European Data Protection Supervisor
Der Europäische Datenschutzbeauftragte

Internationale Übermittlungen

Internationale Übermittlungen

Was Sie über internationale Übermittlungen wissen sollten

Mitunter müssen die Organe und Einrichtungen der EU im Rahmen ihrer täglichen Arbeit personenbezogene Daten an Empfänger außerhalb der Europäischen Union übermitteln, beispielsweise im Zusammenhang mit dem Geschäftsverkehr mit ausländischen öffentlichen Stellen (beispielsweise im Zuge von Betrugs- oder Wettbewerbsuntersuchungen), der Auslagerung von Diensten an externe Anbieter mit Sitz außerhalb der EU und/oder der Verarbeitung von Daten außerhalb der EU (z. B. Cloud-Computing, webgestützte Dienste) oder der Organisation von Dienstreisen von Bediensteten in Drittländer.

Die Übermittlung personenbezogener Daten (oder personenbezogener Informationen) von Organen und Einrichtungen der Europäischen Union (EU) an Länder, die nicht Mitglied des Europäischen Wirtschaftsraums (EWR) sind, d. h. an andere als die EU-Mitgliedstaaten sowie Norwegen, Island und Liechtenstein, ist in Kapitel V der Verordnung (EU)°2018/1725 geregelt, das in zahlreichen Aspekten der Verordnung (EU) 2016/679 entspricht.

Nach der Verordnung (EU) 2018/1725 kann eine internationale Übermittlung erfolgen, wenn ein angemessener Schutz der Grundrechte von natürlichen Personen (der betroffenen Personen) mit Blick auf den Datenschutz gegeben ist. Eine Beurteilung der Angemessenheit kann von denjenigen, die selbst eine Datenübermittlung in Länder außerhalb des EWR vornehmen möchten, oder von der Europäischen Kommission vorgenommen werden. Die Kommission hat festgelegt, dass in mehreren Ländern aufgrund ihrer innerstaatlichen Rechtsvorschriften oder der von diesen Ländern eingegangenen internationalen Verpflichtungen ein angemessenes Datenschutzniveau gewährleistet ist. Übermittlungen an US-Einrichtungen, die der Safe-Harbor-Regelung beigetreten sind, galten gemäß der Entscheidung 2000/520/EG der Europäischen Kommission vom 20. Juli 2000 als angemessen. Allerdings wurde diese Angemessenheitsentscheidung vom Gerichtshof der Europäischen Union am 6. Oktober 2015 (1) für ungültig erklärt, sodass auf dieser Grundlage keine Übermittlungen an die Vereinigten Staaten mehr erfolgen können. Am 2. Februar 2016 vereinbarten die Europäische Kommission und die Vereinigten Staaten von Amerika einen neuen Rahmen für transatlantische Datenübermittlungen: den „EU-US-Datenschutzschild“, der die Safe-Harbor-Regelung ersetzt und dazu führte, dass am 12. Juli 2016 eine neue Angemessenheitsentscheidung der Europäischen Kommission für die Übermittlung an US-Einrichtungen, die dem EU-US-Datenschutzschild beigetreten sind, offiziell angenommen wurde.

Liegt keine Angemessenheitsentscheidung vor, so können personenbezogene Daten unter bestimmten Bedingungen dennoch von den Organen und Einrichtungen der EU an Länder außerhalb des EWR übermittelt werden:

  • Dies ist der Fall, wenn die Organisation, die Daten an ein Land außerhalb des EWR übermitteln möchte, angemessene Garantien bieten kann, wie beispielsweise die Annahme der Standardvertragsklauseln der Kommission oder andere verbindliche Garantien, die vom Europäischen Datenschutzbeauftragten (EDSB) genehmigt wurden. (2)
  • Eine Organisation, die Daten an ein Land außerhalb des EWR übermitteln möchte, kann sich auf eine der in der Verordnung aufgeführten Ausnahmen stützen, sofern die Übermittlung nicht wiederholt, massenhaft oder routinemäßig erfolgt und kein anderer Rechtsrahmen genutzt werden kann. Zu diesen Ausnahmen zählen beispielsweise die Einwilligung einer natürlichen Person in die Übermittlung ihrer Daten oder eine zum Abschluss oder zur Erfüllung eines Vertrages bzw. zur Verteidigung von Rechtsansprüchen erforderliche Übermittlung.

(1) Urteil des Gerichtshofs vom 6. Oktober 2015 in der Rechtssache C-362/14 (Schrems).

(2) Mit Blick auf sonstige zusätzliche Garantien ist zudem auf die verbindlichen internen Datenschutzvorschriften (BCR) hinzuweisen. Dieses von den nationalen Datenschutzbehörden entwickelte Instrument kann von privaten Organisationen für den Austausch personenbezogener Daten zwischen Einrichtungen derselben Organisation eingesetzt werden. Es handelt sich um eine Art internen Verhaltenskodex, nach dem sich die Einrichtungen einer Organisation richten können. Das Instrument der BCR kann nicht von öffentlichen Stellen, wie etwa den Organen und Einrichtungen der EU, für ihre eigenen Übermittlungen genutzt werden, und der EDSB kann diese daher nicht genehmigen. Allerdings können die Organe und Einrichtungen der EU rechtsgültig einen privaten Dienstleistungsanbieter auswählen, der BCR zum Schutz von Übermittlungen innerhalb seiner Unternehmensgruppe eingegangen ist.

Welches sind die wichtigsten Datenschutzfragen?

Rechtmäßigkeit – Die Erfassung, Speicherung und Verwendung (Verarbeitung) von personenbezogenen Daten durch eine Organisation muss den Datenschutzvorschriften entsprechen. Außerdem muss jede Übermittlung solcher Daten eine geeignete Rechtsgrundlage haben (für die Organe und Einrichtungen der EU ist dies die Verordnung (EU) 2018/1725) und mit dem ursprünglichen Zweck der Verarbeitung kohärent sein.

Datenqualität – Organisationen, die Daten an ein Land außerhalb des EWR übermitteln möchten, müssen die Grundsätze der Zweckbindung (d. h. die Daten sind für einen konkreten Zweck zu übermitteln und anschließend nur in einem Umfang zu verwenden, der mit dem Zweck der Übermittlung in Einklang steht) und der Datensparsamkeit einhalten und die Richtigkeit der übermittelten Daten sowie die Einhaltung der Fristen für die Vorratsspeicherung der Daten gewährleisten.

Recht auf Information – Natürliche Personen (betroffene Personen) müssen sowohl vor der Übermittlung (d. h. zum Zeitpunkt der ersten Erfassung der Daten) als auch zum Zeitpunkt der Übermittlung über ihre Rechte und den Zweck der Verarbeitung ihrer Informationen unterrichtet werden.

Auskunftsrecht und Berichtigungsrecht – Natürliche Personen haben ein Recht auf Auskunft über die sie betreffenden verarbeiteten personenbezogenen Informationen sowie ein Recht auf Berichtigung etwaiger falscher oder unvollständiger Informationen. Ausnahmen können beispielsweise bei der Verfolgung von Straftaten gelten. Über den Aufschub der Unterrichtung sollte von Fall zu Fall entschieden werden und die Gründe für jede Beschränkung sind zu dokumentieren. Natürliche Personen müssen überdies darüber informiert werden, wie sie ihre Rechte ausüben können.

Verarbeitung besonderer Kategorien personenbezogener Daten – Die Verarbeitung besonderer Datenkategorien, wie etwa Gesundheitsdaten oder Daten, aus denen die rassische oder ethnische Herkunft hervorgeht, ist vorbehaltlich besonderer Umstände nach den Datenschutzvorschriften grundsätzlich untersagt. Beispielsweise ist die Verarbeitung sensibler Daten möglich, wenn die Verarbeitung für eine medizinische Diagnostik oder, sofern besondere Garantien vorliegen, für Beschäftigungszwecke erforderlich ist.

Garantien für die Übermittlung personenbezogener Daten an Länder, in denen ein angemessener Datenschutz nicht gewährleistet ist

Angemessene Garantien sind Datenschutzgarantien, die speziell für die Übermittlung personenbezogener Daten an einen Empfänger in einem Land außerhalb des EWR gelten, in dem ein angemessener Datenschutz nicht gewährleistet ist. Diese Garantien müssen in einem rechtsverbindlichen Instrument, wie einem Vertrag oder einer Absichtserklärung, zwischen der übermittelnden und der empfangenen Partei festgelegt sein. Darin sollten die einzuhaltenden Datenschutzgrundsätze eindeutig beschrieben werden, insbesondere

  • sollten die Daten für einen spezifischen Zweck verarbeitet und anschließend nur in einem Umfang verwendet oder weitergegeben werden, der mit dem Zweck der Übermittlung in Einklang steht;
  • Datenqualität und Verhältnismäßigkeit;
  • Unterrichtung der betroffenen Personen;
  • Sicherheitsmaßnahmen;
  • Möglichkeit für die betroffenen Personen, ihre Rechte auf Auskunft, Berichtigung und Widerspruch auszuüben;
  • Einschränkungen für die Weiterübermittlung durch den Datenempfänger;
  • wirksame Überwachungs- und Durchsetzungsmechanismen, um sicherzustellen, dass die vorstehend genannten Grundsätze eingehalten werden.

Bereitzustellen sind ferner eine genaue Beschreibung der Übermittlung, wie etwa Angaben zu Datenkategorien, Zweck, Speicherdauer und den Einzelheiten der Sicherheitsmaßnahmen, die den natürlichen Personen (betroffenen Personen) zur Verfügung zu stellenden Informationen sowie Angaben dazu, wie diese ihre Rechte ausüben können.

Weitere Informationen

Die folgende nicht erschöpfende Liste ist eine Dokumentenauswahl an weiterführender Literatur:

Dokumente des EDSB:

Sonstiges:

Safe-Harbor-Abkommen und EU-US-Datenschutzschild:

Entscheidungsbaum

Schritt 1

/file/schritt1png-0_deschritt1.png

Schritt1

Schritt 2

/file/schritt2png_deschritt2.png

Schritt2