DATENSCHUTZRECHT
Datenschutz: Checkliste Internationaler Datenverkehr (IDVK)
Am 4. Juni 2021 wurden neue EU-Standardvertragsklauseln (SCC 2021) beschlossen. Unternehmen müssen sorgfältig prüfen, ob eine Datenübermittlung in Drittländer oder an internationale Organisationen zulässig ist. Eine Checkliste des MANZ-Autors Hans-Jürgen Pollirer unterstützt sie dabei.
Die Bedeutung des internationalen Datenverkehrs zeigt sich nicht zuletzt am hohen Bußgeldrahmen für Verstöße gegen Art 44 DSGVO in Höhe von bis zu 20 Millionen Euro oder vier Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres. Vor der Übermittlung personenbezogener Daten ins Ausland ist daher zu prüfen, ob die Datenverarbeitung überhaupt zulässig ist und die Übermittlung ins Drittland aufgrund eines Angemessenheitsbeschlusses bzw. geeigneter Garantien legitimiert ist oder ob eine Ausnahme gem. Art 49 DSGVO besteht, die eine Datenübermittlung ins Drittland rechtfertigt.
Nachfolgende Checkliste unterstützt Unternehmen bei der Prüfung der Frage, ob eine Datenübermittlung in Drittländer oder an internationale Organisation zulässig ist.
Das müssen Unternehmen bei Datenübermittlung beachten:
Prüfpunkt 1: Zulässigkeit der Datenverarbeitung
Prüfpunkt 2: Legitimität der Datenübermittlung im Inland
Prüfpunkt 3: Legitimation der Datenübermittlung innerhalb der EU/des EWR
Prüfpunkt 4: Legitimation der Datenübermittlung an ein Drittland oder eine internationale Organisation
Prüfpunkt 1: Zulässigkeit der Datenverarbeitung
Werden die Fragen 1 und 2 mit Nein beantwortet, so ist die Datenverarbeitung per se unzulässig.
Frage 1: Ist die Verarbeitung der Daten grundsätzlich zulässig?
Anmerkung: Daten dürfen grundsätzlich nur dann verarbeitet werden, wenn die Grundsätze der Datenverarbeitung nach Art 5 DSGVO eingehalten werden und eine Rechtsgrundlage gemäß Art 6 DSGVO für die Datenverarbeitung vorliegt. Für besondere Kategorien personenbezogener Daten besteht gem. Art 9 Abs 1 DSGVO zunächst ein generelles Verarbeitungsverbot. Abs 2 normiert einen taxativen Katalog von Ausnahmetatbeständen von diesem Verarbeitungsverbot.
Frage 2: Werden die schutzwürdigen Geheimhaltungsinteressen der Betroffenen nicht verletzt?
Anmerkung: Ein Eingriff in das Grundrecht auf Geheimhaltung personenbezogener Daten ist nur dann zulässig, wenn ein Eingriffsgrund iSd § 1 Abs 2 DSG vorliegt: lebenswichtiges Interesse des Betroffenen, Zustimmung, Wahrung überwiegender berechtigter Interessen eines anderen, Gesetz.
Prüfpunkt 2: Legitimität der Datenübermittlung im Inland
Fallen die Antworten zu den Prüfpunkten 2 und 3 negativ aus, so darf die Datenübermittlung nicht erfolgen.
Frage 3: Ist die Übermittlung der Daten im Inland grundsätzlich legitimiert?
Anmerkung: Eine Datenübermittlung an Dritte muss durch eine Rechtsgrundlage gem. Art 6 Abs 1 DSGVO legitimiert sein. Bei einer Datenübermittlung zwischen gemeinsam Verantwortlichen muss zusätzlich eine Joint-Controller-Vereinbarung gem. Art 26 DSGVO abgeschlossen werden. Erfolgt eine Datenübermittlung an Auftragsverarbeiter ist diese durch Abschluss eines Auftragsverarbeitervertrags gem. Art 28 DSGVO zu legitimieren.
Prüfpunkt 3: Legitimation der Datenübermittlung innerhalb der EU/des EWR
Frage 4: Ist die Datenübermittlung an Empfänger innerhalb der EU oder in Vertragsstaaten des EWR geplant?
Ist die Datenübermittlung im Inland zulässig, dann ist sie auch innerhalb der EU und des EWR zulässig.
Prüfpunkt 4: Legitimation der Datenübermittlung an ein Drittland oder eine internationale Organisation
Fallen die Antworten zu Prüfpunkt 4 negativ aus, darf keine Übermittlung erfolgen. Gegebenenfalls muss ein Alternativanbieter innerhalb der EU oder des EWR ausgewählt werden.
Frage 5: Ist eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation geplant und bestehen Datentransferinstrumente gem. Art 45 bis 47 DSGVO?
Anmerkung: Für eine Datenübermittlung in ein Drittland ist zunächst zu prüfen, ob ein Datentransferinstrument der Art 45 bis 47 DSGVO vorliegt. Hat die Europäische Kommission einen Beschluss gefasst, dass das betreffende Drittland oder die betreffende internationale Organisation ein angemessenes Schutzniveau bietet, bedarf die Datenübermittlung keiner besonderen Genehmigung. Liegt kein Angemessenheitsbeschluss vor, ist die Übermittlung nur zulässig, wenn der Verantwortliche oder Auftragsverarbeiter geeignete Garantien iSd Art 46 DSGVO vorgesehen hat und den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.
Frage 6: Hat ein vor Abschluss der neuen SCC 2021 durchgeführtes Transfer Impact Assessment (TIA) ein positives Resultat ergeben?
Anmerkung: Die Klauseln 14 und 15 der SCC (Standard Contractual Clauses) formalisieren die gemeinsame Verpflichtung zwischen Datenimporteur im Drittland und datenexportierendem Unternehmen, ein sogenanntes „Transfer Impact Assessment“ (TIA) durchzuführen. TIA ist als individuelle Risikobewertung zu verstehen und bedingt eine enge Zusammenarbeit zwischen den einzelnen Vertragsparteien.
Frage 7: Wurde das richtige Modul der Standardvertragsklauseln eingesetzt?
Anmerkung: Die neuen Standardvertragsklauseln sehen einen modularen Ansatz vor. So enthalten sie Inhalte, die für alle Übermittlungsszenarien gelten, aber auch modulare Inhalte, die nur auf bestimmte Datenübermittlungsszenarien anwendbar sind.
Frage 8: Wurden bei einem negativen Ergebnis des Transfer Impact Assessment bei Anwendung der SCC 2021 zusätzliche Garantien vereinbart?
Anmerkung: Der EDSA hat darauf hingewiesen, dass die bloße Vereinbarung der EU-Standardvertragsklauseln zur Wahrung eines angemessenen Datenschutzniveaus drittstaatliche Behörden nicht binden können („Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data“, Version 2.0 vom 18. Juni 2021). Es kann sich daher als notwendig erweisen, zusätzliche Klauseln zu technischen, vertraglichen oder organisatorischen Maßnahmen zu vereinbaren.
Frage 9: Müssen die alten EU-Standardvertragsklauseln gegen die neuen SCC 2021 ausgetauscht werden?
Anmerkung: Vor dem 27. September 2021 vereinbarte alte Standardvertragsklauseln können noch bis zum 27. Dezember 2022 als Grundlage für internationalen Datentransfer genutzt werden, solange sich das Wesen der Verarbeitung nicht verändert hat. Bei Vertragsänderungen und Neuverträgen sowie spätestens mit dem 27. Dezember 2022 sind alle betroffenen Datenübermittlungen auf die neuen SCC 2021 umzustellen.
Frage 10: Ist die Datenübermittlung an Drittländer oder internationale Organisationen geplant, obwohl kein Datentransferinstrument gem. Art 45 bis 47 DSGVO vorliegt?
Anmerkung: In diesem Fall ist die Übermittlung nur unter einer der folgenden Bedingungen zulässig: ausdrückliche Einwilligung der betroffenen Person, Erfüllung eines Vertrags mit der betroffenen Person, Erfüllung eines im Interesse der betroffenen Person mit einem Dritten geschlossenen Vertrags, wichtige Gründe des öffentlichen Interesses, Geltendmachung/Ausübung/Verteidigung von Rechtsansprüchen, Schutz lebenswichtiger Interessen, Übermittlung aus einem Register, Einzelfallabwägung
Stark gekürzter Auszug des Beitrags „Checkliste – Internationaler Datenverkehr (IDVK)“ aus der MANZ-Zeitschrift Dako. Weitere Details und Erläuterungen zu den einzelnen Prüffragen und zu den rechtlichen Voraussetzungen der Datenübermittlung finden Sie in der Printausgabe Dako 1/2022.
Querverweise zur Norm in der RDB wurden automatisch mit dem MANZ Linkbutler erstellt.
