Übermittlung personenbezogener Daten in Drittländer
Das europäische Datenschutzrecht gewährleistet ein hohes Schutzniveau für innerhalb der Europäischen Union (EU) bzw. innerhalb des Europäischen Wirtschaftsraums (EWR; dazu gehören die Mitgliedstaaten der EU sowie Norwegen, Island und Liechtenstein) verarbeitete personenbezogene Daten. Sofern personenbezogene Daten aus der der EU bzw. dem EWR – d.h. in ein so genanntes Drittland - hinausbefördert werden, sieht die Datenschutz-Grundverordnung vor, dass das hohe Schutzniveau grundsätzlich im Wesentlichen auch nach der Übermittlung gewährleistet bleiben muss. Insgesamt gibt es drei Szenarien, für die nach der DSGVO die Übermittlung personenbezogener Daten in Drittländer erlaubt sein kann:
1.) Drittland mit angemessenem Datenschutzniveau
Sofern das Zielland, in das die Daten übermittelt werden, über ein von der Europäischen Kommission als solches verbindlich anerkanntes sog. angemessenes Datenschutzniveau verfügt, können personenbezogene Daten dorthin ohne zusätzliche Schutzmaßnahmen übermittelt werden. Die Liste dieser sog. Drittländer mit angemessenem Datenschutzniveau findet sich auf der Website der Europäischen Kommission unter https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en.
Für Übermittlungen personenbezogener Daten in die USA besteht seit dem 10. Juli 2023 der Angemessenheitsbeschluss der Europäischen Kommission zum sog. EU-US Data Privacy Framework (EU-U.S. DPF). Nähere Informationen dazu finden Sie in diesem Dokument.
2.) Geeignete Garantien
Für Übermittlungen in andere Drittländer muss die übermittelnde Stelle hingegen besondere, sog. (vertragliche) Geeignete Garantien zur Anwendung bringen, etwa Standarddatenschutzklauseln oder sog. Binding Corporate Rules (Weitere Informationen). Diese Garantieinstrumente genügen aber nicht "automatisch", um die Übermittlung zu legitimieren. Vielmehr muss - so der Europäische Gerichtshof im sog. Schrems-II-Urteil - die übermittelnde Stelle auf Grundlage der jeweiligen Übermittlung und der spezifischen Rechtslage und Situation im Drittland im konkreten Einzelfall prüfen, ob sie ergänzend zu den verwendeten Geeigneten Garantien (z.B. ergänzend zu den Standarddatenschutzklauseln) so genannte zusätzliche Maßnahmen (supplementary measures) ergreifen muss, um die Daten in einer vergleichbaren Weise zu schützen wie dies innerhalb der Europäischen Union der Fall ist. Hierbei muss die Daten übermittelnde Stelle ("Datenexporteur") vor allem prüfen, in welchem Umfang Behörden im Drittland die Möglichkeit haben, Zugriff auf personenbezogene Daten zu nehmen, und ob den betroffenen Personen dagegen ausreichende Rechtsschutzmöglichkeiten zur Verfügung stehen. Akzeptabel sind nur behördliche Zugriffsmöglichkeiten und Rechtsschutzmöglichkeiten, die den Mindeststandards des EU-Rechts genügen. Ergebnis dieser vom Datenexporteur vorzunehmenden Prüfung kann u.U. auch sein, dass es sich aufgrund der Rechtslage und Situation im Drittland als unmöglich erweist, die Verpflichtungen aus den Geeigneten Garantien einzuhalten, und dies auch nicht mit Hilfe zusätzlicher Maßnahmen erreicht werden kann. In solchen Fällen muss die Übermittlung unterbleiben. Näheres zu dieser vom Datenexporteur vorzunehmenden Prüfung und zu möglichen sog. zusätzlichen Maßnahmen hier.
3.) Ausnahmen nach Artikel 49 DSGVO
Schließlich gibt es eine begrenzte Zahl von sog. Ausnahmetatbeständen nach Artikel 49 DSGVO, die für ganz bestimmte, eng umrissene Situationen eine Übermittlung in ein Drittland ausnahmsweise auch ohne Garantien nach Artikel 46 DSGVO erlaubt; näheres zu den Ausnahmetatbeständen nach Artikel DSGVO findet sich im Leitlinienpapier 2/2018 des Europäischen Datenschutzausschusses (Weitere Informationen).
Zusammenfassend ist festzuhalten:
Personenbezogene Daten dürfen aus der Europäischen Union in Nicht-EU-/EWR-Länder (sog. Drittländer) nur übermittelt werden, wenn
- das Drittland ein von der Europäischen Kommission als angemessen anerkanntes Datenschutzniveau besitzt,
- sog. geeignete Garantien zum Einsatz gebracht werden, z. B. Standarddatenschutzklauseln, Binding Corporate Rules; Achtung: In diesen Fällen – je nach Rechtslage und Situation im jeweiligen Zielland – müssen unter Umständen für die Absicherung der Übermittlung zusätzliche Maßnahmen ergriffen werden; in einigen Fällen ist dies u.U. nicht möglich, so dass die Übermittlung dann unterbleiben muss (Weitere Informationen);
- oder eine der Ausnahmemöglichkeiten nach Art. 49 DS-GVO einschlägig ist.