Einschränkungen von Betroffenenrechten nach Art. 23 DSGVO

Beim Drittlandtransfer müssen Datenexporteure prüfen, ob im Empfängerland die Rechte der Betroffenen ausreichend gewährleistet werden. Vorliegende Einschränkungen der Betroffenenrechte müssen den Vorgaben von Art. 23 Datenschutz-Grundverordnung (DSGVO) entsprechen. Damit wird diese Öffnungsklausel nun auch für Unternehmen relevant. Doch welche Einschränkungen der Betroffenenrechte erlaubt Art. 23 DSVGO überhaupt unter welchen Umständen und zu welchen Zwecken?

Betroffenenrechte beim Drittlandtransfer

Das Datenschutzrecht unterliegt stetiger Auslegung, Konkretisierung und Veränderung. So fand Art. 23 DSGVO in Unternehmen bisher kaum Beachtung, dabei wird er in Zukunft auch für diese von hoher Relevanz sein. Im Kern handelt es sich bei Art. 23 DSGVO um eine Öffnungsklausel aufgrund welcher Mitgliedsstaaten Betroffenenrechte zum Schutz bestimmter Güter, beispielsweise der öffentlichen Sicherheit, durch nationale Gesetze einschränken können.

Mit Blick auf die neuere Rechtsprechung des Europäischen Gerichtshofs (EuGH), kommt Art. 23 DSGVO aber nunmehr auch eine Bedeutung für die Privatwirtschaft zu, welche vorher so nicht abzusehen war.

Im oft zitierten und viel diskutierten Schrems-II Urteil aus dem Sommer 2020 hat der EuGH die bis dahin gültige Praxis der Standardvertragsklauseln bzw. Standard Contractual Clauses (SCC) als allein ausreichende Datenschutzgarantien für den Drittlandtransfer gekippt. Der EuGH stellte klar, dass bei einem Drittlandtransfer von personenbezogenen Daten das Datenschutzniveau im Empfängerland durch den Exporteur zu beurteilen ist. Ggf. sind zusätzliche einzelfallbezogene Maßnahmen zu treffen, wenn sich das Niveau anders nicht erreichen lässt.

Für diese Beurteilung ist notwendigerweise auch zu betrachten, ob im Empfängerland ein vergleichbares Niveau an Betroffenenrechten herrscht. In diesem Kontext wird zu prüfen sein, ob etwaige Einschränkungen der Betroffenenrechte im vorliegenden Drittland einer Prüfung nach Art. 23 DSGVO standhalten würden.

Zu diesen Voraussetzungen hat der Europäische Datenschutzausschuss (EDSA) erste Leitlinien vorgestellt, welche im Folgenden näher erläutert werden.

Begriff der Beschränkung von Betroffenenrechten

Das europäische Datenschutzrecht definiert in den Artikeln 12 bis 22 und 34 DSGVO diverse Pflichten des Verantwortlichen und Rechte der Betroffenen bei der Bearbeitung personenbezogener Daten. Hinzu kommen die in Art. 5 DSGVO festgehaltenen Grundsätze zur Datenverarbeitung.

Der EDSA definiert als Einschränkungen nach Art. 23 DSGVO jegliche Beschränkung dieser Pflichten (des Verantwortlichen) oder von Betroffenenrechten. Die Leitlinien bieten eine gründliche Analyse sämtlicher Beschränkungen des Art. 23 DSGVO, wobei sich die Kriterien und Merkmale insbesondere an die nationalen Gesetzgeber wenden. Der EDSA hebt hervor, dass jede Einschränkung der Betroffenenrechte sowohl die Grundrechte als auch datenschutzrechtliche Prinzipien respektieren muss. Demnach kann man sich nur auf eine Beschränkung der Betroffenenrechte berufen, sofern die in Art. 23 DSGVO geschützten Ziele verfolgt werden. Außerdem darf dies nie zu einer vollständigen Aussetzung der Betroffenenrechte führen.

Welche Beschränkungen können sich aus nationalen Gesetzen gem. Art. 23 DSGVO ergeben?

Art. 23 DSGVO enthält eine abschließende Liste von zehn Gründen für potentielle Beschränkungen. Hierzu gehören z.B.

  • die nationale oder öffentliche Sicherheit,
  • Schutz der betroffenen Person oder
  • Rechte und Freiheiten anderer Personen oder
  • Ausnahmen zur Durchsetzung zivilrechtlicher Ansprüche.

Der EDSA erwähnt in seinen Leitlinien einige interessante Anmerkungen zu diesen gelisteten Gründen: Wie eingangs erwähnt, dürfen Beschränkungen der Betroffenenrechte nur durch die Gesetzgeber festgelegt werden. Zusätzlich müssen die Umstände und Voraussetzungen der Rechte und Pflichten für Betroffene vorher absehbar sein. Andernfalls kann ein Verantwortlicher sich nicht auf die Ausnahmen des Art. 23 Abs. 1 DSGVO berufen. Solch ein Gesetz darf den Verantwortlichen jedoch nicht ermächtigen, ein Betroffenenrecht in der Weise einzuschränken, dass es in seinem Wesensgehalt ausgehebelt wird. Innerhalb seiner Leitlinie hebt der EDSA daher die Kontrolle der betroffenen Personen über sie betreffende personenbezogene Daten als ein Hauptziel hervor. Eine Beschränkung ist somit rechtswidrig, sofern der Wesensgehalt maßgeblich beeinträchtigt wird.

Voraussetzungen des Art. 23 Abs. 1 DSGVO

In Art. 23 Abs. 1 DSGVO werden, neben der bereits dargestellten Legitimität des verfolgten Zwecks, bestimme Rechtmäßigkeitsvoraussetzungen für die Gesetze und die auf dieser Basis durchgeführten Maßnahmen der Mitgliedsstaaten normiert:

Die absolute Grenze der Einschränkungen findet sich im Kerngehalt der DSGVO. Keines der in der DSGVO angelegten Betroffenenrechte darf in seinem Wesensgehalt angetastet werden. Das bedeutet, dass Beschränkungen, die so eingreifend sind, dass sie ein Grundrecht seiner grundlegenden Funktion berauben, nicht gerechtfertigt werden können.

Des Weiteren können sich legislative Maßnahmen nach Art. 23 DSGVO nicht ausschließlich auf Art. 23 DSGVO berufen. Vielmehr stellt Art. 23 DSGVO eine Öffnung für nationale Umsetzungen dar, welche dann wiederum als Grundlage für die genannten Maßnahmen dienen können.

Das innerstaatliche Recht muss hinreichend klar formuliert sein, um den Betroffenen ein angemessenes Verständnis der Umstände und Bedingungen zu vermitteln, unter welchen die für die Verarbeitung Verantwortlichen befugt sind, auf derartige Beschränkungen zurückzugreifen.

Einschränkungen können zudem nur dann rechtmäßig sein, wenn sie sowohl erforderlich als auch verhältnismäßig sind. Erforderlich sind Einschränkungen dann, wenn sie geeignet sind den verfolgten Zweck zu erreichen und es keine milderen Mittel gibt, welche ebenso zur Zweckerreichung genügen würden.

Verhältnismäßig ist eine Maßnahme i.S.d. Art. 23 DSGVO dann, wenn die konkrete Einschränkung und die damit für den Betroffenen verbundenen Folgen in Anbetracht des verfolgten Zwecks gerechtfertigt erscheinen.

Die EDSA weist in diesem Bezug und mit Blick auf die Bedeutung der DSGVO darauf hin, dass die Prüfung dieser Voraussetzungen nach einem strengen Maßstab zu erfolgen haben.

Voraussetzungen des Art. 23 Abs. 2 DSGVO

Für das der Einschränkung zugrundeliegende nationale Recht des jeweiligen Mitgliedsstaates gelten zudem zusätzliche Erfordernisse. Insbesondere sollen die auf Grundlage des Art. 23 DSGVO erfolgten Umsetzungen des Rechts der einzelnen Mitgliedsstaaten Bestimmungen zu folgenden Kriterien enthalten, soweit sie für die konkrete Einschränkung relevant sind:

Die Kategorien personenbezogener Daten, welche durch die Einschränkung betroffen sein könnten, soll bereits in der Gesetzesgrundlage aufgeführt werden, welche die Einschränkung vorsieht.

Auch der Umfang der Einschränkungen soll bereits antizipiert werden. Das bedeutet, dass beispielsweise die betroffenen Rechte und der Grad deren Einschränkung in der Rechtsgrundlage benannt sein sollen.

Auch die von der Rechtsgrundlage zu ermächtigenden Verantwortlichen sollen bereits festgelegt sein. Dies soll zum einen Rechtssicherheit bei der Zuständigkeit der Verantwortlichen schaffen, aber auch dafür sorgen, dass Betroffene den korrekten Adressaten für die Wahrnehmung ihrer Rechte kennen.

Soweit im Rahmen der Einschränkung Daten erhoben werden, so ist deren Speicherdauer bereits innerhalb der Rechtsgrundlage zu spezifizieren.

Es sollen bereits auf Ebene der Rechtsgrundlage technische und organisatorische Maßnahmen angeordnet werden, welche geeignet sind, Missbrauch, Verlust oder Übertragung von Daten vorzubeugen.

Das Risiko, welches für Betroffene von der etwaigen Einschränkung ausgeht, soll bereits in der Rechtsgrundlage berücksichtigt und klargestellt werden. Dies soll einen Überblick über die möglichen Auswirkungen für Betroffene geben und antizipiert bereits einen Teil der Erforderlichkeits- und Verhältnismäßigkeitsprüfung bei Maßnahmen aufgrund der Rechtsgrundlage.

Wenn es dem Grunde der Einschränkung nach möglich ist, sollen Betroffene über die Einschränkung ihrer Rechte und deren Begründung informiert werden. Ausnahmen hiervon können beispielsweise Verarbeitungen im Rahmen von Strafverfahren sein, bei denen es sich notwendiger Weise verbieten kann, den Betroffenen in Kenntnis zu setzen.

Bedeutung des Art. 23 DSGVO beim Drittstaatentransfer

Bei Datenübertragung innerhalb der EU bzw. des EWR sowie zu Ländern, für welche es einen Angemessenheitsbeschluss gibt, müssen diese Kriterien weiterhin nicht geprüft werden. Bei direkter Geltung der DSGVO bzw. vorliegendem Angemessenheitsbeschluss wird ein entsprechendes Datenschutzniveau angenommen.

Relevant werden die Kriterien des Art. 23 DSGVO für Unternehmen seit dem Urteil des EuGHs aber dann, wenn das Datenschutzniveau eines Drittstaates bewertet werden muss, in den Daten transferiert werden sollen.

Problematisch hierbei ist nicht nur, dass es im jeweiligen Drittstaat häufig eine Vielzahl von gesetzlichen Regelungen gibt, sondern auch, dass die Prüfung hiermit nicht beendet ist. Vielmehr muss der Exporteur das faktische Datenschutzniveau bestimmen, wobei die gesetzlichen Regelungen nur ein Teil der Gesamtbetrachtung sind. Es kommt auf das tatsächliche Datenschutzniveau an. Deshalb ist es ebenso wichtig, in welchen Praktiken die Gesetze münden, also beispielsweise, ob sich überhaupt an die Regelungen gehalten wird. Ein überschießendes Eingriffsniveau der Sicherheitsdienste oder fehlende Rechtswege für Betroffene wären somit ebenso relevant.

Selbst wenn die drittstaatlichen Regelungen also einer Prüfung nach Art. 23 DSGVO standhalten würden, ist in zweiter Stufe auch noch zu prüfen, ob die auch die Umsetzung in der Praxis ein der DSGVO entsprechendes Datenschutzniveau zulässt.

Fazit: Der Drittlandtransfer wird nicht einfacher

Seit dem Urteil des EuGHs ist Art. 23 DSGVO nicht mehr nur für Mitgliedsstaaten und Betroffene relevant, sondern auch für Datenexporteure. Die Einschätzung, ob ein Drittland, in welches Daten transferiert werden sollen, ein ausreichendes Datenschutzniveau bereithält, orientiert sich an den Erfordernissen des Art. 23 DSGVO.

Bei der Beurteilung des Datenschutzniveaus durch den Exporteur stellen sich aufgrund des Umfangs und der Komplexität der Sachlage juristisch anspruchsvolle Fragen und Abwägungsentscheidungen. Auch anhand des dargestellten Richtlinienentwurfs des EDSA kann deswegen kein universeller Leitfaden zu der Prüfung des Datenschutzniveaus abgeleitet werden. Es handelt sich immer um eine individuelle Prüfung der konkreten Gegebenheiten.

Es bleibt abzuwarten, ob diese Einschätzung in Zukunft umfangreicher von behördlicher Seite vorgenommen wird, mittelfristig könnte es zumindest für Großbritannien eine Lösung über einen Angemessenheitsbeschluss geben.

Aufgrund des nicht zu unterschätzenden Haftungsrisikos bei Fehlern im Rahmen dieser Abschätzung ist dringend anzuraten, einen qualifizierten Datenschutzexperten mit diesen Fragen zu betrauen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Netiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen. Informationen zu der Verarbeitung Ihrer personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.