausnahme nennt die DSGVO in Art. 49 Abs. 1 UAbs. 1 lit. a die Einwilligung des Betroffenen. Auslegungsmaxime des Art. 49 DSGVO ist, wie dessen Überschrift bereits verdeutlicht, dessen Ausnahmecharakter. Doch zu der Frage, wie die Ausnahmetatbestände genau ausgelegt werden sollen, gibt es bisher kein einheitliches Stimmungsbild.
Ausnahmecharakter: Nur Gelegentliche und nicht wiederholte Übermittlungen?
Nach Auffassung der DSK und des EDSA ist eine Datenübermittlung aufgrund des Art. 49 Abs. 1 lit. a DSGVO bei einem regelmäßigen und dauerhaften Datentransfer nicht möglich.
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) vertritt in der Orientierungshilfe Telemedien, dass die Einwilligung i.S.v. Art. 49 Abs. 1 UAbs. 1 lit. a als Grundlage für wiederholte oder routinemäßige Übermittlungen ausscheidet.
„Personenbezogene Daten, die im Zusammenhang mit der regelmäßigen Nachverfolgung von Nutzerverhalten auf Webseiten oder in Apps verarbeitet werden, können grundsätzlich nicht auf Grundlage einer Einwilligung nach Art. 49 Abs. 1 lit. a DSGVO in ein Drittland übermittelt werden. Umfang und Regelmäßigkeit solcher Transfers widersprechen regelmäßig dem Charakter des Art. 49 DS-GVO als Ausnahmevorschrift und den Anforderungen aus Art. 44 S. 2 DSGVO“
Gestützt wird diese Argumentation auf eine Stellungnahme des Europäischen Datenschutzausschusses (EDSA), die den Charakter des Art. 49 DSGVO als Ausnahmetatbestand betont, wonach eine restriktive Anwendung geboten sei. Der EDSA vertritt in seinen Guidelines zu den Ausnahmen für den bestimmten Fall, dass Art. 49 DSGVO als weitere Einschränkung eine „gelegentliche“ und „nicht wiederholte“ Datentransfer erforderlich sei.
Allerdings ist die Auffassung der DSK nicht für alle nachvollziehbar. Der anderer Meinung nach können auch regelmäßige und nicht nur gelegentliche Drittlandtransfer auf Art. 49 Abs. 1 lit. a DSGVO gestützt werden.
Aus wessen Perspektive sollte „gelegentlich“ bestimmt werden?
Wenn man nun annimmt, dass generell nur gelegentlich erfolgende Datenübermittlungen auf Basis von Art. 49 Abs. 1 DSGVO gerechtfertigt werden können, stellt sich zuerst die Frage, aus wessen Perspektive „gelegentlich“ zu bestimmen ist. Aus Perspektive eines Verantwortlichen oder aus derjenigen eines einzelnen Betroffenen? Diese wird weder von DSK noch EDSA geklärt. Man kann also argumentieren, dass es darauf ankommt, dass in Bezug auf einen einzelnen Betroffenen Datenübermittlungen nur gelegentlich erfolgen müssten. Wenn also ein Verantwortlicher Art. 49 Abs. 1 DSGVO als Rechtfertigung nutze und dabei eine hohe Anzahl an einzelnen Personen betroffen sei, aber in Bezug auf einzelne Personen Übermittlungen trotzdem nur gelegentlich erfolgen, solle das einer Anwendung der Ausnahmen nicht entgegenstehen.
Ferner wird die Auffassung vertreten, dass sich die Einwilligung gar nicht auf „gelegentliche“ und „nicht wiederholte“ Übermittlungen beschränkt.
Was sagt der Gesetzeswortlaut?
Denn aus Erwägungsgrund 111 geht ausdrücklich hervor, dass die Tatbestände gem. Artikel 49 Absatz 1 Unterabsatz 1 Buchstaben b, c und e nur bei „gelegentlich erfolgenden“ Übermittlungen zur Anwendung kommen können. Hingegen findet sich im Wortlaut des Erwägungsgrund 111 keine solche Beschränkung für die Tatbestände gem. Artikel 49 Absatz 1 Unterabsatz 1 Buchstaben a, d, f und g. Das heißt, dass sich das Merkmal „gelegentlich“ nicht auf die „Einwilligung“ bezieht und bei den Ausnahmen deswegen aufgrund der „ausdrücklichen Einwilligung“ keine solche Einschränkung gilt.
„Datenübermittlungen sollten unter bestimmten Voraussetzungen zulässig sein, nämlich wenn die betroffene Person ihre ausdrückliche Einwilligung erteilt hat, wenn die Übermittlung gelegentlich erfolgt und im Rahmen eines Vertrags oder zur Geltendmachung von Rechtsansprüchen, sei es vor Gericht oder auf dem Verwaltungswege oder in außergerichtlichen Verfahren, wozu auch Verfahren vor Regulierungsbehörden zählen, erforderlich ist.“
Dem Gesetzeswortlaut jedenfalls sei nicht zu entnehmen, dass dieser Ausnahmetatbestand nur für „gelegentliche“ Übermittlungen anwendbar sein solle.
Selbstbestimmungsrecht nicht verletzen
Eine andere Argumentation bezieht sich auf die Selbstbestimmung. In der deutsche Literatur wird hier oft mit dem bekannten Recht auf informationelle Selbstbestimmung argumentiert. Jedoch muss bei der Auslegung von Europarecht auf das europäische Grundrecht, den Schutz der personenbezogenen Daten, abgestellt werden. Doch auch der Art. 8 GrCh enthält im Absatz 2 eine Komponente der Selbstbestimmung, indem das Grundrecht es erlaubt, personenbezogenen Daten für festgelegte Zwecke beim Vorliegen einer Einwilligung zu verarbeiten.
Könnten nur gelegentliche Datenübermittlungen auf die Einwilligung von Betroffenen gestützt werden und würden diesen in Fall von regelmäßigen Übermitllungen keine Wahlmöglichkeit gelassen, widerspräche das dem Charakter dieses Grundrechts. Die persönliche Willensbekundung, die hier durch Einwilligung gezeigt werde, sei eines seiner Kerngedanken, was als Gedanke auch Eingang in die DSGVO findet. Deshalb sei auch der Wille des Betroffenen zu respektieren, wenn er sich bewusst entscheide, seine Daten in einen Drittstaat ohne adäquates Datenschutzrecht zu schicken und sie dort zu verarbeiten.
So auch der Hessischer VGH in seinem Beschluss betont, dass es bei der Nutzung eines Cookie-Dienstes, durch die personenbezogene Daten in die USA übermittelt werden können, auf die Eigenverantwortlichkeit des Website-Nutzers ankommt.
„Jedoch steht es einem Interessenten frei, ob er diese nutzt oder nicht, falls ihm damit verbundene Nutzungsmodalitäten oder dergleichen nicht zusagen und er seine persönlichen Daten als nicht hinreichend geschützt ansieht“.
Die Betonung der Eigenverantwortlichkeit könne verstanden werden, dass sich die Einwilligung eines Website-Nutzers für Cookies als Rechtsfertigung für die Datenverarbeitung (1. Stufe) durchaus auch auf die Rechtsfertigung für den damit verbundenen Datentransfer nach Art. 49 Abs. 1 lit. a DSGVO (2. Stufe) erstecken könne.
Einwilligung als geeignete Grundlage?
Zusammenfassend wird man nicht pauschal sagen können, dass die Einwilligung i.S.v. Art. 49 Abs. 1 UAbs. 1 lit. a DSGVO als Grundlage für wiederholte oder routinemäßige Übermittlungen schlechthin ausscheidet. Im Einzelfall könnte die Einwilligungslösung hilfreich sein. Allerdings ist es zu beachten, dass Einwilligungen aufgrund der hohen Anforderungen – auch wegen ihrer jederzeitigen Widerruflichkeit für wiederholte – für systematische oder routinemäßige Datenübermittlungen nicht immer als geeignete Grundlage empfohlen werden.
