Datenübermittlung an EU-Drittländer und Marktortprinzip: Änderungen nach DSGVO

von Dr. Christiane Bierekoven

       

Bislang war die Übermittlung personenbezogener Daten außerhalb der EU in Drittstaaten eines der schwierigsten Themen des Daten­schutz­rechtes, da sichergestellt sein musste, dass die Anbieter in Drittstaaten ein ange­messenes Daten­schutz­niveau einhalten. Zuletzt fand das Thema im Zusammenhang mit dem Safe-Harbor Urteil des EuGH vom 6. Oktober 2015 und dem Inkraft treten des neuen Privacy-Shield zum 12. Juli 2016 große Beachtung. Wir zeigen auf, ob und welche Änderungen es im Vergleich zur bisherigen Rechts­lage gibt.

     

Welche Grundsätze gelten für die Datenübermittlung in Drittländer?

Nach der DSGVO gilt ebenso wie bislang, dass es maßgeblich darauf ankommt, ob der Daten­ver­arbeiter im Dritt­land ein angemessenes Daten­schutzniveau einhält. Ist dies nicht der Fall, ist zu prüfen, ob eine Ausnahme für die Über­mittlung eingreift. Diese Regelung betrifft insbesondere sämtliche modernen Cloud Services, die von Anbietern mit Sitz außerhalb der EU erbracht werden.

     

Die Datenübermittlung an einen solche Anbieter ist nur zulässig, wenn
  • die EU-Kommission ein angemessenes Schutzniveau für den Drittstaat festgestellt hat,
  • Standardvertragsklauseln verwendet werden,
  • genehmige Binding Corporate Rules genehmigt werden,
  • eine Einzelgenehmigung einer Aufsichtsbehörde vorliegt,
  • die Betroffenen nach Information über die spezifischen Risiken der Daten­über­mittlung eingewilligt haben und
  • der Datentransfer einen überschaubaren Umfang hat und aufgrund zwingender berechtigter Interessen des Verantwortlichen gerechtfertigt ist.

     

Die Anforderungen an die Feststellung des angemessenen Datenschutzniveaus wurden in Art. 45 Abs. 2 DSGVO im Vergleich zur bisherigen Rechtslage verschärft.

     

Liegen die vorgenannten Voraussetzungen nicht vor, ist zu prüfen, ob eine Ausnahme nach Art. 49 DSGVO greift. Die in der Praxis wichtigsten Ausnahmen sind:
  • Übermittlung zur Erfüllung eines Vertrages oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person
  • Übermittlung zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einer anderen natürlichen oder juristischen Person geschlossenen Vertrags
  • Übermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen

 

Was gilt für bisherige Angemessenheitsbeschlüsse der EU-Kommission?

Die bisherigen Angemessenheits­beschlüsse bleiben so lange in Kraft, bis sie nach einem Prüf­verfahren von der EU-Kommission geändert, ersetzt oder aufgehoben werden, Art. 47 Abs. 9 DSGVO. Diese Prüfverfahren werden alle 4 Jahre durchgeführt (Art. 47 Abs. 3 S. 2 DSGVO). Erfolgt ein Widerruf oder eine Änderung oder Ersetzung eines Angemessenheits­beschlusses, gilt dies jedoch nur für die Zukunft, nicht für die Vergangenheit. Deshalb bleiben die bis zu einem solchen Akt durchgeführten Datenverarbeitungsmaßnahmen rechtmäßig.

 

Welche weiteren Möglichkeiten der Datenübermittlung gibt es?

Besteht kein Angemessenheitsbeschluss oder greift keiner der vorgenannten Ausnahme­tat­bestände, ist eine Datenübermittlung nur bei Vorliegen geeigneter Garantien zulässig. Als solche kommen neben den bereits genannten Binding Corporate Rules und Standardvertragsklauseln auch genehmigte Verhaltensregelungen und Zertifizierungsverfahren nach Art. 40, 41 DSGVO in Betracht.

 

Was gilt für eine Weiterübermittlung personenbezogener Daten?

Die Anforderungen an eine Weiterübermittlung personenbezogener Daten in einen Drittstaat wurden im Vergleich zur bisherigen Rechtslage erheblich verschärft. Nach Art. 44, 2. HS DSGVO muss nicht nur bzgl. der erstmaligen Übermittlung personenbezogener Daten an den Dienstleister im Drittland sichergestellt werden, dass die Anforderungen an die internationale Daten­über­mittlung und die sonstigen Bestimmungen des DSGVO eingehalten werden, sondern auch bei einer Weiterübermittlung durch den Dienstleister im Drittland. Damit soll gewährleistet werden, dass das Datenschutzniveau der DSGVO nicht untergraben wird. Deshalb ist sicherzustellen, dass die Anforderungen der DSGVO bei der Weiterübermittlung eingehalten werden und zwar auch bei Datenverarbeitungen, die in Drittstaaten oder sogar in mehreren Drittstaaten stattfinden. Die DSGVO erhebt den Anspruch, nicht nur in der EU zu gelten, sondern darüber hinaus für alle Datenverarbeitungsprozesse, die sich auf personenbezogene Daten europäischer Bürger beziehen.

 

Müssen auch Anbieter mit Sitz außerhalb der EU die DSGVO beachten?

Neu im Vergleich zur bisherigen Rechtslage ist ebenso der territoriale Anwendungsbereich der DSGVO, da er nach Art. 3 Abs. 2 gem. dem sog. Marktortprinzip auch dann gilt, wenn ein Unter­nehmen weder seinen Sitz noch eine Niederlassung in der EU hat, jedoch Personen in der EU entgeltlich oder unentgeltlich Waren oder Dienstleistungen anbietet oder deren Verhalten beobachtet.

    

Beim Angebot genügt zwar die bloße Zugänglichkeit einer Website, einer E-Mail Adresse oder anderer Kontaktdaten ebenso wenig wie die Verwendung einer allgemein in dem Drittstaat des Anbieters gebräuchlichen Sprache, jedoch führt die Verwendung einer Sprache oder Währung, die in einem oder mehreren Mitgliedstaaten gebräuchlich ist, in Verbindung mit der Möglichkeit, Waren oder Dienstleistungen in der anderen Sprache zu verwenden zur Anwendbarkeit der DSGVO (Erwägungsgrund 23). Zur Beobachtung gehört die bereits die Feststellung zu Internetaktivitäten, also Profiling und Tracking.

 

Fazit

Eine Übermittlung personenbezogener Daten in ein Drittland darf auch unter der DSGVO nur dann erfolgen, wenn der Anbieter im Drittland ein angemessenes Datenschutzniveau aufweist. Die Instrumentarien zur Übermittlung sind im Wesentlichen geblieben. Hinzugekommen sind genehmigte Verhaltensregelungen und Zertifizierungen als Garantien für die Einhaltung eines angemessenen Datenschutzniveaus. Zudem wurde das Niveau zur Feststellung der Ange­messen­heit des Daten­schutzniveaus im Rahmen eines Angemessen­heitsbeschlusses der EU-Kommission angehoben. Bestehende Garantien werden künftig von der EU-Kommission überprüft und können von dieser für die Zukunft wiederrufen, geändert oder ersetzt werden.

Neu ist die Einführung des Marktortprinzips, wonach die Angemessenheit des Daten­schutz­niveaus auch bei Weiterübermittlungen in Drittländern eingehalten werden müssen. Dies ist vertraglich abzusichern.

    

Zudem gilt die DSGVO nach dem Marktortprinzip selbst dann, wenn Anbieter zwar weder ihren Sitz noch eine Niederlassung in der EU haben, jedoch EU-Bürger Waren oder Dienstleistungen entgeltlich oder unentgeltlich anbieten oder Profiling- oder Tracking-Tools einsetzen, um deren Verhalten zu beobachten. Deswegen müssen solche Anbieter künftig sehr genau prüfen, ob dies der Fall ist und in diesen Fällen die Anforderungen der Datenschutzgrundverordnung sicherstellen.

      

zuletzt aktualisiert am 10.08.2016

 Kontakt

Dr. Alexander Theusner, LL.M. (Hong Kong)

Rechtsanwalt

Associate Partner

+86 (20) 22 64 – 63 88

Anfrage senden

 Wir beraten Sie gern!

 Wirtschaftsmagazin

Wir verwenden Cookies, um die Website zu personalisieren und zu analysieren. Weitere Informationen, auch zu Widerspruchsmöglichkeiten, finden Sie in unseren Datenschutzbestimmungen. Durch Nutzen der Webseite oder Ihr ausdrückliches Einverständnis stimmen Sie dem zu.
Deutschland Weltweit Search Menu