Das Thema
Wenn ein Verantwortlicher personenbezogene Daten in ein Drittland übermittelt, muss er die in Art. 44 ff. DS-GVO niedergelegten Bedingungen einhalten. Dies soll sicherstellen, dass das durch die DS-GVO in den Mitgliedstaaten gewährleistete Schutzniveau bei der Verarbeitung personenbezogener Daten auch in dem Drittland gilt.
Was ist ein Drittland?
Bei einem Drittland in diesem Zusammenhang handelt es sich um jedes Land, das weder Mitglied der Europäischen Union noch des Europäischen Wirtschaftsraums ist.
Umgekehrt bedeutet dies, dass Übermittlungen von personenbezogenen Daten in einen der 26 EU-Mitgliedstaaten sowie nach Island, Liechtenstein und Norwegen ohne Einhaltung der Vorschriften der Art. 44 ff. DS-GVO zulässig sind.
Angemessenheitsbeschluss (Art. 45 DS-GVO)
Weiterhin unkritisch sind Übermittlungen in Länder, für die die EU-Kommission das Bestehen eines angemessenen Schutzniveaus festgestellt hat. Derzeit existieren solche Angemessenheitsbeschlüsse für folgende Länder:
Europa:
- Andorra
- Färöer
- Guernsey
- Insel Man
- Jersey
- Schweiz
- Vereinigtes Königreich
Amerika:
- Argentinien
- Kanada
- Uruguay
Asien / Ozeanien:
- Israel
- Japan
- Neuseeland
Bei einer Übermittlung in eines dieser Länder ist das Schutzniveau ebenfalls nicht besonders sicherzustellen.
Geeignete Garantien (Art. 46 DS-GVO)
Während eine Übermittlung auf Basis eines Angemessenheitsbeschlusses ein angemessenes Schutzniveau im Drittland fingiert, schaffen die in Art. 46 DS-GVO vorgesehenen Mittel ein angemessenes Schutzniveau beim Empfänger der Daten. Voraussetzung hierfür ist, dass
- der Verantwortliche geeignete Garantien vorgesehen hat und
- den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.
Was geeignet Garantien sein können, ist in Art. 46 Abs. 2 DS-GVO exemplarisch aufgeführt. Die bekanntesten dürften die verbindlichen internen Datenschutzvorschriften (Binding Corporate Rules – Art. 47 DS-GVO) sowie die Standarddatenschutzklauseln der EU-Kommission sein.
Binding Corporate Rules
Art. 47 DS-GVO regelt den Mindestinhalt dieser internen Datenschutzvorschriften. Auch wegen ihrer zwingend notwendigen Genehmigung durch die zuständige Aufsichtsbehörde werden sie in der Praxis eher selten genutzt.
Standarddatenschutzklauseln
Weitaus häufiger finden sich in der Praxis die Standarddatenschutzklauseln. Bei deren Verwendung besteht nun u.U. Handlungsbedarf.
Beschluss der EU-Kommission
Die EU-Kommission hat am 04.06.2021 einen “Durchführungsbeschluss über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates” erlassen (ABl. 2021 L 199/31). Im Anhang zu diesem Beschluss finden sich die neuen Standardvertragsklauseln.
Wichtig für alle, die auf Basis von Standardvertragsklauseln personenbezogene Daten in ein Drittland übermitteln sind die Übergangsfristen: Während bereits seit dem 27.09.2021 neue Vereinbarungen nur noch auf Basis der neuen Standardvertragsklauseln getroffen werden durften, endet für alle vorher abgeschlossenen Vereinbarungen die Übergangsfrist am 27.12.2022.
Übermittlungen, die nach diesem Datum auf Basis der alten Standardvertragsklauseln vorgenommen werden, sind daher nicht mehr länger zulässig. Den Verantwortlichen drohen dann Bußgelder und Schadensersatzansprüche.
Ausnahmen
In den Fällen, in denen weder ein Angemessenheitsbeschluss noch sonstige geeignete Garantien vorliegen, kann eine Übermittlung allerdings noch als Ausnahmefall nach Art. 49 DS-GVO in Betracht kommen. Auch wenn eine der in Art. 49 DS-GVO genannten Bedingungen vorliegt, z.B. die Einwilligung der betroffenen Person, ist wichtig, dass eine wiederholte Übermittlung auf Basis von Art. 49 DS-GVO nicht zulässig wäre.