Drittlandtransfer nach Art. 49 DSGVO

Notwendigkeit von Garantien zum Drittlandstransfer

Aus wirtschaftlicher Sicht ist der Datentransfer ins außereuropäische Ausland nicht mehr wegzudenken. Dessen war sich auch der europäische Gesetzgeber bei Erlass der DSGVO bewusst und regelte in Kapitel V, unter welchen Voraussetzungen personenbezogene Daten den europäischen Raum verlassen dürfen. Diese Regelungen sollen den Betroffenen garantieren, dass der Schutz ihrer Daten nicht durch Übermittlungen in Drittländer unterlaufen wird. Auch soll so kein sogenannter Safe Haven für die Verarbeitung personenbezogener Daten außerhalb von Europa entstehen, was europäische Unternehmen diskriminieren könnte. Die Voraussetzung der Garantien zum Datenschutzniveau in Drittländern soll daher den Spagat zwischen der Notwendigkeit des Datentransfers für die Wirtschaft und dem Grundrechtsschutz der betroffenen Personen ermöglichen.

Ausnahmen des Art. 49 DSGVO

Bei der Ermöglichung des Drittlandtransfers über geeignete Garantien hat der europäische Gesetzgeber aber eine Hintertür eingebaut: Art. 49 DSGVO. Danach können Daten in Drittländer auch ohne Vorliegen geeigneter Garantien übermittelt werden. Als Ausnahmen listet Art. 49 DSGVO in Absatz 1 auf:

• Übermittlung aufgrund ausdrücklicher Einwilligung des Betroffenen (lit. a);
• Erforderlichkeit der Übermittlung zur Erfüllung eines Vertrages zwischen dem Betroffenen und Verantwortlichen oder zur Durchführung vorvertraglicher Maßnahmen auf Antrag des Betroffenen (lit. b);
• Erforderlichkeit der Übermittlung zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person vom Verantwortlichen mit Dritten geschlossenen Vertrages (lit. c) (Hierbei geht es v.a. um sogenannte Verträge zugunsten Dritter, wie z.B. bei Bestellungen von Geschenken mit Anbietern in Drittländern oder Verträge zwischen einem örtlichen Reiseunternehmen und Dienstleistern im Drittland.);
• Notwendigkeit der Übermittlung aus wichtigen Gründen des öffentlichen Interesses (lit. d);
• Erforderlichkeit der Übermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (lit. e);
• Erforderlichkeit zum Schutz lebenswichtiger Interessen der betroffenen Person oder eines Dritten, sofern der Betroffene aus physischen oder rechtlichen Gründen die Einwilligung nicht erteilen kann (lit. f);
• Übermittlung aus einem öffentlichen Register (lit. g).

In Absatz 2 sieht Art. 49 DSGVO noch eine zusätzliche Ausnahme vor: Besteht keine Garantie zum Drittlandtransfer und ist auch kein Fall nach Absatz 1 gegeben, können personenbezogene Daten dennoch in ein Drittland übermittelt werden, wenn dies zur Wahrung berechtigter Interessen des Verantwortlichen erforderlich ist und dabei einige Punkte beachtet werden.

Auf den ersten Blick scheint Art. 49 DSGVO damit sehr viele Fälle abzudecken. Dieser Schein trügt aber. Der Wortlaut sowie der Erwägungsgrund 111 DSGVO schränken die Ausnahmefälle stark ein, was auch der Europäische Datenschutzausschuss (EDSA) in seiner Leitlinie 2/2018 zu den Ausnahmen nach Artikel 49 der Verordnung 2016/679 dargestellt hat.

Ausdrückliche Einwilligung

Im Fall der Ausnahme des Art. 49 Abs. 1 lit. a) DSGVO wird eine ausdrückliche Einwilligung verlangt. Diese muss freiwillig, informiert und für den konkreten Fall erfolgen. Das heißt, der Betroffene ist ausreichend über den Datentransfer in ein Drittland zu informieren, wobei auch auf die Rechtslage und die möglichen Betroffenenrechte einzugehen ist. Dabei ist insbesondere hervorzuheben, dass in dem Drittland kein ausreichender Schutz der personenbezogenen Daten vorliegt und eben keine geeigneten Garantien vorliegen. Bei einer Übertragung in die USA beispielsweise ist hierbei ausdrücklich darauf hinzuweisen, dass ein weitreichender Zugriff der US-Behörden auf die Daten möglich ist und hiergegen keine Rechtsbehelfe bestehen. Auch kann hier eben keine generelle Einwilligung eingeholt werden, sondern nur für den konkret vorliegenden Einzelfall. Eine Einwilligung von Betroffenen zur dauerhaften Übermittlung von Daten in ein Drittland zu einem oder mehreren Zwecken kann also nicht mit Art. 49 Abs. 1 lit. a) DDSGVO gerechtfertigt werden.

Erforderliche und gelegentliche Übermittlung

Für die Ausnahmen nach Art. 49 Abs. 1 lit. b), c) und e) DSGVO sieht Erwägungsgrund 111 DSGVO vor, dass die Übermittlung erforderlich sein muss und nur gelegentlich erfolgen darf. Dabei ist zu bewerten, ob der Transfer der personenbezogenen Daten für den bestimmten Zweck der Ausnahmeregelung als erforderlich angesehen werden kann. Es ist also ein enger Zusammenhang zwischen der Übermittlung und dem Zweck notwendig.

Gelegentlich bedeutet in diesem Zusammenhang, dass die Übermittlung zwar mehr als einmal erfolgen darf, aber keineswegs regelmäßig. Auch sollen nur Übertragungen von Daten unter diese Ausnahmen fallen, wenn sich der Transfer außerhalb der gewöhnlichen Abläufe zuträgt. Übertragungen, die also dem Tagesgeschäft entsprechen bzw. dauerhaft zwischen dem Datenexporteur und -importeur stattfinden, können gerade nicht als gelegentlich angesehen werden. Auch kann eine Datenübermittlung dann nicht mehr als gelegentlich angesehen werden, wenn der Datenimporteur dauerhaft einen generellen und direkten Zugriff auf die Daten hat, z.B. über eine Schnittstelle zu einer IT-Anwendung. Wann konkret eine Übermittlung nur gelegentlich vorgenommen wird, ist daher stark vom Einzelfall abhängig und muss ausreichend dokumentiert geprüft werden.

Wahrung des öffentlichen Interesses

Bei der Ausnahme nach Art. 49 Abs. 1 lit. d) DSGVO können die Daten aus wichtigen Gründen des öffentlichen Interesses in Drittländer übermittelt werden. Dabei ist eine Übermittlung der Daten aber nur dann vorgesehen, wenn sich aus dem geltenden Recht des Mitgliedsstaates, welchem der Verantwortliche unterliegt, oder nach Unionsrecht ergibt, dass die angefragte Datenübermittlung zum Zweck der Wahrung wichtiger öffentlicher Interessen zulässig ist. Anderenfalls kann der Datentransfer nicht auf diese Ausnahme gestützt werden.

Schutz lebenswichtiger Interessen

Personenbezogene Daten können nach Art. 49 Abs. 1 lit. f) DGSVO immer dann übermittelt werden, wenn ein medizinischer Notfall gegeben ist, bei welchem die Daten zur Diagnose und Heilung benötigt werden, der Betroffene aber seine Einwilligung nicht erteilen kann. In solchen Fällen wird angenommen, dass die gesundheitliche Gefahr schwerer wiegt als datenschutzrechtliche Belange.

Öffentliches Register

Auch können personenbezogene Daten nach Art. 49 Abs. 1 lit. g) DSGVO aus öffentlichen Registern übermittelt werden. Das jeweilige Register muss hierbei zur Information der Öffentlichkeit dienen, ein privates Register genügt nicht. Daneben muss die allgemeine Öffentlichkeit oder jede Person, die ein berechtigtes Interesse nachweisen kann, Informationen in dem Register einsehen können. Verbands-, Unternehmens- oder Strafregister fallen beispielsweise unter diese Ausnahmeregelung. Dabei ist zu beachten, dass keine gesamte Kategorie an personenbezogenen Daten übermittelt werden darf, sondern nur einzelne, notwendige Angaben, die den Registern entnommen werden können.

Zwingende berechtigte Interessen

Wenn keine der oben genannten Ausnahmen greift, kann noch aufgrund zwingenden berechtigten Interessen nach Art. 49 Abs. 2 DSGVO eine Datenübermittlung ins außereuropäische Ausland erfolgen. Diese Ausnahme ist aber als allerletztes Mittel zur Datenübermittlung anzusehen, was auch Erwägungsgrund 113 DSGVO zeigt. Werden Daten aufgrund zwingender berechtigter Interessen übermittelt, muss der Verantwortliche nachweisen können, dass keine geeigneten Garantien vorlagen und die Ausnahmen nach Art. 49 Abs. 1 DSGVO nicht anwendbar waren.

Daneben müssen zwingende berechtigte Interessen vorliegen, das Interesse an dem Datentransfer muss also wesentlich sein. Das ist beispielsweise anzunehmen, wenn der Verantwortliche die personenbezogenen Daten zum Schutz seiner Systeme vor empfindlichen Strafen übertragen muss. Dabei muss aber grundsätzlich das zwingende Interesse des Verantwortlichen den Rechten und Freiheiten der Betroffenen gegenübergestellt werden. Nur wenn das Interesse des Verantwortlichen die Rechte der betroffenen Personen überwiegt, dürfen die Daten übermittelt werden (sogenannte Interessenabwägung).

Zu beachten gilt hier auch, dass die Übermittlung nicht wiederholt und nur eine begrenzte Anzahl an Zahl von Betroffenen umfassen darf. Daneben sind zusätzliche Maßnahmen als Garantien einzusetzen, um die Risiken für die Betroffenen zu minimieren. Eine solche zusätzliche Maßnahme kann zum Beispiel die Vorgabe einer unverzüglichen Löschung nach Zweckerfüllung sein. Zuletzt sieht Art. 49 Abs. 2 DSGVO vor, dass die jeweils zuständige Aufsichtsbehörde zu benachrichtigen ist, was als zusätzliche Garantie dienen soll, sowie die Information der Betroffenen gemäß Art. 13 und 14 DSGVO.

Fazit: Drittlandtransfer nach Art. 49 DSGVO bleibt die Ausnahme

Insgesamt zeigt sich, dass Art. 49 DSGVO genau das ist, was seine Überschrift bereits erwähnt: eine Ausnahme. Die Regelung soll den Datentransfer in Drittländer nicht ohne Weiteres erlauben, da nur durch Einhaltung der Garantien bzw. der restriktive Gebrauch von Ausnahmen die Betroffenen, aber auch die europäischen Unternehmen ausreichend schützen kann.

Es ist zu empfehlen, genau zu prüfen, ob ein Ausnahmefall nach Art. 49 DSGVO vorliegt und diese Prüfung genau zu dokumentieren. Nur so können die Nachweispflichten der DSGVO eingehalten werden und ein DSGVO-konformer Datentransfer stattfinden.