Was ist mit „Datenübermittlung ins Ausland“ gemeint?

Die DSGVO nimmt „jedwede Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation“ ins Visier, egal ob die Daten „bereits verarbeitet werden oder nach ihrer Übermittlung verarbeitet werden sollen“ (Art. 44 S. 1 DSGVO). Damit ist nicht nur eine „Übersendung“ von Daten gemeint, sondern auch jegliche Möglichkeit zum Abruf der Daten oder Zugriff darauf aus dem Ausland. 

Wann ist Datenübermittlung ins Ausland erlaubt?

Eine Datenübermittlung jeglicher Art ist nur mit einer ausreichenden Rechtsgrundlage gem. Art. 6 DSGVO erlaubt. Wenn eine Rechtsgrundlage vorliegt und die Voraussetzungen der Verordnung erfüllt sind, ist die Weitergabe der Daten innerhalb des Landes unproblematisch. 

An Datenübermittlungen ins Ausland stellt Art. 44 DSGVO eine zusätzliche Anforderung: die Einhaltung aller Bestimmungen der Verordnung sowohl durch den ursprünglichen Verantwortlichen und dessen Auftragsverarbeitern  als auch durch das Drittland oder die Drittorganisation im Falle der Übermittlung an weitere Dritte. Das heißt, dass der ursprüngliche Dritte (Land oder internationale Organisation) sich grundsätzlich dem Datenschutzstandard  der Verordnung in gleichem Ausmaß unterwerfen muss.

Wie lässt sich ein gleicher Schutzstandard sicherstellen?

Um mit Sicherheit von einem gleichen Schutzstandard ausgehen zu können, gibt es für den Verantwortlichen verschiedene Möglichkeiten:

• Datenübermittlung an ein Drittland oder eine internationale Organisation mit einem von der Europäischen Kommission festgestellten angemessenen Schutzniveau;
• Datenübermittlung mit geeigneten Garantien und gesicherter Rechtsverwirklichung für den Betroffenen (ggf. vorbehaltlich einer Genehmigung der Aufsichtsbehörde);
• Datenübermittlung aufgrund verbindlicher interner Datenschutzvorschriften, die durch die Aufsichtsbehörde genehmigt wurden.

Wann liegt ein angemessenes Schutzniveau vor?

Gem. Art. 45 Abs. 1 S. 1 DSGVO darf die Datenübermittlung an ein Drittland oder eine internationale Organisation erfolgen, wenn die europäische Kommission u.a. nach den in Abs. 2 aufgeführten Kriterien mit Beschluss festgestellt hat, dass das Drittland (oder ein Teil davon) bzw. die internationale Organisation ein angemessenes Schutzniveau bietet. Diese Beschlüsse werden im Amtsblatt der EU sowie auf der Webseite der Kommission veröffentlicht.

Was sind geeignete Garantien?

Eine Datenübermittlung ins Ausland darf ferner erfolgen, „sofern der Verantwortliche oder der Auftragsverarbeitern geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen“ (Art. 46 Abs. 1 DSGVO). 

Nach Art. 46 Abs. 2 können diese Garantien (nicht ausschließlich) in folgenden Formen bestehen:

• einem rechtlich bindenden und durchsetzbaren Dokument zwischen den Behörden oder öffentlichen Stellen;
• verbindlich internen Datenschutzvorschriften gem. Art 47 DSGVO;
• von der Kommission im Verfahren nach Art. 93 Abs. 2 DSGVO erlassenen oder  genehmigten und von einer Aufsichtsbehörde    angenommenen Standarddatenschutzklauseln;
• genehmigten Verhaltensregeln gem. Art. 40 DSGVO oder einem genehmigten Zertifizierungsmechanismus nach Art. 42 DSGVO zusammen mit rechtsverbindlichen und durchsetzbaren Pflichten des Verantwortlichen und/oder der Aufragsverarbeiter im Drittland zur Anwendung der geeigneten Garantien (inkl. hinsichtlich der Rechte der Betroffenen).

Zudem bestimmt Art. 46 Abs. 3, dass geeignete Garantien auch in vereinbarten Vertragsklauseln zwischen dem Verantwortlichen und Auftragsverarbeitern und dem Dritten oder in zwischen Behörden/öffentlichen in Verwaltungsvereinbarungen aufzunehmenden Bestimmungen, die durchsetzbare und wirksame Rechte für Betroffene einschließen, bestehen. 

ABER: Dies gilt nur vorbehaltlich einer Genehmigung durch die zuständige Aufsichtsbehörde, die sie nach einem durchgeführten Kohärenzverfahren gem. Art. 63 DSGVO erteilen kann. D.h., dass Online-Händler, die sich hinsichtlich der Rechtmäßigkeit der Datenübermittlung ins Ausland auf eigene Verträge mit ihren Partnern oder aber auf existierende Verwaltungsbestimmungen in beiden Ländern berufen möchten, sich immer zuerst zwecks einer Genehmigung an die Aufsichtsbehörde wenden müssen.

Was sind verbindliche interne Datenschutzvorschriften

Hierbei handelt es sich um ein dem letzten Punkt ähnliches Thema, nämlich um privat vereinbarte Datenschutzklauseln zwischen Geschäftspartnern. Doch anders als bei den vereinbarten Garantien nach Art. 46 Abs. 3 DSGVO sind in der gesonderten Regelung des Art. 47 DSGVO Datenschutzvorschriften gemeint, die zwischen Mitgliedern einer Unternehmensgruppe oder eine Gruppe von Unternehmen mit einer gemeinsamen Wirtschaftstätigkeit vereinbart wurden und für alle diesen gelten sollen. Solche Datenschutzvorschriften bedürfen gem. Art. 47 Abs. 1 DSGVO ebenfalls einer Genehmigung der Aufsichtsbehörde und sie erfolgt wiederum nur sofern die Vorschriften:

• für alle betreffenden Mitglieder der Gruppe sowie ihre Beschäftigten rechtlich bindend sind,
• Betroffenen durchsetzbare Rechte bzgl. der Datenverarbeitung ausdrücklich einräumt und
• die in Art. 47 Abs. 2 festgelegten Anforderungen an den Inhalt (bestimmte Angaben, die gemacht werden müssen) der Datenschutzvorschriften erfüllen

Gibt es Ausnahmefälle?

Ja, Ausnahmen gibt es, und sie sind in Art. 49 DSGVO geregelt. Also kann eine Datenübermittlung ins Ausland bzw. an eine internationale Organisation in gewissen, genau geregelten Fällen auch ohne vorliegenden Angemessenheitsbeschluss der Kommission oder ohne geeignete Garantien bzw. verbindliche interne Datenschutzvorschriften erfolgen:

• bei einer ausdrücklichen Einwilligung des Betroffenen nach erfolgter Belehrung über die möglichen Risiken ohne Kommissionsbeschluss oder geeignete Garantien;
• die Datenübermittlung ist zur Erfüllung eines Vertrages oder vorvertraglicher Maßnahmen erforderlich;

• die Übermittlung ist für den Abschluss eines Vertrages zwischen dem Verantwortlichen und einem Dritten erforderlich, der im Interesse des Betroffenen liegt;
• die Übermittlung ist aus wichtigen Gründen des öffentlichen Interesses notwendig;
• die Übermittlung ist zur Durchsetzung rechtlicher Ansprüche erforderlich;
• die Übermittlung ist zum Schutz lebenswichtiger Interessen des Betroffenen oder anderer erforderlich, sofern der Betroffene physisch oder rechtlich zur Einwilligung außerstande ist;
• die Übermittlung erfolgt aus einem öffentlichen Register, das nach dem Recht der EU oder eines Mitgliedstaates allen Personen oder Personen mit einem berechtigten Interesse zur Einsichtnahme offensteht, soweit die rechtlichen Voraussetzungen für die Einsichtnahme erfüllt sind;
• wenn auch keiner der o.g. Fälle vorliegt, darf eine nicht wiederholte Übermittlung erfolgen, die nur eine begrenzte Zahl von Personen    betrifft und der Wahrung zwingender, berechtigter und im konkreten Fall überwiegender Interessen des Verantwortlichen dient; der Verantwortliche muss dabei allerdings die Umstände der Übermittlung beurteilen und angemessene Datenschutzgarantien vorsehen, die Aufsichtsbehörde und den Betroffenen von der Übermittlung in Kenntnis setzen sowie den Betroffenen von seinen überwiegenden berechtigten Interessen nach Art. 13 und 14 DSGVO informieren.

Art. 49 Abs. 2 bis 6 regeln dann einige spezifische Modalitäten der jeweiligen Ausnahmefälle. 

Wohin und wann darf ich also schließlich Daten übermitteln?

Innerhalb der EU: Die DSGVO und ihr Schutzstandard gelten in vollem Umfang für jedes EU-Land und für die EU-Institutionen, sodass eine Datenübermittlung aus der EU ins EU-Ausland lediglich die grundsätzlichen rechtlichen Anforderungen (hinreichende Rechtsgrundlage) erfüllen muss.

Außerhalb der EU

Mit entsprechendem Schutzstandard: Eine rechtskonforme Datenübermittlung darf ohne zusätzliche Voraussetzungen an ein fremdes Nicht-EU-Land/eine internationale Organisation erfolgen, wenn die europäische Kommission in diesen per Beschluss ein angemessenes Datenschutzniveau festgestellt hat. Beachte: Der Beschluss kann sich auch nur auf bestimmte Teile des jeweiligen Landes beziehen.

Ohne  entsprechenden Schutzstandard: Liegt kein Angemessenheitsbeschluss der Kommission vor, so müssen entweder geeignete Garantien für einen entsprechenden Datenschutz im Drittland oder dahingehende, durch die zuständige Aufsichtsbehörde genehmigte    verbindliche interne Datenschutzvorschriften bzw. einzeln ausgehandelte Vertragsklauseln vorliegen, damit die Datenübermittlung ins Ausland oder an die internationale Organisation verordnungskonform erfolgt.

Unser Tipp

Überprüfen Sie, ob Sie überhaupt personenbezogene Daten Ihrer Kunden anderen Personen im Ausland zur Verfügung stellen, ob durch aktive Übersendung, im Rahmen eines Verarbeitungsauftrages oder indem Sie einen Zugang oder Einblick darin gewähren. Sollte dies der Fall sein, stellen Sie fest, ob Sie die Daten ins EU- oder ins Nicht-EU-Ausland auslagern und ermitteln Sie damit welcher Schutzstandard im anderen Land bzw. in der anderen Organisation gilt. Falls Sie ins Nicht-EU-Ausland Daten übermitteln und für das jeweilige Land kein Angemessenheitsbeschluss vorhanden ist, überlegen Sie welchen Weg für Sie die beste Lösung darstellt: ob über geeignete Garantien oder über vereinbarte Klauseln mit Einschaltung der Aufsichtsbehörde. 

Information zu Standard-Vertragsklauseln

Durch Beschluss der EU-Kommission wurden neue Standard-Vertragsklauseln beschlossen. Diese sind ab dem 29.09.2021 für alle Neuverträge, welche die Datenübermittlung an nicht EU-Länder regeln, verbindlich zu verwenden.

Diese sind unter folgendem Link zu finden: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32021D0914

Diese müssen unverändert verwendet werden, damit diese gültig sind. 

Für Altverträge gilt eine Übergangsfrist von 18 Monaten (Bis 27.12.2022). Bis zu diesem Datum müssen die alten Vertragsklauseln gegen die neuen Standard-Vertragsklauseln ausgetauscht sein.

Datenübermittlung in die USA

Zwischen den USA und der EU gibt es ab dem 11.07.2023 ein gültiges Datenschutzabkommen (DPF; Data Privacy Framework) mit sofortiger Gültigkeit. Dieser Vertrag gewährleistet ein vergleichbares Datenschutzniveau in den USA, mittels eines Angemessenheitsbeschlusses (Art. 45 (3)).

Unternehmen in den USA müssen die Umsetzung des Datenschutzniveaus mit einem gültigen Zertifikat EU-US DPF nachweisen.

Bei Nutzung von US-Anbietern müssen daher folgende Prüfungen erfolgen und Maßnahmen umgesetzt werden:

• Prüfung US-Anbieter (Dienst) EU-US PDF zertifiziert
• Erfassung der US-Anbieter (Dienst) im eigenen Unternehmen
• Einwilligung der Nutzer / Betroffenen Personen über Cookie Banner / Datenschutzeinwilligung zur Verarbeitung von persönlichen Daten
• Anpassen der Datenschutzerklärung im Unternehmen
• Ggf. Anpassen der Datenschutzverarbeitungsverträge
• Datenschutzfolgeabschätzung umsetzen

Unser Tipp

Überprüfen Sie, ob Sie überhaupt personenbezogene Daten Ihrer Kunden anderen Personen im Ausland zur Verfügung stellen, ob durch aktive Übersendung, im Rahmen eines Verarbeitungsauftrages oder indem Sie einen Zugang oder Einblick darin gewähren. Sollte dies der Fall sein, stellen Sie fest, ob Sie die Daten ins EU- oder ins Nicht-EU-Ausland auslagern und ermitteln Sie damit welcher Schutzstandard im anderen Land bzw. in der anderen Organisation gilt. Falls Sie ins Nicht-EU-Ausland Daten übermitteln und für das jeweilige Land kein Angemessenheitsbeschluss vorhanden ist, überlegen Sie welchen Weg für Sie die beste Lösung darstellt: ob über geeignete Garantien oder über vereinbarte Klauseln mit Einschaltung der Aufsichtsbehörde.

Checkliste Datenübermittlung in nicht EU-Länder IMS Services Formular O1R14_DatSch_Anlage 1 Check Datenübermittlung nicht EU Land.docx (47.5KB)

Checkliste Datenübermittlung in nicht EU-Länder
IMS Services Formular

O1R14_DatSch_Anlage 1 Check Datenübermittlung nicht EU Land.docx (47.5KB)