NEWS

Rechtsgrundlage für die Verarbeitung

Grundsätzlich gilt, bei der Verarbeitung (Art. 4 Nr. 2 DSGVO) von personenbezogenen Daten ist eine Rechtsgrundlage nach Art. 6 DSGVO erforderlich. Dies gilt auch
bei der Datenübermittlung ins Ausland, weil eine solche in der Regel eine Verarbeitung im Sinne des Art. 4 Nr. 2 DSGVO darstellt.

Das weitere Vorgehen ist abhängig davon, in welches Land die Daten übermittelt werden sollen. Die DSGVO unterscheidet folgende Fälle:

Datenübermittlung innerhalb der Europäischen Union

Unproblematisch ist die Datenübermittlung von personenbezogenen Daten innerhalb der Europäischen Union, weil aller Länder der EU zur Einhaltung der DSGVO verpflichtet sind. Somit müssen nur die Vorgaben des Artikels 6 DSGVO eingehalten werden. Eine weitere Rechtsgrundlage für die Übermittelung in einen europäischen Staat ist nicht notwendig. Alle Länder, die nicht Teil dieses Staatenverbundes sind, werden in der DSGVO als Drittland bezeichnet. 

Datenübermittlung außerhalb der Europäischen Union

Die Datenübermittelung von personenbezogenen Daten außerhalb der Europäischen Union unterliegt einer zweifachen Hürde. So muss neben dem grundsätzlichen Einhalten der Rechtsgrundlage nach Artikel 6 DSGVO für die Verarbeitung eine Rechtsgrundlage gemäß Artikel 44 – 49 DSGVO für die Übermittlung einschlägig sein. Nachfolgend erläutern wir Ihnen die möglichen Rechtsgrundlagen die sich aus den Artikeln 44 – 49 DSGVO ergeben. 

Datenübermittlung aufgrund eines Angemessenheitsbeschlusses

Gemäß Art. 46. DSGVO ist eine Übermittlung in ein Drittland rechtskonform, wenn die Kommission durch einen Angemessenheitsbeschluss festgestellt hat, dass das Land in welches die Daten übermittelt werden sollen ein angemessenes Schutzniveau bietet. Solch ein Angemessenheitsbeschluss besteht zurzeit für folgende Länder: Andorra, Argentinien, Kanada (nur kommerzielle Organisationen), Färöer, Guernsey, Israel, Isle of Man, Jersey, Neuseeland, Schweiz, Uruguay, Japan und die USA (wenn der Empfänger dem Privacy Shield angehört).

Datenübermittlung vorbehaltlich geeigneter Garantien

Wenn kein Angemessenheitsbeschluss vorliegt, dürfen Daten in ein Drittland auch übermittelt werden, sofern der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. Solche sind in Art. 46 Abs. 2 DSGVO aufgeführt. Relevant sind hierbei vor allem:

• rechtlich bindende und durchsetzbare Dokumente zwischen den Behörden oder öffentlichen Stellen
• verbindliche interne Datenschutzvorschriften (Art. 47 DSGVO)
• Standartklauseln (Art. 93 Abs. 2 DSGVO)

Datenübermittlung in Länder ohne Angemessenheitsbeschluss oder geeignete Garantien

Falls weder ein Angemessenheitsbeschluss oder eine geeignete Garantie besteht, ist eine Übermittlung in ein Drittland gemäß Art. 49 Art. 1 DSGVO nur unter bestimmten Bedingungen zulässig. Diese Ausnahmen stehen aber im Widerspruch zu den Vorgaben des Art. 46 ff DSGVO, aus diesem Grund sind diese Ausnahmen äußerst restriktiv zu handhaben.

Folgende Ausnahmen hat der Gesetzgeber vorgesehen: 

1. Einwilligung
Die Datenübermittlung ist zulässig, wenn die betroffene Person explizit für diesen konkreten Fall eingewilligt hat und über die möglichen Risiken aufgeklärt wurde. Hierbei sind die hohen Anforderungen des Art. 7 DSGVO zu beachten. 

2. Zur Vertragserfüllung oder im Rahmen der Vertragsanbahnung
Die Datenübermittlung ist rechtmäßig, wenn diese zur Erfüllung des Vertragszweckes (bzw. der Vertragsanbahnung) zwingend erforderlich ist. So zum Beispiel bei Buchungen von Hotels, die sich in einem Drittstaat befinden.

3. Aus wichtigen Gründen des öffentlichen Interesses
Eine Übermittlung ist zulässig, wenn Sie aus wichtigen Gründen des öffentlichen Interesses notwendig ist. Relevant sind hier vor allem Datentransfers im Rahmen der internationalen behördlichen Zusammenarbeit (z.B.: Wettbewerbs-, Steuer- oder Zollbehörden)

4. Zur Ausübung von Rechtsansprüchen
Auch die Verfolgung von Rechtsansprüchen kann eine Datenübermittlung legitimieren, wenn die Datenübermittlung hierzu erforderlich ist.

5. Zum Schutz von lebenswichtigen Interessen
Falls eine Person nicht in der Lage ist, eine Einwilligung zu erteilen, darf eine Datenübermittlung durchgeführt werden, wenn diese zum Schutz von lebenswichtigen Interessen notwendig ist.

6. Zur Übermittlung von Registerdaten
Eine Datenübermittlung ist zulässig, wenn die Daten einem Register entstammen, welches zur Information der Öffentlichkeit bestimmt ist. 

7. Wahrung zwingender berechtigter Interessen
Eine Datenübermittlung in ein Drittland kann im Einzelfall legitimiert sein, wenn ein zwingendes berechtigtes Interesse des Verantwortlichen an der Übermittlung besteht, die Übermittlung nicht wiederholt erfolgt, nur eine begrenzte Anzahl von Personen betrifft und keine überwiegenden schutzwürdigen Interessen der betroffenen Personen entgegenstehen und der Verantwortliche durch geeignete Garantien den Schutz personenbezogener Daten gewährleistet. In solchen Fällen ist die Aufsichtsbehörde über die Übermittlung zu informieren (Art. 49 Abs. 1 Satz. 3 DSGVO).

Informationspflichten

Gemäß Art. 12 ff. DSGVO muss jeder Betroffenen über die Verarbeitung seiner personenbezogenen Daten informiert werden. Dies betrifft selbstverständlich auch die Übermittlung in ein Drittland. 

Im Einzelfall kann es sehr kompliziert sein, ob eine Datenübermittlung in ein Drittland ohne eine Angemessenheitsbeschluss, oder ohne geeignet Garantie rechtmäßig ist, oder nicht. Aus diesem Grund ist es hilfreich, sich in solchen Fällen kompetente Hilfe zu suchen. Sollten Sie diesbezüglich Fragen haben, helfen wir Ihnen gerne.