Zum Inhalt springen Zur Navigation springen
Übermittlung personenbezogener Daten in Drittländer mittels Einwilligung

Übermittlung personenbezogener Daten in Drittländer mittels Einwilligung

Eine Datenübermittlung in Drittländer stellt viele Unternehmen vor enorme Herausforderungen. In manchen Fällen wollen Unternehmen dabei auf eine Einwilligung durch die betroffenen Personen nach Art. 49 Abs. 1 lit. a DSGVO setzen. Was hierbei zu beachten ist, stellen wir in diesem Artikel dar.

Voraussetzungen einer Datenübermittlung in Drittländer

Bei einer Datenübermittlung in Drittländer bietet sich nach wie vor eine zweistufige Zulässigkeitsprüfung an:

  • 1. Stufe:
    Der Verantwortliche muss zunächst sicherstellen, dass die Datenübermittlung an den Empfänger im Drittland auf eine rechtliche Grundlage der DSGVO gestützt werden kann. In Betracht kommen hierbei etwa die Erlaubnistatbestände nach Art. 6 Abs. 1 DSGVO oder im Bereich des Beschäftigtendatenschutzes Art. 88 DSGVO i. V. m. § 26 BDSG-neu. Es ist an dieser Stelle also zu prüfen, ob die Datenübermittlung von einem Erlaubnistatbestand grundsätzlich gedeckt ist.
  • 2. Stufe:
    Auf der zweiten Stufe ist zu prüfen, ob die Datenübermittlung in Drittländer möglich ist (Art. 44 ff. DSGVO). In Betracht kommen hierbei etwa ein Angemessenheitsbeschluss der EU-Kommission, Binding Corporate Rules (BCRs), EU-Standarddatenschutzklauseln (SCCs) oder eine Einwilligung nach Art. 49 Abs. 1 lit. a DSGVO durch die betroffene Person, um die es in diesem Artikel geht.

Ausführlichere Informationen zur Datenübermittlung in Drittländer finden Sie im Kurzpapier der Datenschutzkonferenz vom 11.07.2017 (Nr. 4).

Voraussetzungen einer Einwilligung

Art. 49 Abs. 1 lit. a DSGVO gestattet eine Übermittlung, wenn der Betroffene hierzu seine ausdrückliche Einwilligung erteilt hat. Die Anforderungen an eine entsprechend DSGVO-konforme Einwilligungserklärung sind allerdings hoch.

Eine wirksame Einwilligungserklärung muss insbesondere

  • freiwillig
  • informiert
  • ausdrücklich
  • konkret
  • und jederzeit widerrufbar sein.

Die Einwilligungserklärung sollte in verständlicher und leicht zugängliche Form in einer klaren und einfachen Sprache erfolgen.

In der Praxis häufig anzutreffende vorangekreuzte Kästchen genügen -ebenso wie Stillschweigen- nicht. Auch General- bzw. Pauschaleinwilligungen sind nicht möglich. Vorsicht ist zudem geboten, wenn zumindest eine der in Art. 9 Abs. 1 DSGVO genannte Kategorie personenbezogener Daten verarbeitet werden soll oder eine solche Verarbeitung nicht ausgeschlossen werden kann, da dies deutlich herausgestellt werden muss (Art. 9 Abs. 2 lit. a DSGVO).

Die Einwilligung muss in jedem Falle nachgewiesen werden können (Erwägungsgrund 42). Ein Schriftformerfordernis ist von der DSGVO jedoch nicht mehr vorgesehen (§ 4 a Abs. 1 S. 3 BDSG a. F.).

Informationspflichten

Auch im Rahmen der Informationspflichten ist zu beachten, dass die betroffenen Personen über einen beabsichtigte Datenübermittlung an einen Empfänger in einem Drittland zu informieren sind. Die gestellten Anforderungen sind hier ebenfalls hoch.

Die betroffene Person ist etwa in verständlicher Form über den konkreten Zweck der Datenübermittlung, die genauen Kategorien der zu übermittelnden Daten und der Kategorien der Empfänger zu informieren.

Die Informationen müssen einen Hinweis auf das Fehlen eines angemessenen Datenschutzniveaus (Aufklärung über fehlenden Angemessenheitsbeschluss, Fehlen geeigneter Garantien) enthalten und mögliche Risiken enthalten. Bislang sollte die betroffene Person im Rahmen von § 4 c Abs. 1 S. 1 Nr. 1 BDSG bereits ebenfalls über die Gefahren bzw. Risiken der Datenübermittlung in ein Drittland informiert werden. In der Praxis ist eine vollständige Aufklärung über alle denkbaren Risiken wohl leider nicht möglich, sodass aber zumindest die wesentlichen Risiken transparent dargestellt werden sollten.

Einwilligungen als Lösung?

Ob in der Praxis, gerade bei Datenübermittlungen in Konzernen, auch Einwilligungen nach Art. 49 Abs. 1 lit. a DSGVO (2. Stufe) zum Zuge kommen werden, kann aufgrund der weiterhin hohen Anforderungen, der jederzeitigen Widerruflichkeit und anderer Alternativen durchaus bezweifelt werden. Im Einzelfall kann eine Einwilligungslösung -wie bisher auch- jedoch hilfreich sein. Der Datenschutzbeauftragte sollte einbezogen werden.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Sehr geehrter Herr Doktor,

    stimmen Sie mir zu, dass unter der oben genannten Voraussetzung einer expliziten Einwilligung, eine Kommunikation zwischen einem kleinen Handwerksbetrieb und seinem Kunden über whatsApp möglich sein sollte, vor allem wenn der Kunde dies ausdrücklich wünscht?

  • Sehr geehrter Herr Doktor,
    wie verhält es sich denn, wenn ein Unternehmen Daten in eine Cloud legen will.
    Auch liegt doch auch, in den meisten Fällen, eine Datenübermittlung in Drittstaaten vor.
    Muss dann auch von jedem MA eine Einwilligung dazu vor liegen?
    Vielen Dank im Voraus für ihre Antwort

    • Nehmen sie, v.a. als Unternehmen ein bisschen Geld in die Hand und nutzen sie statt der Amazon- und Google-Cloud, Server von deutschen Cloud-Anbietern mit einem ADV Vertrag.
      Dann wäre keine Einwilligung notwendig.

    • Die DSGVO sieht neben der Einwilligung auch weitere Möglichkeiten vor, um ein angemessenes Datenschutzniveau in Drittstaaten zu gewährleisten (2. Stufe). In Betracht kommen hierbei -wie im Artikel erwähnt- etwa EU-Standarddatenschutzklauseln (SCCs). Derzeit einen noch guten Einstieg in das Thema bietet die Orientierungshilfe, die Sie auf der Webseite des BayLDA finden können, wenngleich sich diese noch auf das BDSG bezieht: https://www.lda.bayern.de/media/oh_cloud-computing.pdf

  • Sehr geehrter Herr Dr. Datenschutz.
    meinem Informationsstand nach, ist der Datenaustausch generell nur mit „sicheren“ Drittländern erlaubt, da nur dann ein grundsätzliches Einhalten der fundamentalen Regeln:

    Sicherheit gegen Zugriff von Drittpersonen, bzw. Zuverlässigkeit der Löschung bei Wunsch

    gewährleistet ist.

    sehe ich das falsch ? und wenn ja – auf welcher Grundlage ??

    mfg Oliver Wallmichrath

    • Guten Tag Herr Wallmichrath, wie im Blogartikel gezeigt, ist auf der zweiten Stufe zu prüfen, ob die Datenübermittlung in Drittländer möglich ist (Art. 44 ff. DSGVO). In Betracht kommen hierbei etwa ein Angemessenheitsbeschluss der EU-Kommission, Binding Corporate Rules (BCRs), EU-Standarddatenschutzklauseln (SCCs) oder eine Einwilligung nach Art. 49 Abs. 1 lit. a DSGVO durch die betroffene Person.

  • Guten Tag Herr Dr., muss der Anbieter aus einem unsicheren Drittland wenn alle weiteren Voraussetzungen erfüllt sind in einer solchen Einverständniserklärung namentlich und mit Adresse genannt werden? Oder genügt die Angabe, dass ein solcher Anbieter verwendet wird? Vielen Dank!

    • Aus dem Wortlaut der DSGVO ergibt sich zunächst keine eindeutige Pflicht den Empfänger namentlich zu nennen. Die Kategorie der Empfänger anzugeben reicht hiernach aus. Die Aufsichtsbehörden sehen das aber teilweise etwas enger und vertreten den Standpunkt, dass der Empfänger, falls schon bekannt, so genau wie möglich bezeichnet werden soll. Wie so oft also eine Frage auf die es mehrere Antworten geben kann.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.