Internationale Übermittlungen

Was sind internationale Übermittlungen?

Als Verantwortliche für die Verarbeitung personenbezogener Daten sind EU-Organe, -Einrichtungen, -Ämter und -Agenturen (EUI) für die Übermittlungen von personenbezogenen Daten verantwortlich, die sie vornehmen und die in ihrem Auftrag innerhalb und außerhalb des Europäischen Wirtschaftsraums (EWR: EU-Mitgliedstaaten sowie Island, Liechtenstein und Norwegen) durchgeführt werden. Diese Übermittlungen dürfen nur erfolgen, wenn das betreffende EUI sie angeordnet oder genehmigt hat oder wenn solche Übermittlungen nach dem Unionsrecht oder dem Recht der EU-Mitgliedstaaten vorgeschrieben sind.

Die Übermittlung personenbezogener Daten über den EWR hinaus kann für die betroffenen Personen zusätzliche Risiken mit sich bringen, da im Zielland außerhalb der EU/des EWR oder in der Zielinternationalorganisation möglicherweise ein geringeres Schutzniveau besteht. Dies kann sich negativ auf die Fähigkeit der betroffenen Personen auswirken, ihre Datenschutzrechte wahrzunehmen, insbesondere um sich vor einer rechtswidrigen Nutzung oder Offenlegung ihrer personenbezogenen Daten zu schützen.

Gemäß der Verordnung (EU) 2018/1725 dürfen Übermittlungen personenbezogener Daten von EUI an Länder außerhalb der EU/des EWR und internationale Organisationen nur erfolgen, wenn die in Kapitel V festgelegten Bedingungen vom Verantwortlichen und Auftragsverarbeiter eingehalten werden, einschließlich bei Weiterübermittlungen, um sicherzustellen, dass das durch die Verordnung garantierte Schutzniveau nicht unterlaufen wird.

Definition einer Übermittlung: Die Verordnung (EU) 2018/1725 enthält keine Definition internationaler Übermittlungen. Der Europäische Datenschutzausschuss (EDSA) hat jedoch drei kumulative Kriterien zur Identifizierung einer internationalen Übermittlung festgelegt, die EUI wie folgt nutzen können:

• Der an der Übermittlung beteiligte Verantwortliche oder Auftragsverarbeiter unterliegt für die betreffende Verarbeitung dem EU-Datenschutzrecht;
• Der Verantwortliche oder Auftragsverarbeiter macht personenbezogene Daten einem anderen Verantwortlichen oder Auftragsverarbeiter durch Offenlegung oder Übertragung zugänglich;
• Dieser andere Verantwortliche oder Auftragsverarbeiter befindet sich in einem Land außerhalb des EWR oder ist eine internationale Organisation. 

In der Praxis umfasst eine Übermittlung personenbezogener Daten im Hinblick auf die zweite Bedingung die Mitteilung, Übertragung, Offenlegung oder sonstige Zugänglichmachung personenbezogener Daten an Dritte, die mit dem Wissen oder der Absicht des Absenders erfolgt, dass der oder die Empfänger Zugang dazu haben. Dies schließt die „absichtliche Übermittlung" personenbezogener Daten und den „genehmigten Zugang" zu personenbezogenen Daten ein, jedoch nicht Zugangsfälle, die im Zusammenhang mit rechtswidrigen Handlungen (z. B. Hacking) entstanden sind.

Wenn ein EUI Daten außerhalb der EU/des EWR übermittelt, ist es Datenexporteur und der Empfänger ist der Datenimporteur. Übermittlungen sind Verarbeitungsvorgänge und müssen daher dem EU-Datenschutzrecht entsprechen.

Der Fernzugriff aus einem Drittland auf personenbezogene Daten gilt als Übermittlung; dies bedeutet, dass keine Speicherung von Daten in diesem Drittland erforderlich ist. Nach der Stellungnahme des EDSB stellt jedoch das bloße Risiko (z. B. nationale Rechtsvorschriften, die Behörden unter bestimmten Bedingungen den Zugang zu Daten ermöglichen), dass ein Fernzugriff von Einrichtungen in Drittländern auf im EWR verarbeitete Daten stattfinden könnte, noch keine Übermittlung dar, die Kapitel V der Verordnung unterliegt.

Weiterübermittlungen sind nachfolgende Übermittlungen personenbezogener Daten von Verantwortlichen, Auftragsverarbeitern oder anderen Empfängern im Drittland oder der internationalen Organisation an andere Verantwortliche, Auftragsverarbeiter oder Empfänger in einem anderen Drittland oder einer anderen internationalen Organisation oder im selben Drittland oder derselben internationalen Organisation. Bei internationalen Übermittlungen zwischen Behörden wird diese zweite Art von Weiterübermittlungen üblicherweise als Weitergabe personenbezogener Daten bezeichnet.

Es liegt in der Verantwortung des Verantwortlichen der ursprünglichen Übermittlung sicherzustellen, dass alle Weiterübermittlungen dasselbe Schutzniveau wie die ursprüngliche Übermittlung gewährleisten.

Allgemeine Grundsätze

Übermittlungen personenbezogener Daten müssen den Bestimmungen von Kapitel V der Verordnung (EU) 2018/1725 entsprechen und gleichzeitig den übrigen Bestimmungen der Verordnung unterliegen sowie mit dem ursprünglichen Zweck der Verarbeitung vereinbar sein. Sie müssen insbesondere die in den Artikeln 4 und 5 verankerten Grundsätze sowie Artikel 10 der Verordnung (EU) 2018/1725 einhalten, wenn die Verarbeitung besondere Kategorien von Daten umfasst.

Um dies sicherzustellen, ist ein zweistufiges Verfahren einzuhalten:

• Zunächst muss eine gültige Rechtsgrundlage für die Datenverarbeitung bestehen und alle einschlägigen Pflichten aus der Verordnung (EU) 2018/1725 müssen eingehalten werden;
• Sodann müssen die Bestimmungen von Kapitel V eingehalten werden.

Mit anderen Worten: EUI, die Daten außerhalb des EWR übermitteln möchten, müssen sicherstellen, dass die Übermittlung die Grundsätze der Fairness, Rechtmäßigkeit, Zweckbindung (d. h. Daten sollten für einen bestimmten Zweck übermittelt und anschließend nur insoweit verwendet werden, als dies mit dem Zweck der Übermittlung vereinbar ist), Datenminimierung, Datenrichtigkeit und Datenspeicherung einhält.

• Betroffene Personen müssen sowohl vor der Übermittlung (d. h. bei der erstmaligen Erhebung der Daten) als auch zum Zeitpunkt der Übermittlung über ihre Rechte und die Zwecke der Verarbeitung ihrer Daten informiert werden.
• Ausnahmen können gelten, beispielsweise im Zusammenhang mit Ermittlungen zu Straftaten. Der Aufschub der Information sollte von Fall zu Fall entschieden werden und die Gründe für etwaige Einschränkungen sollten dokumentiert werden.
• Betroffene Personen müssen auch darüber informiert werden, wie sie ihre Rechte ausüben können.

Pflichten der Verantwortlichen

Gemäß dem Grundsatz der Rechenschaftspflicht müssen Verantwortliche sicherstellen, überprüfen und nachweisen, dass jede von ihnen oder in ihrem Auftrag durchgeführte Verarbeitung im Einklang mit der Verordnung erfolgt, einschließlich der Bestimmungen über die Übermittlung personenbezogener Daten.

EUI müssen die Kontrolle behalten und fundierte Entscheidungen treffen, wenn sie Auftragsverarbeiter auswählen und Übermittlungen personenbezogener Daten außerhalb des EWR zulassen. 

EUI müssen die Notwendigkeit und Verhältnismäßigkeit ihrer geplanten Übermittlungen sorgfältig prüfen, einschließlich einer Beurteilung des Schutzniveaus im Bestimmungsdrittland, um den damit verbundenen Eingriff in das Grundrecht auf Privatleben und Datenschutz der betroffenen Personen zu rechtfertigen.

EUI sollten zusätzlich zu den EDSB-Leitlinien auch die Leitlinien und Empfehlungen des EDSA zu Übermittlungen befolgen. Soweit die Bestimmungen der EUDPV denselben Grundsätzen folgen wie die Bestimmungen der DSGVO, sollten beide Bestimmungssets nach der Rechtsprechung des EuGH einheitlich ausgelegt werden, insbesondere weil das System der Verordnung (EU) 2015/1725 als gleichwertig mit dem System der DSGVO (wie sie für Behörden der Mitgliedstaaten gilt) zu verstehen ist. Verweise auf Bestimmungen der DSGVO in den Leitlinien und Empfehlungen des EDSA sind als Verweise auf die entsprechenden Bestimmungen der EUDPV zu lesen.

Transfer-Folgenabschätzung (TFA)

EUI sind als Verantwortliche für die Einhaltung der Verordnung (EU) 2018/1725 in der Auslegung des EuGH durch seine Rechtsprechung verantwortlich und rechenschaftspflichtig. Vor einer Übermittlung muss das EUI prüfen, ob das Drittland des Bestimmungsorts im Kontext der spezifischen Übermittlung den übermittelten Daten ein im Wesentlichen gleichwertiges Schutzniveau wie in der EU/im EWR bietet. Der beste Weg, dies zu tun, ist die Durchführung einer Transfer-Folgenabschätzung (TFA).

Die Datenschutzbeauftragten der EUI können Beratung leisten (z. B. zur Beurteilung des Schutzniveaus oder zur Eignung festgestellter ergänzender Maßnahmen), aber der DSB ist nicht dafür verantwortlich, TFA im Namen anderer Verantwortlicher innerhalb seines EUI durchzuführen.

Bei der Durchführung der TFA sollten EUI die EDSA-Empfehlungen 01/2020 zu ergänzenden Maßnahmen und hinsichtlich der Bewertung des Zugangs öffentlicher Behörden zu Überwachungszwecken die EDSA-Empfehlungen 02/2020 zu den europäischen wesentlichen Garantien berücksichtigen, die beide vom Europäischen Datenschutzausschuss angenommen wurden.

EUI sollten auch die EDSA-Leitlinien zu rechtsverbindlichen Instrumenten und Verwaltungsvereinbarungen für Übermittlungen zwischen öffentlichen Behörden des EWR an öffentliche Behörden in Drittländern und an internationale Organisationen berücksichtigen.

Die TFA muss alle Übermittlungen abdecken, die im Rahmen des Vertrags des EUI oder einer anderen organisierten Beziehung mit den Empfängern in Drittländern stattfinden oder geplant sind. Das EUI kann die Verantwortung für die TFA nicht seinem Auftragsverarbeiter oder Empfänger (Datenimporteur) in einem Drittland übertragen.

Die TFA sollte die spezifischen Umstände der Übermittlung (z. B. Art der übermittelten Daten, Zwecke, für die sie übermittelt und im Drittland verarbeitet werden, und wie) sowie alle an der Übermittlung beteiligten Akteure berücksichtigen, wie sie in der Übermittlungskartierungsübung ermittelt wurden. Sie sollte auch etwaige geplante Weiterübermittlungen berücksichtigen. Das bedeutet, dass das EUI alle notwendigen Informationen von seinem Auftragsverarbeiter oder Empfänger im Drittland einholen muss.

Das EUI muss prüfen, ob Gesetze oder Praktiken des Drittlands, die auf die übermittelten Daten und/oder den Datenimporteur anwendbar sind, die Fähigkeit des Datenimporteurs beeinträchtigen, seinen im Übermittlungsinstrument eingegangenen Verpflichtungen nachzukommen, unter Berücksichtigung der Umstände der Übermittlung.

Wenn das EUI festgestellt hat, dass ergänzende Maßnahmen erforderlich sind, muss es diese vor der Durchführung der Übermittlung umsetzen.

Übermittlungsmechanismen gemäß Kapitel V der Verordnung (EU) 2018/1725

Kapitel V der Verordnung (EU) 2018/1725 sieht spezifische Mechanismen und Bedingungen für die Übermittlung personenbezogener Daten von EU-Organen an ein Drittland oder eine internationale Organisation vor. Diese Mechanismen und Bedingungen sollen sicherstellen, dass das durch das EU-Datenschutzrecht garantierte Schutzniveau natürlicher Personen nicht unterlaufen wird, wenn ihre personenbezogenen Daten außerhalb der EU übermittelt werden.

Der Übermittlungswerkzeugkasten der Verordnung umfasst drei Arten von Instrumenten:

• Angemessenheitsbeschlüsse,
• Instrumente mit geeigneten Garantien
• Ausnahmen für bestimmte Situationen, wie z. B. aus wichtigen Gründen des öffentlichen Interesses.

Keine Übermittlung kann ohne Stützung auf eines der in der Verordnung definierten Übermittlungsinstrumente erfolgen.

Übermittlungen auf der Grundlage von Angemessenheitsbeschlüssen

Personenbezogene Daten dürfen auf der Grundlage eines Angemessenheitsbeschlusses der Kommission an Drittländer oder internationale Organisationen übermittelt werden, sofern die personenbezogenen Daten ausschließlich übermittelt werden, um Aufgaben im Zuständigkeitsbereich des Verantwortlichen (d. h. des EUI) zu erfüllen.

Eine auf einem Angemessenheitsbeschluss beruhende Übermittlung bedarf keiner Genehmigung durch den EDSB.

Das übermittelnde EUI und der Datenimporteur müssen beide Maßnahmen ergreifen, um den übrigen Pflichten aus der Verordnung (EU) 2018/1725 nachzukommen.

Es ist eine besondere Anforderung der Verordnung (EU) 2018/1725, dass EUI die Datenübermittlungen außerhalb der EU/des EWR auf Aufgaben im Zuständigkeitsbereich des EUI beschränken müssen.

Die Europäische Kommission führt Angemessenheitsprüfungen von Ländern außerhalb der EU/des EWR und internationalen Organisationen durch, um festzustellen, ob ein angemessenes Schutzniveau für die Daten der betroffenen Personen gewährleistet wird. 

Mehrere Länder wurden als Gewährleistung eines angemessenen Schutzniveaus eingestuft:

•  Andorra, 
• Argentinien, 
• Brasilien
• Kanada (beschränkt auf kommerzielle Organisationen), 
• Färöer-Inseln, 
• Guernsey, 
• Israel, 
• Isle of Man,
• Japan, 
• Jersey, 
• Neuseeland, 
• Republik Korea, 
• Schweiz, 
• Vereinigtes Königreich (gemäß der DSGVO und der JI-Richtlinie),
• Vereinigte Staaten von Amerika (kommerzielle Organisationen, die am EU-US-Datenschutzrahmen teilnehmen), 
• Uruguay.
• Die Europäische Patentorganisation

Mit Ausnahme des Vereinigten Königreichs decken diese Angemessenheitsbeschlüsse keine Datenaustausche im Bereich der Strafverfolgung ab, die durch die Richtlinie zur Strafverfolgung (Artikel 36 der Richtlinie (EU) 2016/680) geregelt werden.

Die Europäische Kommission veröffentlicht die Liste ihrer Angemessenheitsbeschlüsse auf ihrer Website, sowie die neuesten Nachrichten zu Angemessenheitsfragen. Allgemein stellt sie regelmäßig Informationen zur internationalen Dimension des Datenschutzes bereit, die für EUI bei der Erwägung internationaler Übermittlungen von Interesse sein können.

EUI sind dafür verantwortlich, zu überwachen, ob die für ihre Übermittlungen relevanten und anwendbaren Angemessenheitsbeschlüsse noch in Kraft sind und nicht im Begriff sind, widerrufen oder für ungültig erklärt zu werden. Sie können hierzu die von der Europäischen Kommission bereitgestellten Informationen nutzen.

EUI müssen die Kommission und den EDSB auch über Fälle informieren, in denen sie der Auffassung sind, dass ein Drittland oder eine internationale Organisation kein angemessenes Schutzniveau gewährleistet.

Angemessenheitsbeschlüsse hindern betroffene Personen nicht daran, eine Beschwerde einzureichen. Sie hindern den EDSB auch nicht daran, seine Befugnisse gemäß der Verordnung (EU) 2018/1725 auszuüben.

Übermittlungen auf der Grundlage geeigneter Garantien

In Ermangelung eines Angemessenheitsbeschlusses dürfen personenbezogene Daten dennoch übermittelt werden, sofern geeignete Garantien vorgesehen sind und unter der Voraussetzung, dass durchsetzbare Rechte der betroffenen Personen und wirksame Rechtsbehelfe für betroffene Personen verfügbar sind.

Solche Garantien können in Standarddatenschutzklauseln (sogenannte Standardvertragsklauseln, „SVK") oder einem anderen Übermittlungsinstrument gemäß Artikel 48 EUDPV oder für Übermittlungen von einem Nicht-EUI-Auftragsverarbeiter an Unterauftragsverarbeiter gemäß Artikel 46 DSGVO vorgesehen werden.

Ziel der in Artikel 48 EUDPV oder Artikel 46 DSGVO aufgeführten Instrumente ist es, ein angemessenes (im Wesentlichen gleichwertiges) Schutzniveau im Kontext einer bestimmten Übermittlung sicherzustellen, im Gegensatz zu einem Angemessenheitsbeschluss, der für jede Übermittlung in dieses Land gilt. Um dieses Schutzniveau zu gewährleisten, kann die Annahme von Maßnahmen zur Ergänzung der geeigneten Garantien erforderlich sein. Angesichts des durch die Artikel 4, 5, 6, 9 und 46 der Verordnung (EU) 2018/1725 garantierten Schutzniveaus darf auch eine Übermittlung in ein nicht angemessenes Drittland nur erfolgen, wenn die personenbezogenen Daten ausschließlich übermittelt werden, um Aufgaben im Zuständigkeitsbereich des EUI zu erfüllen.

Gemäß Artikel 48 der Verordnung (EU) 2018/1725 können geeignete Garantien ohne spezifische Genehmigung des Europäischen Datenschutzbeauftragten (EDSB) auf der Grundlage folgender Instrumente bereitgestellt werden:

• rechtsverbindliche und durchsetzbare Instrumente mit Behörden oder internationalen Organisationen. Der EDSA hat Leitlinien zu rechtsverbindlichen und durchsetzbaren Instrumenten und Verwaltungsvereinbarungen gemäß der DSGVO herausgegeben, die eine Liste von Mindestschutzmaßnahmen festlegen, die in solche Instrumente aufzunehmen sind. Diese Leitlinien gelten mutatis mutandis für die EU-Organe. Gemäß Artikel 42 der Verordnung wird der EDSB zu solchen internationalen Vereinbarungen konsultiert, muss aber keine Genehmigung erteilen;
• Standarddatenschutzklauseln für Übermittlungen gemäß der Verordnung (EU) 2018/1725, die von der Kommission oder vom EDSB angenommen wurden; oder
• wenn der Auftragsverarbeiter kein Unionsorgan oder keine Unionseinrichtung ist, verbindliche interne Datenschutzvorschriften („BCR"), Verhaltenskodizes oder Zertifizierungsmechanismen gemäß Artikel 46 Absatz 2 Buchstaben b, e und f DSGVO.  Alle drei Instrumente müssen verbindliche und durchsetzbare Verpflichtungen enthalten, auch in Bezug auf die Rechte der betroffenen Personen.

Geeignete Garantien können auch bereitgestellt werden, jedoch vorbehaltlich der Genehmigung des EDSB, durch:

• Ad-hoc-Vertragsklauseln mit privaten Einrichtungen außerhalb der EU/des EWR zwischen dem Verantwortlichen oder Auftragsverarbeiter und dem Verantwortlichen, Auftragsverarbeiter oder Empfänger der personenbezogenen Daten im Drittland oder der internationalen Organisation. Solche „Ad-hoc-Vertragsklauseln" müssen verbindliche Verpflichtungen und Pflichten sowie durchsetzbare Rechte für das EUI und die betroffenen Personen enthalten; oder
• nicht verbindliche Verwaltungsvereinbarungen mit Behörden oder internationalen Organisationen, die durchsetzbare Rechte der betroffenen Personen gewährleisten. Der EDSA hat Leitlinien zu rechtsverbindlichen und durchsetzbaren Instrumenten und Verwaltungsvereinbarungen gemäß der DSGVO herausgegeben, die eine Liste von Mindestschutzmaßnahmen festlegen, die in solche Instrumente aufzunehmen sind. Diese Leitlinien gelten mutatis mutandis für die EU-Organe; oder
• Übermittlungen, die zuvor gemäß Artikel 9 Absatz 7 der Verordnung (EG) Nr. 45/2001 genehmigt wurden.

Der EDSB veröffentlicht die Beschlüsse, mit denen die Verwendung von Vertragsklauseln oder Verwaltungsvereinbarungen durch EUI genehmigt wird.

Übermittlungen auf der Grundlage von Ausnahmen für bestimmte Situationen

Die Verordnung (EU) 2018/1725 sieht vor, dass in Ermangelung eines Angemessenheitsbeschlusses oder geeigneter Garantien gemäß Artikel 48 dieser Verordnung eine Übermittlung oder eine Reihe von Übermittlungen personenbezogener Daten in ein Drittland oder an eine internationale Organisation nur erfolgen darf, wenn bestimmte Bedingungen erfüllt sind.

Ausnahmen gemäß Artikel 50 der Verordnung (EU) 2018/1725 sind Abweichungen von dem allgemeinen Grundsatz, dass personenbezogene Daten nur dann in Drittländer oder an internationale Organisationen übermittelt werden dürfen, wenn im Drittland oder bei der internationalen Organisation ein angemessenes Schutzniveau gewährleistet ist oder geeignete Garantien beigebracht wurden und die betroffenen Personen über durchsetzbare und wirksame Rechte verfügen.

Da Artikel 50 der Verordnung (EU) 2018/1725 im Einklang mit der Charta ausgelegt werden muss, können Ausnahmen nur insoweit angewendet werden, als dies unbedingt erforderlich ist, und müssen eng ausgelegt werden.

Ausnahmen müssen auch restriktiv ausgelegt werden, damit die Ausnahme nicht zur Regel wird. Dies wird auch durch den Wortlaut der Überschrift von Artikel 50 unterstützt, wonach Ausnahmen für bestimmte Situationen gelten.

Bei der Erwägung der Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen sollten Datenexporteure daher Lösungen bevorzugen, die den betroffenen Personen die Garantie bieten, dass sie nach der Übermittlung ihrer Daten weiterhin von den Grundrechten und Schutzmaßnahmen profitieren, auf die sie hinsichtlich der Verarbeitung ihrer Daten Anspruch haben.

EUI, die Daten außerhalb der EU/des EWR übermitteln möchten, können sich daher in begrenzten und spezifischen Fällen auf eine der in der Verordnung (EU) 2018/1725 aufgeführten Ausnahmen berufen, sofern kein anderes Übermittlungsinstrument verwendet werden kann. 

• Beispiele für Ausnahmen sind u. a. die ausdrückliche Einwilligung einer Person zur Übermittlung ihrer personenbezogenen Daten, wenn eine Übermittlung für den Abschluss oder die Erfüllung eines Vertrags erforderlich ist oder aus wichtigen Gründen des öffentlichen Interesses im Sinne des EU-Rechts oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen notwendig ist. Siehe hierzu die EDSB-Aufsichtsstellungnahme zu Übermittlungen auf der Grundlage einer Einwilligung: EDSB-Aufsichtsstellungnahme zur Verwendung ausdrücklicher Einwilligung bei Übermittlungen (27. Juli 2021).
• Ein weiteres Beispiel ist die Ausnahme gemäß Artikel 50 Absatz 1 Buchstabe d der Verordnung (EU) 2018/1725, nämlich „wenn die Übermittlung aus wichtigen Gründen des öffentlichen Interesses erforderlich ist". Diese Ausnahme setzt voraus, dass die Übermittlung personenbezogener Daten aus wichtigen Gründen des öffentlichen Interesses erforderlich ist, die im Unionsrecht anerkannt sind.

In erster Linie muss der Datenexporteur das Vorliegen eines solchen „öffentlichen Interesses" identifizieren und dokumentieren. Beispiele für öffentliches Interesse können die Verwaltung und das Funktionieren der EUI oder die öffentliche Sicherheit oder Gesundheit umfassen.

Das festgestellte öffentliche Interesse muss ausdrücklich im „Unionsrecht" „anerkannt" sein, das das primäre EU-Recht, allgemeine Grundsätze des EU-Rechts, internationale Abkommen, die ein bestimmtes Ziel anerkennen oder eine internationale Zusammenarbeit zur Förderung dieses Ziels vorsehen, sekundäres EU-Recht und die Rechtsprechung des Gerichtshofs der EU umfasst.  Es kann auch interne Vorschriften der EUI umfassen, sofern diese die Anforderungen erfüllen, um nach Erwägungsgrund 23 der Verordnung (EU) 2018/1725 als „Unionsrecht" zu gelten.

Da jeder Verarbeitungsvorgang, wie eine Übermittlung, einen Eingriff in die Grundrechte darstellt, müssen die Bestimmungen des Artikels 50 der Verordnung (EU) 2018/1725 im Lichte der Charta, insbesondere ihres Artikels 52 Absatz 1, ausgelegt werden. Daher muss der Datenexporteur in zweiter Linie prüfen und dokumentieren, ob die geplante Übermittlung personenbezogener Daten den Wesensgehalt der Rechte und Freiheiten wahrt, in die die Übermittlung eingreift, und ob die geplante Übermittlung mit den Grundsätzen der Verhältnismäßigkeit und Notwendigkeit im Einklang steht.

Die Notwendigkeits- und Verhältnismäßigkeitsprüfung muss für alle Ausnahmen gemäß Artikel 50 Absatz 1 durchgeführt werden, mit Ausnahme der Einwilligung.

Der EDSB weist darauf hin, dass Auftragsverarbeiter sich grundsätzlich nicht auf die Ausnahmen nach Artikel 49 DSGVO stützen sollten, um personenbezogene Daten im Auftrag von EUI zu übermitteln, da dies eine Entscheidung des EUI als Verantwortlichem ist. Stattdessen sollte Artikel 50 der Verordnung (EU) 2018/1725 herangezogen werden.

Die Pflicht zur Unterrichtung des EDSB über bestimmte Kategorien internationaler Übermittlungen

Gemäß Artikel 48 Absatz 5 und Artikel 50 Absatz 6 der Verordnung (EU) 2018/1725 müssen EUI den EDSB über die Kategorien von Fällen unterrichten, in denen sie Übermittlungen vornehmen, die geeigneten Garantien unterliegen, oder wenn sie Ausnahmen für bestimmte Situationen in Anspruch nehmen. EUI müssen ohnehin im Rahmen ihrer Verzeichnisse von Verarbeitungstätigkeiten Informationen über Übermittlungen personenbezogener Daten in Drittländer und an internationale Organisationen führen, einschließlich der Identifizierung des Empfängers und der Dokumentation geeigneter Garantien, sodass sie diese Pflicht zur Vorbereitung der Benachrichtigung des EDSB nutzen können.

EUI haben die Flexibilität, die Häufigkeit der Benachrichtigungen auf der Grundlage ihrer eigenen Einschätzung zu wählen. Der EDSB erwartet jedoch, diese Informationen mindestens einmal pro Jahr zu erhalten.

Es gibt noch kein Standardformat für diese Benachrichtigungen an den EDSB. Der EDSB empfiehlt jedoch sicherzustellen, dass diese Benachrichtigungen für jeden Fall mindestens die folgenden Informationen enthalten:

• Die Identifizierung des Verantwortlichen und das Verarbeitungsverzeichnis, auf das sich die Übermittlung oder die Reihe von Übermittlungen bezieht
• Das Drittland oder die internationale Organisation des Bestimmungsorts
• Das verwendete Übermittlungsinstrument, einschließlich des spezifischen Anwendungsfalls bei der Inanspruchnahme von Ausnahmen für bestimmte Situationen
• Die Kategorien der zu übermittelnden Daten, einschließlich detaillierter Angaben bei besonders schutzbedürftigen personenbezogenen Daten
• Die Anzahl der Übermittlungen / Anzahl der betroffenen Personen

Gemäß Artikel 47 Absatz 2 müssen EUI die Kommission und den EDSB auch über Fälle informieren, in denen sie der Auffassung sind, dass ein Drittland oder eine internationale Organisation kein angemessenes Schutzniveau gewährleistet.

Der EDSB kann die bereitgestellten Informationen für Überwachungs- und Durchsetzungszwecke sowie zur Bereitstellung von Leitlinien verwenden. In diesem Zusammenhang kann der EDSB EUI auf der Grundlage der eingegangenen Benachrichtigungen kontaktieren, um weitere Informationen anzufordern.

Weitere Informationen

Die folgende nicht erschöpfende Liste enthält eine Auswahl von Dokumenten zur weiteren Lektüre:

EDSB-Dokumente:

• EDSB-Dokumente zu Genehmigungsbeschlüssen und einschlägigen Konsultationen zu Übermittlungen

Sonstiges:

• EDSA Leitlinien 05/2021 zum Zusammenspiel zwischen der Anwendung von Artikel 3 und den Bestimmungen über internationale Übermittlungen gemäß Kapitel V der DSGVO
• EDSA-Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungsinstrumenten zur Gewährleistung des EU-Schutzniveaus personenbezogener Daten
• EDSA-Empfehlungen 02/2020 zu den europäischen wesentlichen Garantien für Überwachungsmaßnahmen
• EDSA-Leitlinien 2/2020 zu den Artikeln 46 Absatz 2 Buchstabe a und 46 Absatz 3 Buchstabe b der Verordnung 2016/679 für Übermittlungen personenbezogener Daten zwischen öffentlichen Stellen und Einrichtungen des EWR und Nicht-EWR
• EDSA-Leitlinien 2/2018 zu Ausnahmen gemäß Artikel 49 der Verordnung 2016/679
• EDSA Dokumente zu internationalen Datenübermittlungen
• EDSA Leitlinien zu Datenübermittlungen, die geeigneten Garantien gemäß der Richtlinie zur Strafverfolgung unterliegen
• EDSA Leitlinien zur Zertifizierung als Instrument für Übermittlungen
• Webseite der Kommission (GD JUST) zur internationalen Dimension des Datenschutzes
• Rechtssache C‑311/18 Data Protection Commissioner gegen Facebook Ireland Ltd und Maximillian Schrems (Rechtssache C-311/18)
• DSGVO-Standardvertragsklauseln für Datenübermittlungen zwischen EU- und Nicht-EU-Ländern –  Allgemeine Informationen
• Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates
• Angemessenheitsreferenz
• Das Dokument zu den europäischen wesentlichen Garantien