Logo der activeMind AG

Wann liegt ein Drittlandtransfer vor?

Inhalt

Bei der Übermittlung personenbezogener Daten in Drittländer drohen hohe Bußgelder, wenn die Vorgaben der Datenschutz-Grundverordnung (DSGVO) nicht eingehalten werden (bspw. 1,2 Mrd. Euro Bußgeld für Meta). Um Unternehmen zu unterstützen, hat der Europäische Datenschutzausschuss (EDSA) Leitlinien für Drittlandtransfers erarbeitet. Wir erklären die wichtigsten Punkte.

Die EDSA-Leitlinien

Am 14. Februar 2023 veröffentlichte der EDSA die endgültige Fassung der Leitlinien 5/2021 über das Zusammenspiel zwischen der Anwendung des Artikels 3 und der Bestimmungen über internationale Übermittlungen nach Kapitel V DSGVO.

Die Leitlinien definieren den Begriff Drittlandtransfer und klären auf, wann die Bestimmungen der DSGVO zu den sogenannten Drittlandübermittlungen (Drittlandtransfers) anwendbar sind.

Welche Vorschriften gelten bei einer Übermittlung in ein Drittland?

Für einen DSGVO-konformen Drittlandtransfer, d.h. eine Übermittlung personenbezogener Daten in ein Land außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR), muss ein Transfermechanismus bestehen, der gewährleistet, dass die Daten auch außerhalb der EU angemessen geschützt werden.

Unternehmen können sich insbesondere auf einen der folgenden Transfermechanismen stützen:

  • Angemessenheitsbeschluss der Europäischen Kommission: Wenn die Europäische Kommission einen Beschluss gefasst hat, mit dem einem bestimmten Land der Angemessenheitsstatus zuerkannt wird, können Übermittlungen in das betreffende Land ohne jegliche Einschränkungen erfolgen.
  • Verbindliche interne Datenschutzvorschriften: Die praktische Bedeutung ist auf große multinationale Unternehmen beschränkt, da sie nicht nur vom Unternehmen selbst aufgestellt, sondern auch von der zuständigen Aufsichtsbehörde genehmigt werden müssen.
  • Standardvertragsklauseln (SCC): Der am häufigsten verwendete Transfermechanismus.
  • Ausnahmen gemäß Art. 49 DSGVO, auf die nur in Ausnahmefällen zurückgegriffen werden kann.

Wann liegt ein Drittlandtransfer vor?

Die Leitlinien des EDSA enthalten Kriterien, anhand derer festgestellt werden kann, ob eine bestimmte Verarbeitung als Übermittlung in ein Drittland im Sinne der DSGVO anzusehen ist. Die Feststellung, ob eine Übermittlung in ein Drittland stattfindet, stellt den ersten Schritt dar. Ist eine Drittlandübermittlung gegeben, muss in einem zweiten Schritt ein Transfermechanismus gefunden werden. Zudem muss geprüft werden, ob weitere Maßnahmen ergriffen werden müssen, um die Daten im Ausland ausreichend zu schützen.

In der Praxis besteht kein Zweifel daran, dass eine Datenübermittlung von einem in der EU ansässigen Unternehmen, das der DSGVO unterliegt, an ein Unternehmen außerhalb der EU, das nicht der DSGVO unterliegt, einen Drittlandtransfer darstellt. Dies ist etwa der Fall, wenn ein deutsches Unternehmen eine von einem US-amerikanischen Unternehmen angebotene HR-Software verwendet, wobei personenbezogene Daten der Beschäftigten des deutschen Unternehmens an den Dienstleister in die USA übermittelt werden.

Es gibt aber Fälle, die etwas komplizierter sind: Ist die Übermittlung an ein amerikanisches Unternehmen, das ohnehin der DSGVO unterliegt, ein Drittlandtransfer? Wie ist die Lage, wenn ein Beschäftigter in Asien auf einer Dienstreise ist und von dort auf die Daten zugreift?

Nach dem EDSA müssen drei Bedingungen kumulativ erfüllt sein, damit ein bestimmter Verarbeitungsvorgang als ein Drittlandtransfer angesehen werden kann:

  1. Der ursprüngliche Verantwortliche bzw. Auftragsverarbeiter unterliegt für die betreffende Verarbeitung der DSGVO,
  2. der für die Verarbeitung Verantwortliche bzw. Auftragsverarbeiter (Datenexporteur) stellt einem anderen Verantwortlichen, einem gemeinsamen Verantwortlichen oder einem Auftragsverarbeiter (Datenimporteur) personenbezogene Daten durch Übermittlung oder auf eine andere Weise zur Verfügung;
  3. der Datenimporteur befindet sich in einem Drittland, unabhängig davon, ob er in Bezug auf die betreffende Verarbeitung gemäß 3 Abs. 2 DSGVO der DSGVO unterliegt oder nicht.

Erste Bedingung: Der Datenexporteur unterliegt der DSGVO

Damit eine Verarbeitung als ein Drittlandtransfer gilt, muss der ursprüngliche Verantwortliche bzw. Auftragsverarbeiter – d.h. das Unternehmen, das die Daten zu übermitteln beabsichtigt – zunächst für diesen spezifischen Verarbeitungsvorgang der DSGVO unterliegen. Aufgrund der extraterritorialen Wirksamkeit der DSGVO umfasst dies nicht nur alle in der EU niedergelassenen Unternehmen, sondern auch Nicht-EU-Unternehmen, die gemäß Art. 3 Abs. 2 DSGVO in den Anwendungsbereich der DSGVO fallen.

Ein Beispiel hierfür wäre ein US-amerikanischer Anbieter einer mobilen App, der seine Dienste betroffenen Personen anbietet, die sich in der EU befinden. Will er etwa einen nichteuropäischen Dienstleister einsetzen, muss er die Bestimmungen der DSGVO zu Drittlandtransfers einhalten, selbst wenn der Dienstleister ebenfalls in den USA ansässig ist.

Der EDSA betont, dass die Anwendbarkeit der DSGVO immer in Bezug auf einen bestimmten Verarbeitungsvorgang und nicht in Bezug auf eine bestimmte Organisation (wie etwa ein Unternehmen) beurteilt werden muss. Ein Unternehmen, das bei allen Verarbeitungsvorgängen bis auf einen außerhalb des Anwendungsbereiches der DSGVO ist, muss die DSGVO bei diesem einen Verarbeitungsvorgang dennoch einhalten.

Zweite Bedingung: Der Exporteur gibt die Daten an einen anderen Verantwortlichen oder Auftragsverarbeiter außerhalb der EU weiter oder stellt sie diesem auf eine andere Weise zur Verfügung

Wie die erste Bedingung ist auch die zweite Bedingung in der Rechtspraxis weitgehend unumstritten. Gleichwohl enthalten die Leitlinien des EDSA einige wichtige Klarstellungen.

Der EDSA nennt folgende Beispiele dafür, wie personenbezogene Daten „zur Verfügung gestellt“ werden können:

  • durch die Einrichtung eines Kontos,
  • die Gewährung von Zugriffsrechten für ein bestehendes Konto,
  • die Bestätigung oder Annahme eines wirksamen Antrags auf Fernzugriff oder
  • durch Übermittlung eines Passworts für eine Datei.

Der EDSA stellt klar, dass auch der Fernzugriff aus einem Drittland (selbst wenn personenbezogene Daten lediglich auf einem Bildschirm angezeigt werden, z.B. in Supportsituationen, bei der Fehlersuche oder zu Verwaltungszwecken) und/oder die Speicherung in einer von einem Diensteanbieter angebotenen Cloud außerhalb des EWR als ein Drittlandtransfer gelten.

Der EDSA betont weiter, dass zwei getrennte Verantwortliche und/oder Auftragsverarbeiter an einem Verarbeitungsvorgang beteiligt sein müssen, damit dieser als eine Drittlandübermittlung gilt. Situationen, in denen der Betroffene selbst und auf eigene Initiative personenbezogene Daten an ein nichteuropäisches Unternehmen weitergibt – wie etwa ein europäischer Reisender, der ein Hotelzimmer in Brasilien bucht – gelten daher nicht als Drittlandübermittlungen.

Ebenso stellt der Fernzugriff eines Mitarbeiters auf personenbezogene Daten im Besitz des Unternehmens, für das er in der EU arbeitet, während einer Dienstreise im Ausland keine Übermittlung in ein Drittland dar. Dies ist der Tatsache geschuldet, dass der Mitarbeiter kein separater Verantwortlicher, sondern ein integraler Bestandteil des Unternehmens ist, für das er arbeitet.

In beiden Fällen gelten die in Kapitel V der DSGVO festgelegten Anforderungen an Drittlandtransfers nicht. Wie der EDSA betont, könnte das Unternehmen aber dennoch verpflichtet sein, geeignete Maßnahmen zu ergreifen, um anderen in der DSGVO verankerten Verpflichtungen nachzukommen. Als letztes Mittel kann der Verantwortliche sogar zu dem Schluss kommen, dass eine solche Verarbeitung überhaupt nicht stattfinden darf, indem er beispielsweise den Beschäftigten verbietet, ihre Laptops in bestimmte Drittländer mitzunehmen, die als besonders riskant gelten.

Hinweis für Unternehmensgruppen: Unternehmen, die Teil desselben Konzerns sind, werden im Datenschutzrecht als getrennte Verantwortliche bzw. Auftragsverarbeiter angesehen. Folglich können Datenübermittlungen zwischen Unternehmen, die derselben Unternehmensgruppe angehören (konzerninterne Datenübermittlungen), internationale Übermittlungen personenbezogener Daten – und damit auch Drittlandtransfers – darstellen.

Dritte Bedingung: Der Importeur befindet sich in einem Drittland, unabhängig davon, ob er gemäß Art. 3 Abs. 2 DSGVO der DSGVO unterliegt

Gemäß der dritten Bedingung muss sich das Unternehmen, dass die Daten erhalten soll (Datenimporteur), geografisch in einem Drittland befinden. Dabei ist es unerheblich, ob die DSGVO auf die betreffende Datenverarbeitung gemäß Art. 3 Abs. 2 DSGVO anwendbar ist.

Der EDSA begründet dies damit, dass auch wenn auf die in Frage stehende Verarbeitung die DSGVO anwendbar ist, dieser Schutz durch die nationalen Rechtsvorschriften des Landes des Datenimporteurs untergraben werden könnte, beispielsweise wenn die Vorschriften über den staatlichen Zugang zu personenbezogenen Daten über das hinausgehen, was in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist. Die Anwendung der relevanten Bestimmungen der DSGVO soll dieses Risiko ausgleichen.

In diesem Zusammenhang betont der EDSA, dass die Tatsache, wenn der Importeur bereits an die DSGVO gebunden ist, berücksichtigt werden muss: Die Anwendung der Vorschriften über Drittlandtransfers darf nicht zu einer Verdoppelung der Verpflichtungen führen, sondern lediglich dazu dienen, die Lücken zu schließen, wo dies erforderlich ist.

Das praktische Problem liegt allerdings darin, dass die SCC von 2021 – die einzige derzeit verfügbare Version der SCC und oft der einzige Mechanismus, der für eine bestimmte Übermittlungssituation in Frage kommt – ausdrücklich besagen, dass sie nur in Fällen verwendet werden können, in denen die Verarbeitung durch den Importeur nicht bereits von der DSGVO abgedeckt ist.

Derzeit verfügen Unternehmen daher oft nicht über einen geeigneten Transfermechanismus für Übermittlungen an Nicht-EU-Unternehmen, die gemäß Art. 3 Abs. 2 der DSGVO unterfallen, da die bestehenden SCC nicht für solche Situationen gedacht sind und für diese noch keine speziellen SCC bestehen. In der Tat hat die Europäische Kommission angekündigt, SCC für Übermittlungen an Importeure, welche der DSGVO unterliegen, entwickeln zu wollen. Es könnte jedoch Jahre dauern, bis diese in Kraft treten. In der Zwischenzeit sind die betroffenen Unternehmen mit rechtlichen Risiken konfrontiert, wenn sie Daten ins Ausland übermitteln wollen, da ihnen oft kein Übermittlungsinstrument zur Verfügung steht, das für den beabsichtigten Verarbeitungsvorgang geeignet ist.

Exkurs: Auftragsverarbeiter mit Muttergesellschaft in einem Drittland

Oft werden Auftragsverarbeiter eingesetzt, die zwar in der EU bzw. dem EWR ansässig sind, deren Muttergesellschaft jedoch in einem Drittland sitzt. Zu der Frage, ob in einem solchen Fall von einem Drittlandtransfer auszugehen ist, hat sich die deutsche Datenschutzkonferenz (DSK) in einem Beschluss geäußert. Demnach genügt die Gefahr allein, dass – etwa über gesellschaftsrechtliche Weisungsrechte – die Drittlands-Muttergesellschaft eines EWR-Unternehmens dieses anweisen könnte, personenbezogene Daten in ein Drittland zu übermitteln, nicht, um einen Drittlandtransfer anzunehmen. Dasselbe gilt für die ggf. rechtlich vorgesehene Möglichkeit, dass öffentliche Stellen von Drittländern die EWR-Tochtergesellschaft unmittelbar anweisen könnten, die Daten in das Drittland zu übermitteln: Auch das stellt als solches noch kein Drittlandtransfer dar.

Ausweislich des Beschlusses kann eine solche Gefahr jedoch dazu führen, dass einem derartigen Auftragsverarbeiter die Zuverlässigkeit im Sinne von Art. 28 Abs. 1 DSGVO fehlt, soweit keine technischen und/oder organisatorischen Maßnahmen ergriffen wurden, die hinreichend Garantien dafür bieten, dass der Auftragsverarbeiter seinen Pflichten nachkommt, insbesondere was das Unterlassen von Verarbeitungen personenbezogener Daten ohne oder gegen die Weisung des Verantwortlichen angeht, im Speziellen auf der Grundlage von Verpflichtungen aus drittstaatlichem Recht.

Somit nimmt die DSK den Verantwortlichen auch beim Nichtvorhandensein eines Drittlandtransfers in die Pflicht, die Zuverlässigkeit des Auftragsverarbeiters genau zu prüfen und dafür zu sorgen, dass ausreichenden Maßnahmen implementiert werden, um DSGVO-widrige Verarbeitungen auszuschließen.

Fazit

Die Leitlinien des EDSA geben wertvolle Hinweise zu den Drittlandtransfers im Sinne der DSGVO und klären, wann Unternehmen die Anforderungen an Drittlandübermittlungen erfüllen müssen.

Leider haben die Leitlinien die Probleme im Zusammenhang mit Übermittlungen an Nicht-EU-Unternehmen, die unter den Anwendungsbereich der DSGVO fallen, nicht gelöst, sondern vielmehr zusätzliche Fragen dazu aufgeworfen. Drei Jahre nach dem ersten Entwurf der Leitlinien ist nach wie vor unklar, wann die Europäische Kommission spezielle SCC für Übermittlungen an Unternehmen veröffentlichen wird, die unter Art. 3 Abs. 2 DSGVO fallen.

Weiterlesen

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.