Drittland

Drittländer im Sinne der DS-GVO sind kurz gesagt alle Staaten außerhalb der Europäischen Union (EU) beziehungsweise des Europäischen Wirtschaftsraums (EWR). Da in diesen Ländern europäische Verordnungen nicht gelten, werden an die Datenübermittlung hohe Anforderungen gestellt, um die Sicherheit personenbezogener Daten auch außerhalb des Geltungsbereichs der DS-GVO auf einem gleichwertigen Niveau zu gewährleisten.

Begriffsbestimmung

Als Drittland oder auch Drittstaat werden im Allgemeinen Länder bezeichnet, die nicht Vertragspartei eines völkerrechtlichen Vertrags sind. Bezogen auf die Europäische Union gelten dementsprechend alle Staaten als Drittland, die kein Mitglied der EU sind. Drittländer im Sinne der DS-GVO sind deshalb grundsätzlich alle Länder außerhalb der EU, in denen die europäische Verordnung nicht unmittelbar gilt. Da die Anwendung der DS-GVO mit Beschluss des Gemeinsamen EWR-Ausschusses für die EWR-Staaten ebenfalls verbindlich ist, zählen diese Länder nicht mehr als Drittländer im Sinne der DS-GVO.
Typische Beispiele von Drittländern sind die Vereinigten Staaten von Amerika, die Schweiz, Japan oder China. Insbesondere in die USA werden häufig personenbezogene Daten aus der EU übermittelt, da dort viele Internet-Riesen wie Google und Facebook sowie große Anbieter von Cloud-Diensten oder Softwareprodukten ihren Hauptsitz haben.

Datenschutzrechtliche Anforderungen an Datenübermittlungen in Drittländer

Werden personenbezogene Daten aus der EU/dem EWR an ein Drittland im Sinne der DS-GVO übermittelt, stellt das Datenschutzrecht hohe Anforderungen an die Zulässigkeit dieser Übermittlung. Diese sind in den Art. 44 – 50 DS-GVO geregelt. Es soll sichergestellt werden, dass das durch die DS-GVO gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird (Art. 44 S. 2 DS-GVO).

Für die Kontrolle der Zulässigkeit einer Datenübermittlung in ein Drittland ist eine zweistufige Prüfung erforderlich:

  1. Stufe: Werden unabhängig von den spezifischen Anforderungen der Art. 45 ff. DS-GVO alle übrigen Anforderungen der DS-GVO an die betreffende Datenverarbeitung eingehalten?
  2. Stufe: Werden die spezifischen Anforderungen an die Übermittlung in Drittländer (Art. 45 ff. DS-GVO) beachtet?

Diese Zwei-Stufen-Prüfung ist auch dann erforderlich, wenn personenbezogene Daten aus einem Drittland in ein anderes Drittland weiterübermittelt werden (Art. 44 S. 1 2. HS DS-GVO).

Möglichkeiten für die Datenübermittlung in ein Drittland

Für die Datenübermittlung in Drittländer durch Unternehmen sieht die DS-GVO drei verschiedene Möglichkeiten vor (2. Stufe):

Möglichkeit 1: Feststellung der Angemessenheit des Datenschutzniveaus im Drittland durch die EU-Kommission (Art. 45 DS-GVO)
Die EU-Kommission hat die Möglichkeit, die Angemessenheit des Datenschutzniveaus in einem Drittland zu prüfen und festzustellen (sog. Angemessenheitsbeschluss). Dieser wird erlassen, wenn in dem Drittland beispielsweise auf Grundlage seiner innerstaatlichen Rechtsvorschriften ein Schutzniveau existiert, welches dem in der DS-GVO Gewährten gleichwertig ist. Liegt ein Angemessenheitsbeschluss für das betreffende Drittland vor, ist eine Datenübermittlung zulässig, ohne dass weitere Regelungen/Vereinbarung getroffen werden müssen.

Möglichkeit 2: Vorliegen geeigneter Garantien (Art. 46 DS-GVO)
Liegt kein Angemessenheitsbeschluss vor, ist eine Datenübermittlung außerdem zulässig, wenn geeignete Garantien zur Gewährleistung eines angemessenen Schutzniveaus vorgesehen sind. Hierfür kommen vier Garantien in Betracht:

Insbesondere bei international tätigen Konzernen werden häufig verbindliche interne Datenschutzvorschriften für die Datenübermittlung (auch) in Drittländer angewendet. Das Unternehmen muss für alle Mitglieder der Unternehmensgruppe verbindliche Regelungen für den Umgang personenbezogener Daten festlegen, die ein dem der DS-GVO gleichwertiges Schutzniveau gewährleisten und Betroffenen durchsetzbare Rechte gewähren. Die Datenübermittlung ist zulässig, sobald die zuständige Aufsichtsbehörde die BRC genehmigt hat, die einzelnen Datenübermittlungen müssen dann nicht gesondert genehmigt werden.

Schließen der Übermittelnde und der Empfänger im Drittland einen Vertrag unter Verwendung der Standarddatenschutzklauseln der EU-Kommission, ist der darauf basierende Datentransfer zulässig, ohne dass eine weitere Genehmigung durch die Aufsichtsbehörde erforderlich ist. Das gleiche gilt für eigene Standarddatenschutzklauseln der Aufsichtsbehörden, die von der Kommission förmlich genehmigt wurden. Die bereits bestehenden EU-Standardvertragsklauseln gelten ausdrücklich fort (Art. 46 Abs. 5 S. 2 DS-GVO) und darauf basierende Datenübermittlungen sind genehmigungsfrei, sofern sie in unveränderter Form verwendet werden.

Branchenspezifischen Verhaltensregeln (Art. 40 DS-GVO) oder Zertifizierungen (Art. 42 DS-GVO) können Datenübermittlungen in Drittländer legitimieren, wenn diese rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters enthalten. Die Verhaltensregeln bzw. die Zertifizierungsmechanismen müssen von der Aufsichtsbehörde genehmigt worden sein.

Neben allgemein gültigen vertraglichen Regelungen können auch einzeln ausgehandelte individuelle Vertragsklauseln eine Datenübermittlung in ein Drittland zulässig machen. Die Vertragsklauseln müssen ebenfalls von der Aufsichtsbehörde genehmigt werden.

Unabhängig davon, welche dieser Möglichkeiten angewendet werden soll, muss sichergestellt werden, dass den Betroffenen Ihre Rechte durchsetzen können und ihnen wirksame Rechtsbehelfe zur Verfügung stehen.

Möglichkeit 3: Ausnahmen für bestimmte Fälle (Art. 49 DS-GVO)
Liegt weder ein Angemessenheitsbeschluss noch eine geeignete Garantie vor, kann eine Datenübermittlung in Drittländer außerdem zulässig sein, wenn einer der vom Gesetz explizit genannten und abschließenden Fälle zutrifft. Die DS-GVO sieht folgende, eng auszulegende, Ausnahmetatbestände vor:

Eine Datenübermittlung ist zulässig, wenn der Betroffene explizit in die Weitergabe für den expliziten Fall eingewilligt hat. Die Einwilligung ist nur wirksam, wenn der Betroffene ausdrücklich über mögliche Risiken der Übermittlung, insbesondere auf das im Drittland bestehende Datenschutzniveau und die Durchsetzbarkeit seiner Rechte, hingewiesen und über sein Widerrufsrecht aufgeklärt wurde (Art. 7 Abs. 3 DS-GVO).

Ist genau die betreffende Datenübermittlung zwingend zur Erfüllung eines Vertrages mit der betroffenen Person oder zum Abschluss oder zur Erfüllung eines Vertrages im Interesse der betroffenen Person erforderlich, ist die Datenübermittlung ebenfalls zulässig.

Ist die Datenübermittlung zur Verfolgung von Rechtsansprüchen oder zur Geltendmachung von Rechtsansprüchen in außergerichtlichen Verfahren erforderlich, ist diese ebenfalls zulässig.

In bestimmten Einzelfällen kann eine Datenübermittlung in ein Drittland zulässig sein, wenn

  • der Verantwortlichen an der Übermittlung ein zwingendes berechtigtes Interesse hat, dem eine herausgehobene und besondere Bedeutung zukommt,
  • die Übermittlung zur Verfolgung dieses Interesses zwingend erforderlich ist,
  • die Übermittlung nicht wiederholt erfolgt,
  • die Zahl an Betroffenen gering ist und
  • keine überwiegenden schutzwürdigen Interessen oder Rechte und Freiheiten der betroffenen Person entgegenstehen.

Zudem muss der Schutz personenbezogener Daten durch geeignete Garantien gewährleistet sein und die Übermittlung darf sich nicht bereits auf einen der oben genannten Erlaubnistatbestände stützen lassen. Darüber hinaus bestehen besondere Informationspflichten gegenüber der Aufsichtsbehörde sowie gegenüber der betroffenen Person (Art. 49 Abs. 1 UAbs. 2 S. 2 und 3).

Die weiteren Erlaubnistatbestände, Schutz lebenswichtiger Interessen (Art. 49 Abs. 1 UAbs. 1 lit. f) DS-GVO) und wichtige Gründe des öffentlichen Interesses (Art. 49 Abs. 1 UAbs. 1 lit. d) DS-GVO), sind im Betriebsalltag für privatwirtschaftliche Unternehmen eher irrelevant.

Lassen Sie sich von einem Datenschutzexperten beraten!

Suchen Sie einen externen Datenschutzbeauftragten oder braucht Ihr interner Datenschutzbeauftragter Unterstützung bei der Erfüllung seiner Pflichten? Wir beraten und unterstützen Sie gerne!

Kontakt aufnehmen