Was Sie über internationale Übermittlungen wissen sollten
Mitunter müssen die Organe und Einrichtungen der EU im Rahmen ihrer täglichen Arbeit personenbezogene Daten an Empfänger außerhalb der Europäischen Union übermitteln, beispielsweise im Zusammenhang mit dem Geschäftsverkehr mit ausländischen öffentlichen Stellen (beispielsweise im Zuge von Betrugs- oder Wettbewerbsuntersuchungen), der Auslagerung von Diensten an externe Anbieter mit Sitz außerhalb der EU und/oder der Verarbeitung von Daten außerhalb der EU (z. B. Cloud-Computing, webgestützte Dienste) oder der Organisation von Dienstreisen von Bediensteten in Drittländer.
Die Übermittlung personenbezogener Daten (oder personenbezogener Informationen) von Organen und Einrichtungen der Europäischen Union (EU) an Länder, die nicht Mitglied des Europäischen Wirtschaftsraums (EWR) sind, d. h. an andere als die EU-Mitgliedstaaten sowie Norwegen, Island und Liechtenstein, ist in Kapitel V der Verordnung (EU)°2018/1725 geregelt.
Nach der Verordnung (EU) 2018/1725 kann eine internationale Übermittlung erfolgen, wenn ein angemessener Schutz der Grundrechte von natürlichen Personen (der betroffenen Personen) mit Blick auf den Datenschutz gegeben ist. Eine Beurteilung der Angemessenheit kann von denjenigen, die selbst eine Datenübermittlung in Länder außerhalb des EWR vornehmen möchten, oder von der Europäischen Kommission vorgenommen werden. Die Kommission hat festgelegt, dass in mehreren Ländern aufgrund ihrer innerstaatlichen Rechtsvorschriften oder der von diesen Ländern eingegangenen internationalen Verpflichtungen ein angemessenes Datenschutzniveau gewährleistet ist. Übermittlungen an US-Einrichtungen, die der Safe-Harbor-Regelung beigetreten sind, galten gemäß der Entscheidung 2000/520/EG der Europäischen Kommission vom 20. Juli 2000 als angemessen. Allerdings wurde diese Angemessenheitsentscheidung vom Gerichtshof der Europäischen Union am 6. Oktober 2015 (1) für ungültig erklärt, sodass auf dieser Grundlage keine Übermittlungen an die Vereinigten Staaten mehr erfolgen können. Am 2. Februar 2016 vereinbarten die Europäische Kommission und die Vereinigten Staaten von Amerika einen neuen Rahmen für transatlantische Datenübermittlungen: den „EU-US-Datenschutzschild“, der die Safe-Harbor-Regelung ersetzt und dazu führte, dass am 12. Juli 2016 eine neue Angemessenheitsentscheidung der Europäischen Kommission für die Übermittlung an US-Einrichtungen, die dem EU-US-Datenschutzschild beigetreten sind, offiziell angenommen wurde.
Liegt keine Angemessenheitsentscheidung vor, so können personenbezogene Daten unter bestimmten Bedingungen dennoch von den Organen und Einrichtungen der EU an Länder außerhalb des EWR übermittelt werden:
- Dies ist der Fall, wenn die Organisation, die Daten an ein Land außerhalb des EWR übermitteln möchte, angemessene Garantien bieten kann, wie beispielsweise die Annahme der Standardvertragsklauseln der Kommission oder andere verbindliche Garantien, die vom Europäischen Datenschutzbeauftragten (EDSB) genehmigt wurden. (2)
- Eine Organisation, die Daten an ein Land außerhalb des EWR übermitteln möchte, kann sich auf eine der in der Verordnung aufgeführten Ausnahmen stützen, sofern die Übermittlung nicht wiederholt, massenhaft oder routinemäßig erfolgt und kein anderer Rechtsrahmen genutzt werden kann. Zu diesen Ausnahmen zählen beispielsweise die Einwilligung einer natürlichen Person in die Übermittlung ihrer Daten oder eine zum Abschluss oder zur Erfüllung eines Vertrages bzw. zur Verteidigung von Rechtsansprüchen erforderliche Übermittlung.
(1) Urteil des Gerichtshofs vom 6. Oktober 2015 in der Rechtssache C-362/14 (Schrems).
(2) Mit Blick auf sonstige zusätzliche Garantien ist zudem auf die verbindlichen internen Datenschutzvorschriften (BCR) hinzuweisen. Dieses von den nationalen Datenschutzbehörden entwickelte Instrument kann von privaten Organisationen für den Austausch personenbezogener Daten zwischen Einrichtungen derselben Organisation eingesetzt werden. Es handelt sich um eine Art internen Verhaltenskodex, nach dem sich die Einrichtungen einer Organisation richten können. Das Instrument der BCR kann nicht von öffentlichen Stellen, wie etwa den Organen und Einrichtungen der EU, für ihre eigenen Übermittlungen genutzt werden, und der EDSB kann diese daher nicht genehmigen. Allerdings können die Organe und Einrichtungen der EU rechtsgültig einen privaten Dienstleistungsanbieter auswählen, der BCR zum Schutz von Übermittlungen innerhalb seiner Unternehmensgruppe eingegangen ist.
Welches sind die wichtigsten Datenschutzfragen?
Rechtmäßigkeit – Die Erfassung, Speicherung und Verwendung (Verarbeitung) von personenbezogenen Daten durch eine Organisation muss den Datenschutzvorschriften entsprechen. Außerdem muss jede Übermittlung solcher Daten eine geeignete Rechtsgrundlage haben (für die Organe und Einrichtungen der EU ist dies die Verordnung (EU) 2018/1725) und mit dem ursprünglichen Zweck der Verarbeitung kohärent sein.
Datenqualität – Organisationen, die Daten an ein Land außerhalb des EWR übermitteln möchten, müssen die Grundsätze der Zweckbindung (d. h. die Daten sind für einen konkreten Zweck zu übermitteln und anschließend nur in einem Umfang zu verwenden, der mit dem Zweck der Übermittlung in Einklang steht) und der Datensparsamkeit einhalten und die Richtigkeit der übermittelten Daten sowie die Einhaltung der Fristen für die Vorratsspeicherung der Daten gewährleisten.
Recht auf Information – Natürliche Personen (betroffene Personen) müssen sowohl vor der Übermittlung (d. h. zum Zeitpunkt der ersten Erfassung der Daten) als auch zum Zeitpunkt der Übermittlung über ihre Rechte und den Zweck der Verarbeitung ihrer Informationen unterrichtet werden.
Auskunftsrecht und Berichtigungsrecht – Natürliche Personen haben ein Recht auf Auskunft über die sie betreffenden verarbeiteten personenbezogenen Informationen sowie ein Recht auf Berichtigung etwaiger falscher oder unvollständiger Informationen. Ausnahmen können beispielsweise bei der Verfolgung von Straftaten gelten. Über den Aufschub der Unterrichtung sollte von Fall zu Fall entschieden werden und die Gründe für jede Beschränkung sind zu dokumentieren. Natürliche Personen müssen überdies darüber informiert werden, wie sie ihre Rechte ausüben können.
Verarbeitung besonderer Kategorien personenbezogener Daten – Die Verarbeitung besonderer Datenkategorien, wie etwa Gesundheitsdaten oder Daten, aus denen die rassische oder ethnische Herkunft hervorgeht, ist vorbehaltlich besonderer Umstände nach den Datenschutzvorschriften grundsätzlich untersagt. Beispielsweise ist die Verarbeitung sensibler Daten möglich, wenn die Verarbeitung für eine medizinische Diagnostik oder, sofern besondere Garantien vorliegen, für Beschäftigungszwecke erforderlich ist.
Garantien für die Übermittlung personenbezogener Daten an Länder, in denen ein angemessener Datenschutz nicht gewährleistet ist
Angemessene Garantien sind Datenschutzgarantien, die speziell für die Übermittlung personenbezogener Daten an einen Empfänger in einem Land außerhalb des EWR gelten, in dem ein angemessener Datenschutz nicht gewährleistet ist. Diese Garantien müssen in einem rechtsverbindlichen Instrument, wie einem Vertrag oder einer Absichtserklärung, zwischen der übermittelnden und der empfangenen Partei festgelegt sein. Darin sollten die einzuhaltenden Datenschutzgrundsätze eindeutig beschrieben werden, insbesondere
- sollten die Daten für einen spezifischen Zweck verarbeitet und anschließend nur in einem Umfang verwendet oder weitergegeben werden, der mit dem Zweck der Übermittlung in Einklang steht;
- Datenqualität und Verhältnismäßigkeit;
- Unterrichtung der betroffenen Personen;
- Sicherheitsmaßnahmen;
- Möglichkeit für die betroffenen Personen, ihre Rechte auf Auskunft, Berichtigung und Widerspruch auszuüben;
- Einschränkungen für die Weiterübermittlung durch den Datenempfänger;
- wirksame Überwachungs- und Durchsetzungsmechanismen, um sicherzustellen, dass die vorstehend genannten Grundsätze eingehalten werden.
Bereitzustellen sind ferner eine genaue Beschreibung der Übermittlung, wie etwa Angaben zu Datenkategorien, Zweck, Speicherdauer und den Einzelheiten der Sicherheitsmaßnahmen, die den natürlichen Personen (betroffenen Personen) zur Verfügung zu stellenden Informationen sowie Angaben dazu, wie diese ihre Rechte ausüben können.
Weitere Informationen
Die folgende nicht erschöpfende Liste ist eine Dokumentenauswahl an weiterführender Literatur:
Dokumente des EDSB:
- Positionspapier des EDSB zu Übermittlungen mit einschlägigen Stellungnahmen und Konsultationen zu Vorabkontrollen
- Konsultation zu den Auswirkungen des Safe Harbour-Urteils auf die Übermittlung personenbezogener Daten durch die GD MARE im Rahmen der „360°-Rückmeldung für die Führungsebene“ (Fall 2015-0924) (nur auf Englisch)
- Entscheidung des EDSB zur Übermittlung personenbezogener Daten durch das OLAF über die Investigative Data Consultation Platform (Fall 2012-0280) (nur auf Englisch)
- Stellungnahme des EDSB zu einer Vorabkontrolle betreffend das System „Safe Mission Data“ (Daten für sichere Dienstreisen) des Europäischen Parlaments zur Unterstützung in einer medizinischen Notsituation auf Dienstreisen (2012-0105)
- Schreiben des EDSB an die Europäische Agentur für Flugsicherheit (EASA) über internationale Übermittlungen (Fall 2010-0614)
- Konsultation des EDSB zur Übermittlung personenbezogener Daten an die American Express Corporate Travel SA (AMEX) (Fall 2009-0390)
Sonstiges:
- Arbeitspapier der Artikel-29-Datenschutzgruppe über eine gemeinsame Auslegung von Artikel 26 Absatz 1 der Richtlinie 95/46/EG zu Ausnahmen
- Webseite der Kommission (GD Justiz) zu Übermittlungen (nur auf Englisch):
http://ec.europa.eu/justice/data-protection/international-transfers/index_en.htm
Safe-Harbor-Abkommen und EU-US-Datenschutzschild:
- Urteil des Europäischen Gerichtshofs vom 6. Oktober 2015 in der Rechtssache C-362/14 (Schrems)
- Mitteilung der Kommission zu der Übermittlung personenbezogener Daten aus der EU in die Vereinigten Staaten von Amerika auf der Grundlage der Richtlinie 95/46/EG nach dem Urteil des Gerichtshofs in der Rechtssache C-362/14 (Schrems)
- Erklärung der Artikel-29-Datenschutzgruppe zu den Folgen des Urteils in der Rechtssache Schrems (nur auf Englisch)
- EU-US-Datenschutzschild (Website der GD Justiz) (nur auf Englisch)
- Stellungnahme 01-2016 der Artikel-29-Datenschutzgruppe zum EU-US-Datenschutzschild (nur auf Englisch)
- Stellungnahme 04-2016 des EDSB zum Entwurf der Angemessenheitsentscheidung zum EU-US-Datenschutzschild
Entscheidungsbaum
Schritt 1
Schritt 2