Eine Datenübermittlung in Drittländer stellt viele Unternehmen vor enorme Herausforderungen. In manchen Fällen wollen Unternehmen dabei auf eine Einwilligung durch die betroffenen Personen nach Art. 49 Abs. 1 lit. a DSGVO setzen. Was hierbei zu beachten ist, stellen wir in diesem Artikel dar.
Der Inhalt im Überblick
Voraussetzungen einer Datenübermittlung in Drittländer
Bei einer Datenübermittlung in Drittländer bietet sich nach wie vor eine zweistufige Zulässigkeitsprüfung an:
- 1. Stufe:
Der Verantwortliche muss zunächst sicherstellen, dass die Datenübermittlung an den Empfänger im Drittland auf eine rechtliche Grundlage der DSGVO gestützt werden kann. In Betracht kommen hierbei etwa die Erlaubnistatbestände nach Art. 6 Abs. 1 DSGVO oder im Bereich des Beschäftigtendatenschutzes Art. 88 DSGVO i. V. m. § 26 BDSG-neu. Es ist an dieser Stelle also zu prüfen, ob die Datenübermittlung von einem Erlaubnistatbestand grundsätzlich gedeckt ist. - 2. Stufe:
Auf der zweiten Stufe ist zu prüfen, ob die Datenübermittlung in Drittländer möglich ist (Art. 44 ff. DSGVO). In Betracht kommen hierbei etwa ein Angemessenheitsbeschluss der EU-Kommission, Binding Corporate Rules (BCRs), EU-Standarddatenschutzklauseln (SCCs) oder eine Einwilligung nach Art. 49 Abs. 1 lit. a DSGVO durch die betroffene Person, um die es in diesem Artikel geht.
Ausführlichere Informationen zur Datenübermittlung in Drittländer finden Sie im Kurzpapier der Datenschutzkonferenz vom 11.07.2017 (Nr. 4).
Voraussetzungen einer Einwilligung
Art. 49 Abs. 1 lit. a DSGVO gestattet eine Übermittlung, wenn der Betroffene hierzu seine ausdrückliche Einwilligung erteilt hat. Die Anforderungen an eine entsprechend DSGVO-konforme Einwilligungserklärung sind allerdings hoch.
Eine wirksame Einwilligungserklärung muss insbesondere
- freiwillig
- informiert
- ausdrücklich
- konkret
- und jederzeit widerrufbar sein.
Die Einwilligungserklärung sollte in verständlicher und leicht zugängliche Form in einer klaren und einfachen Sprache erfolgen.
In der Praxis häufig anzutreffende vorangekreuzte Kästchen genügen -ebenso wie Stillschweigen- nicht. Auch General- bzw. Pauschaleinwilligungen sind nicht möglich. Vorsicht ist zudem geboten, wenn zumindest eine der in Art. 9 Abs. 1 DSGVO genannte Kategorie personenbezogener Daten verarbeitet werden soll oder eine solche Verarbeitung nicht ausgeschlossen werden kann, da dies deutlich herausgestellt werden muss (Art. 9 Abs. 2 lit. a DSGVO).
Die Einwilligung muss in jedem Falle nachgewiesen werden können (Erwägungsgrund 42). Ein Schriftformerfordernis ist von der DSGVO jedoch nicht mehr vorgesehen (§ 4 a Abs. 1 S. 3 BDSG a. F.).
Informationspflichten
Auch im Rahmen der Informationspflichten ist zu beachten, dass die betroffenen Personen über einen beabsichtigte Datenübermittlung an einen Empfänger in einem Drittland zu informieren sind. Die gestellten Anforderungen sind hier ebenfalls hoch.
Die betroffene Person ist etwa in verständlicher Form über den konkreten Zweck der Datenübermittlung, die genauen Kategorien der zu übermittelnden Daten und der Kategorien der Empfänger zu informieren.
Die Informationen müssen einen Hinweis auf das Fehlen eines angemessenen Datenschutzniveaus (Aufklärung über fehlenden Angemessenheitsbeschluss, Fehlen geeigneter Garantien) enthalten und mögliche Risiken enthalten. Bislang sollte die betroffene Person im Rahmen von § 4 c Abs. 1 S. 1 Nr. 1 BDSG bereits ebenfalls über die Gefahren bzw. Risiken der Datenübermittlung in ein Drittland informiert werden. In der Praxis ist eine vollständige Aufklärung über alle denkbaren Risiken wohl leider nicht möglich, sodass aber zumindest die wesentlichen Risiken transparent dargestellt werden sollten.
Einwilligungen als Lösung?
Ob in der Praxis, gerade bei Datenübermittlungen in Konzernen, auch Einwilligungen nach Art. 49 Abs. 1 lit. a DSGVO (2. Stufe) zum Zuge kommen werden, kann aufgrund der weiterhin hohen Anforderungen, der jederzeitigen Widerruflichkeit und anderer Alternativen durchaus bezweifelt werden. Im Einzelfall kann eine Einwilligungslösung -wie bisher auch- jedoch hilfreich sein. Der Datenschutzbeauftragte sollte einbezogen werden.
Sehr geehrter Herr Doktor,
stimmen Sie mir zu, dass unter der oben genannten Voraussetzung einer expliziten Einwilligung, eine Kommunikation zwischen einem kleinen Handwerksbetrieb und seinem Kunden über whatsApp möglich sein sollte, vor allem wenn der Kunde dies ausdrücklich wünscht?
wenn sie für jeden Kunden, den das betrifft ein eignes Smartphone haben auf dem nur die Kontaktdaten das jeweiligen Kunden gespeichert sind, dann ja.
Ansosten übermittels sie alle Kontaktdaten an WA, auch die von denen die dies nicht wünschen.
Eine Selektion welche App auf welche Kontakte zugreifen darf ist, soweit mir bekannt ist, nicht möglich.
Aber das wäre mal eine Idee für Entwickler. Eine Kontakte-App in der ich pro Kontakt die Zugriffsberechtigungen für Apps steuern kann.
Bei einer ausreichenden Einwilligung wäre dies denkbar, jedoch liegt eine solche erfahrungsgemäß nicht vor. Der Einsatz von WhatsApp wirft in der Praxis darüber hinaus jedoch häufig weitere Fragen auf. Auch die DeutscheHandwerksZeitung hat hierüber bereits berichtet: https://www.deutsche-handwerks-zeitung.de/whatsapp-betrieblich-nutzen-was-beim-datenschutz-wirklich-gilt/150/3101/363865.
Sehr geehrter Herr Doktor,
wie verhält es sich denn, wenn ein Unternehmen Daten in eine Cloud legen will.
Auch liegt doch auch, in den meisten Fällen, eine Datenübermittlung in Drittstaaten vor.
Muss dann auch von jedem MA eine Einwilligung dazu vor liegen?
Vielen Dank im Voraus für ihre Antwort
Nehmen sie, v.a. als Unternehmen ein bisschen Geld in die Hand und nutzen sie statt der Amazon- und Google-Cloud, Server von deutschen Cloud-Anbietern mit einem ADV Vertrag.
Dann wäre keine Einwilligung notwendig.
Die DSGVO sieht neben der Einwilligung auch weitere Möglichkeiten vor, um ein angemessenes Datenschutzniveau in Drittstaaten zu gewährleisten (2. Stufe). In Betracht kommen hierbei -wie im Artikel erwähnt- etwa EU-Standarddatenschutzklauseln (SCCs). Derzeit einen noch guten Einstieg in das Thema bietet die Orientierungshilfe, die Sie auf der Webseite des BayLDA finden können, wenngleich sich diese noch auf das BDSG bezieht: https://www.lda.bayern.de/media/oh_cloud-computing.pdf
Sehr geehrter Herr Dr. Datenschutz.
meinem Informationsstand nach, ist der Datenaustausch generell nur mit „sicheren“ Drittländern erlaubt, da nur dann ein grundsätzliches Einhalten der fundamentalen Regeln:
Sicherheit gegen Zugriff von Drittpersonen, bzw. Zuverlässigkeit der Löschung bei Wunsch
gewährleistet ist.
sehe ich das falsch ? und wenn ja – auf welcher Grundlage ??
mfg Oliver Wallmichrath
Guten Tag Herr Wallmichrath, wie im Blogartikel gezeigt, ist auf der zweiten Stufe zu prüfen, ob die Datenübermittlung in Drittländer möglich ist (Art. 44 ff. DSGVO). In Betracht kommen hierbei etwa ein Angemessenheitsbeschluss der EU-Kommission, Binding Corporate Rules (BCRs), EU-Standarddatenschutzklauseln (SCCs) oder eine Einwilligung nach Art. 49 Abs. 1 lit. a DSGVO durch die betroffene Person.
Guten Tag Herr Dr., muss der Anbieter aus einem unsicheren Drittland wenn alle weiteren Voraussetzungen erfüllt sind in einer solchen Einverständniserklärung namentlich und mit Adresse genannt werden? Oder genügt die Angabe, dass ein solcher Anbieter verwendet wird? Vielen Dank!
Aus dem Wortlaut der DSGVO ergibt sich zunächst keine eindeutige Pflicht den Empfänger namentlich zu nennen. Die Kategorie der Empfänger anzugeben reicht hiernach aus. Die Aufsichtsbehörden sehen das aber teilweise etwas enger und vertreten den Standpunkt, dass der Empfänger, falls schon bekannt, so genau wie möglich bezeichnet werden soll. Wie so oft also eine Frage auf die es mehrere Antworten geben kann.