Datenübermittlung ins Ausland - Die Landesbeauftragte für den

Die Landesbeauftragte für den Datenschutz Niedersachsen
Datenübermittlung ins Ausland
I) Allgemeines
Unternehmen übermitteln häufig personenbezogene Daten ins Ausland, z.B. beim
Outsourcing von einzelnen Arbeitsschritten an Anbieter im Ausland oder innerhalb von
internationalen Konzernen bei zentral geführten Kunden- oder Mitarbeiterdatenbanken. Das
Bundsdatenschutzgesetz (BDSG) sieht für diese Datenübermittlungen ins außereuropäische
Ausland besondere Regelungen vor: Die Übermittlung personenbezogener Daten an
ausländische Stellen unterbleibt, soweit der von der Datenverarbeitung Betroffene ein
schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat, insbesondere wenn bei
den genannten ausländischen Stellen ein angemessenes Datenschutzniveau nicht
gewährleistet ist (§ 4 b Abs. 2 S. 2 BDSG). Dies bedeutet, dass ein Datentransfer
grundsätzlich nur in solche Drittländer erfolgen darf, in welchen ein angemessenes (d.h. dem
in der EU geltenden vergleichbares) Datenschutzniveau gewährleistet ist. Bei einer
Datenübermittlung ins Ausland ist daher jeweils neben der Prüfung der Zulässigkeit der
Datenübermittlung an sich (Nach den §§ 28-30a BDSG) zusätzlich die Zulässigkeit des
Transfers in das Drittland zu prüfen („Zwei-Stufen-Prüfung“). Ist die Datenübermittlung ins
Drittland unzulässig, stellt dies sogar eine Ordnungswidrigkeit nach § 43 Abs. 2 Nr. 1 BDSG
dar.
Die Problematik eines Datentransfers ins Ausland stellt sich lediglich bei Ländern, die nicht
der EU angehören (derzeitige Mitgliedstaaten der EU: Belgien, Bulgarien, Dänemark,
Deutschland, Estland, Finnland, Frankreich, Griechenland, Großbritannien, Irland, Italien,
Schweden, Slowakei, Slowenien, Spanien, Tschechien, Ungarn, Zypern); auch die
Vertragsstaaten des Europäischen Wirtschaftsraumes (Norwegen, Island, Liechtenstein) sind
hier unproblematisch (vgl. „sonstige ausländische Stellen“, § 4 b Abs. 2 S. 2 BDSG).
„Drittländer“ sind alle anderen Staaten.
Die Zulässigkeit eines Datentransfers in ein Drittland kann entweder durch die
Gewährleistung eines angemessenen Datenschutzniveaus durch das Ergreifen bestimmter
Maßnahmen erreicht werden oder durch das Vorliegen eines Ausnahmetatbestandes.
II) Zulässigkeit des Datentransfers ins Nicht-EU-Ausland (Drittland)
1) Übermittlung
Datenübermittlung mein das Bekanntgeben gespeicherter oder durch Datenverarbeitung
gewonnener personenbezogener Daten an einen Dritten in der Weise, dass
a) die Daten an den Dritten weitergegeben werden oder
b) der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft (§ 3 Abs.
4 Nr. 3 BDSG)
Auch die Weitergabe von Daten innerhalb eines Konzerns stellt eine Datenübermittlung dar
(kein Konzerprivileg). Zu beachten ist auch, dass bei einem Datentransfer ins
außereuropäische
Ausland
auch
die
Datenweitergabe
im
Rahmen
von
Auftragsdatenverarbeitung anders als im Inland als Übermittlung im Sinne des § 3 Abs. 4 Nr.
3 BDSG gilt und hierfür also ein gesonderter Erlaubnistatbestand vorliegen muss
(Umkehrschluss aus § 3 Abs. 8 S. 3 BDSG).
Bei Ausführung der Übermittlung ist der Datenempfänger auf den Zweck hinzuweisen, zu
dessen Erfüllung die Daten übermittelt werden (§ 4 b Abs. 6 BDSG).
2) Bestimmung der Daten exportierenden Stelle
Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle (§ 4 b
Abs. 5 BDSG). Auch im Konzernverbund ist die Daten exportierende Stelle diejenige, welche
die tatsächliche Entscheidungsbefugnis über den Datenexport innehat (in der Regel dort, wo
die Daten herstammen). Auch eine rechtlich unselbständige Niederlassung kann Daten
exportierende Stelle sein.
3) Rechtliche Möglichkeiten des Datentransfers in ein Drittland
Eine Datenübermittlung ins Nicht-Eu-Ausland ist nur dann rechtlich zulässig, wenn entweder
eine Ausnahmeregelung für die konkrete Datenübermittlung vorliegt oder wenn ein
angemessenes Datenschutzniveau im Sinne des § 4 Abs. 2 S. 2 BDSG durch zusätzlich
ergriffene Maßnahmen sichergestellt wird.
a)
Drittländer
mit
durch
die
EU-Kommission
festgestelltem
angemessenem
Datenschutzniveau (§ 4 b Abs. 3 BDSG)
Die EU-Kommission hat gemäß Art. 25 Abs. 6 der EU-Datenschutzrichtlinie die Möglichkeit,
nach entsprechender Prüfung das Bestehen eines angemessenen Schutzniveaus in
bestimmten Drittländern festzustellen. Von dieser Möglichkeit hat die Kommission für
folgende Länder Gebrauch gemacht: Schweiz, Kanada, Argentinien, Guernsey, Jersey, Isle
of Man, Israel, Neuseeland. Als Folge gilt für diese Länder ein dem EU-Recht vergleichbares
Datenschutzniveau und eine Datenübermittlung in diese Länder ist ohne eine weitere eigene
Überprüfung datenschutzrechtlich zulässig (unter Vorbehalt der Zulässigkeit nach §§ 28 ff.
BDSG).
2
b) Gesetzliche Erlaubnistatbestände (§ 4 c Abs. 1 S. 1 Nr. 4 bis 6 BDSG)
Bei folgenden Tatbeständen ist eine Datenübermittlung in das betreffende Drittland
datenschutzrechtlich zulässig, auch bei Fehlen eines angemessenen Schutzniveaus: Die
Datenübermittlung ist erforderlich zur Wahrung eines wichtigen öffentlichen Interesses zur
Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor Gericht; die
Datenübermittlung ist erforderlich für die Wahrung lebenswichtiger Interessen des
Betroffenen oder die Datenübermittlung erfolgt aus einem Register, das zur Information der
Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen,
die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offen steht, soweit die
gesetzlichen Voraussetzungen im Einzelfall gegeben sind. Dies sind restriktiv zu
handhabende gesetzliche Ausnahmen, die in der Praxis eher untergeordnete Bedeutung
haben.
c) Einwilligung (§ 4 c Abs. 1 S. 1 Nr. 1 BDSG)
Eine Datenübermittlung ins Nicht-EU-Ausland ist auch datenschutzrechtlich zulässig, wenn
die betroffene Person ihre Einwilligung konkret hierzu gegeben hat. Die Anforderungen an
eine wirksame Einwilligung finden sich in § 4 a BDSG: Transparenz, Freiwilligkeit und
Widerruflichkeit. Das Bedeutet, dass die Einwilligung nur wirksam ist, wenn die betroffene
Person frei von Zwang entschieden hat, die Einwilligung nicht widerrufen hat, und ihr zuvor
die wesentlichen Umstände der konkreten Datenübermittlung mitgeteilt wurden. Der
einwilligenden Person müssen also vor der Entscheidung über eine Einwilligung das
Empfängerland und die dort vorhandenen (oder nicht vorhandenen) Datenschutzregelungen
mitgeteilt werden. Die übermittelten Daten dürfen nur für den mit der Einwilligung
abgedeckten Zweck verwendet werden (vgl. § 4 c Abs. 1 S. 2 BDSG).
d) Datenübermittlung zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher
Maßnahmen erforderlich (§ 4 c Abs. 1 S. 1 Nr. 2 BDSG)
Besteht
ein Vertrag oder
eine vertragsähnliche Beziehung
zwischen der
Daten
exportierenden Stelle und dem Betroffenen und ist die Datenübermittlung in das Drittland
zwingend erforderlich (nicht nur dienlich!), ist die datenschutzrechtliche Zulässigkeit
gegeben.
Beispiel:
Datenübermittlung
zur
Buchung
eines
Hotels
im
Ausland,
Warenbestellung im Ausland. Auch hier dürfen die übermittelten Daten nur für den
vertraglichen Zweck verwendet werden (vgl. § 4 c Abs. 1 S. 2 BDSG).
e) Datenübermittlung zur Erfüllung eines Vertrages im Interesse des Betroffenen (§ 4 c Abs.
1 S. 1 Nr. 3 BDSG)
3
Besteht zwar kein Vertrag mit dem Betroffenen, aber ein Vertrag zwischen der Daten
exportierenden Stelle und einem Dritten, welcher zugunsten des Betroffenen wirkt, und ist
die Datenübermittlung zur Erfüllung dieses Vertrages zwingend erforderlich, ist der
Datentransfer zulässig. Beispiel: Ein Arbeitgeber überträgt Daten eines Arbeitnehmers an
eine Versicherungsgesellschaft im Ausland, bei der er zugunsten des Arbeitnehmers eine
Mitarbeiterversicherung abgeschlossen hat. Auch hier gilt die Zweckbindung des § 4 c Abs. 1
S. 2 BDSG.
f) Individueller Datenschutzvertrag (§ 4 c Abs. 2 BDSG)
Die Daten exportierende Stelle hat die Möglichkeit, ein angemessenes Datenschutzniveau
zu garantieren, indem sie selbst mit dem Datenimporteur entsprechende vertragliche
Regelungen zum Datenschutz formuliert. Dieser individuelle Datenschutzvertrag ist der
Aufsichtsbehörde zur Genehmigung vorzulegen (§ 4 c Abs. 2 BDSG). Prüfungsmaßstab der
Aufsichtsbehörde ist die Verpflichtung der Parteien auf die Einhaltung der EUDatenschutzregelungen und des BDSG sowie das Ergreifen ausreichender Maßnahmen
hierzu. Gegenstand der Genehmigung ist dann die konkrete Datenübermittlung unter den
festgelegten vertraglichen Bedingungen. Die Erteilung der Genehmigung steht unter
Widerrufsvorbehalt, da Genehmigungen nach § 4 c Abs. 2 BDSG dem Bund vorzulegen sind
(§ 4 c Abs. 3 BDSG).
g) Vertrag auf Basis der EU-Standardvertragsklauseln (§ 4 c Abs. 2 BDSG)
Schließen der Datenexporteur und der Datenimporteur einen Vertrag unter Verwendung der
so genannten EU-Standardvertragsklauseln, ist der darauf basierende Datentransfer
(vorbehaltlich der §§ 28 ff. BDSG) zulässig. Die EU-Kommission legte zunächst die
Standardvertragsklauseln für die Übermittlung von personenbezogenen Daten in Drittländer
nach der Richtlinie 95/46/EG vom 15.06.01 (Entscheidung 2001/497/EG) fest. Daneben
wurden die so genannten Alternativen Standardvertragsklauseln (oder auch „ICCStandardvertragsklauseln“) mit Entscheidung vom 27.12.04 angenommen, welche von der
Internationalen Handelskammer als Alternative zu den Standardvertragsklauseln vom Juni
2001 entwickelt wurden und unternehmensfreundlichere Regelungen enthalten. Die
Alternativen
Standardvertragsklauseln
sind
jedoch
für
die
Übermittlung
von
Arbeitnehmerdaten grundsätzlich nicht geeignet bzw. ergänzungsbedürftig (abgestimmte
Position der Aufsichtsbehörden). Daneben wurden speziell für die Auftragsdatenverarbeitung
die Vertragsklauseln für die Übermittlung an Auftragsdatenverarbeiter in Drittländern vom
27.12.01 (Entscheidung 2002/16/EG) entwickelt. Für ab dem 15.05.10 geschlossene
Verträge gelten jedoch
die
neuen
Standardvertragsklauseln für
die
Übermittlung
personenbezogener Daten an Auftragsdatenverarbeiter in Drittländer (Entscheidung K
4
2010/593 vom 05.02.10). Altverträge können fortbestehen, soweit die Datenübermittlung
unverändert bleibt. Bei unveränderter Verwendung der Klauseln ist keine Genehmigung der
Aufsichtsbehörde erforderlich.
h) Verbindliche konzernweite Regelungen für den internationalen Datenverkehr („Binding
Corporate Rules“)
Durch verbindliche Unternehmensregelungen für den internationalen Datenverkehr kann ein
angemessenes Datenschutzniveau im Sinne der EU-Richtlinie erreicht werden (§ 4 c Abs. 2
BDSG). Insbesondere bei international tätigen Konzernen mit internem Datenfluss (auch) in
Drittländer ist dieses Instrument empfehlenswert. Dabei legt das Unternehmen Regelungen
für den Datenschutz beim Transfer von personenbezogenen Daten in diese Drittländer fest.
Die Binding Corporate Rules (BCR) müssen einen Schutz bieten, der im Wesentlichen den
Kernprinzipien der europäischen Datenschutzrichtlinie entspricht. Die Leitlinien hierzu sind
den Workpapers 74, 108, 153,154, 155 der Art. 29-Datenschutzgruppe der europäischen
Kommission zu entnehmen, hier findet man detaillierte Vorgaben zur Erstellung von
genehmigungsfähigen BCR.
BCR unterliegen in Niedersachsen der Genehmigungspflicht der Aufsichtsbehörde, welche
nach Vorlage der endgültigen BCR einzelne Datenübermittlungen oder bestimmte Arten von
Übermittlungen personenbezogener Daten aufgrund dieser BCR genehmigt (§ 4 c Abs. 2
BDSG). Die die Aufsichtsbehörde die erteilte Genehmigung nebst BCR an den Bund
vorlegen muss und dieser die Genehmigung weiter der EU-Kommission vorlegt, unterliegt
die Genehmigung einem Widerrufsvorbehalt (§ 4 c Abs. 3 BDSG und Art. 26 Abs. 3 EUDatenschutzrichtlinie).
Zur
Vereinfachung
des
Verfahrens
Datenschutzaufsichtsbehörden
auf
für
ein
internationale
koordiniertes
Konzerne
haben
sich
Genehmigungsverfahren
die
auf
europäischer Ebene geeinigt („Mutual Recognition“): Bei internationalen Konzernen mit
mehreren Niederlassungen agiert eine Aufsichtsbehörde als „Lead Authority“, welche den
Antrag und den Entwurf der BCR entgegennimmt und bearbeitet, mit dem Antragsteller
verhandelt und anschließend den Entwurf den anderen betroffenen Aufsichtsbehörden
vorstellt mit der Möglichkeit zur Äußerung. Die Bestätigung der Angemessenheit der BCR
gegenüber dem Unternehmen gilt dann für alle Aufsichtsbehörden. Wo dies erforderlich ist
(z.B. in Niedersachsen), wird anschließend ohne erneute Prüfung der BCR eine
Genehmigung nach § 4 c Abs. 2 BDSG von der einzelnen örtlichen Aufsichtsbehörde für ein
Mitglied der Unternehmensgruppe erteilt.
i) Safe Harbor
5
Die EU-Kommission und die US-amerikanische Regierung einigten sich auf das so genannte
Safe Harbor-Verfahren: US-amerikanische Unternehmen können sich den Safe HarborDatenschutzprinzipien unterwerfen und erreichen damit das in § 4 c Abs. 2 BDSG verlangte
angemessene Datenschutzniveau. Die entsprechenden Unternehmen werden in einer Liste
eingetragen, die abrufbar ist beim US Department of Commerce. Die Registrierung ist
jährlich zu aktualisieren.
Mit Urteil vom 06.10.15 hat der EuGH das Safe Harbor-Abkommen für ungültig erklärt. Die
EU-Kommission habe vor dem Abschluss des Abkommens nicht ausreichend geprüft, ob in
den USA ein angemessenes Datenschutzniveau besteht. Aufgrund der Rechtslage in den
USA, nach welcher massenhafte und anlasslose Zugriffe öffentlicher Stellen (insbesondere
Geheimdienstbehörden) auf personenbezogene Daten zulässig ist, ist dies fraglich. Nach
diesem Urteil ist eine Datenübermittlung in die USA, welche ausschließlich auf das Safe
Harbor-Abkommen gestützt ist, nicht mehr zulässig.
Die Landesbeauftragte für den Datenschutz Niedersachsen
Prinzenstraße 5
30159 Hannover
Telefon 0511 120-4500
Fax
0511 120-4599
E-Mail an [email protected] schreiben
Stand: 27.10.2015
6

Download Report