Was ist bei einer Datenübermittlung ins Ausland zu beachten?

Freier Datenverkehr in der EU

Für die Datenübermittlung innerhalb der EU gilt der Grundsatz des freien Datenverkehrs, das heißt grundsätzlich darf auch die Übermittlung von Daten innerhalb der Union nicht eingeschränkt oder gar verboten werden. Allerdings bedeutet das nur, dass keine weiterreichenden Vorgaben getroffen werden dürfen, als sie in der DSGVO für die Verarbeitung von personenbezogenen Daten geregelt sind. Unternehmen müssen Daten natürlich auch dann, wenn Daten die EU nicht verlassen, datenschutzkonform verarbeiten.

Der Begriff der „Verarbeitung“ umfasst dabei unter anderem die Erhebung, Speicherung, Veränderung, Löschung, Verbreitung, Offenlegung durch Übermittlung sowie die Verwendung von personenbezogenen Daten. Das bedeutet, dass letztlich jede Art der Bereitstellung oder Nutzung von Daten nach der DSGVO zu beurteilen ist.

Wann ist die DSGVO bei Datenübermittlungen anwendbar?

Wichtig zu verstehen ist, dass die Regelungen der DSGVO nur für die Übermittlung von Daten ins Ausland gelten, wenn es sich um „personenbezogene“ Daten handelt. Das sind Informationen, die sich auf identifizierbare natürliche Personen beziehen.

Anonyme Daten, aus denen keine Rückschlüsse auf identifizierbare Personen getroffen werden können, sind von den Regelungen der DSGVO daher nicht erfasst. Liegen Daten pseudonymisiert vor, beispielsweise Benutzerkennungen, lassen sie sich zwar nicht direkt auf eine bestimmte Person zurückführen. Wer das notwendige Wissen hat, kann hingegen sehr wohl herausfinden, wer sich hinter dem Pseudonym verbirgt. Auf pseudonymisierte Daten ist die DSGVO daher ohne Einschränkungen anwendbar.

Was ist ein „Drittland“ im Sinne der DSGVO?

Die Datenschutz-Grundverordnung gilt als europäische Regelung in allen Mitgliedstaaten der EU. Datenübermittlungen innerhalb der Union werden deshalb wie eine Inlandsübermittlung gewertet. Durch einen Beschluss der EWR-Staaten wurde die Anwendung der DSGVO auch in den Staaten Lichtenstein, Island und Norwegen beschlossen, sodass die Regelungen über die Datenübermittlung innerhalb der Union auf den EWR ausgeweitet wurden. 

Als „Drittland“ im Sinne der DSGVO sind daher sämtliche Staaten zu verstehen, die keine Mitgliedstaaten der EU oder des EWR sind.

Was fällt unter den Begriff der „Übermittlung“?

Für das Vorliegen einer Übermittlung müssen personenbezogene Daten in einem Mitgliedstaat der Union erhoben und gegenüber einem Empfänger in einem Drittland offengelegt werden. Auch daran anschließende Weiterübermittlungen innerhalb desselben oder eines anderen Drittlandes stellen weitere Übermittlungen in ein Drittland der EU dar.

Von den Vorschriften der DSGVO ausgenommen ist die Ersterhebung im Ausland. Sie fällt nicht unter den Begriff der Übermittlung. Anforderungen an Weiterübermittlungen im Ausland der EU, die an eine Ersterhebung im Ausland anschließen, werden ebenfalls nicht geregelt.

Welche Anforderungen sind an eine Datenübermittlung ins Ausland zu stellen?

Eine Datenübermittlung ins Ausland ist nur zulässig, wenn garantiert ist, dass personenbezogene Daten auch durch den Empfänger im Einklang mit der DSGVO verarbeitet werden. Dies können Unternehmen auf verschiedene Weise sicherstellen. Entweder durch einen sog. Angemessenheitsbeschluss der EU-Kommission oder wenn geeignete Garantien bestehen.

Angemessenheitsbeschluss

Liegt ein Angemessenheitsbeschluss vor, ist eine Datenübermittlung in dieses Land grundsätzlich möglich, ohne dass besondere Vorkehrungen zu treffen ist. Denn durch den Beschluss hat die EU-Kommission festgestellt, dass in dem jeweiligen Land ein ausreichendes Datenschutzniveau besteht.

Einen solchen Angemessenheitsbeschluss hat die Kommission bisher für die folgenden 14 Staaten gefasst:

• Andorra
• Argentinien
• Färöer-Inseln
• Guernsey
• Israel
• Isle of Man
• Japan
• Jersey
• Kanada (nur für kommerzielle Organisationen)
• Neuseeland
• Republik Korea (Südkorea)
• Schweiz
• Uruguay
• Vereinigtes Königreich

Geeignete Garantien

Fehlt ein Angemessenheitsbeschluss für ein Drittland, kann eine Übermittlung personenbezogener Daten nur auf Grundlage geeigneter Garantien erfolgen. Diese sollen in einem Drittland bestehende Mängel am Datenschutzniveau ausgleichen und so den Schutz betroffener Personen gewährleisten.

Geeignete Garantien sind

• verbindliche interne Datenschutzvorschriften eines Unternehmens (sog. Binding Corporate Rules)
• von der EU-Kommission oder einer Aufsichtsbehörde angenommene Standarddatenschutzklauseln
• genehmigte Verhaltensregeln oder ein genehmigter Zertifizierungsmechanismus
• einzeln ausgehandelte Vertragsklauseln

Die von der EU-Kommission erlassenen Standarddatenschutzklauseln dienen als vorformulierte Vertragsklauseln, deren Anwendung keiner weiteren Genehmigung durch eine Aufsichtsbehörde bedarf. Sie genügen allerdings nicht für jeden denkbaren Übermittlungsfall zur Herstellung eines gleichwertigen Datenschutzniveaus. Regelmäßig sind – etwa zum Schutz vor Zugriffsmöglichkeiten von Behörden des Drittlandes – zusätzliche Maßnahmen erforderlich.

Die Standarddatenschutzklauseln beinhalten insbesondere die Wahrung der wichtigsten Grundsätze der DSGVO:

• Rechtmäßigkeit
• Zweckbindung
• Transparenz (gegenüber betroffenen Personen)
• Datenrichtigkeit und Datenminimierung
• Sicherheit der Verarbeitung

Zudem wird ein besonders umfangreicher Schutz von sensiblen Daten wie Gesundheitsdaten, Daten über die ethnische Herkunft oder politische Meinungen festgelegt, wie er auch innerhalb des Geltungsbereichs der DSGVO besteht.

Verbindliche interne Datenschutzvorschriften richten sich an multinationale Unternehmensgruppen. Mithilfe solcher Vorschriften können personenbezogene Daten innerhalb einer Unternehmensgruppe von einem für die Erhebung von Daten Verantwortlichen innerhalb der EU an einen Empfänger außerhalb des Geltungsbereichs der DSGVO übermittelt werden.

Vertragsklauseln, die als geeignete Garantien zur Übermittlung ins Ausland dienen sollen, müssen von der zuständigen Aufsichtsbehörde genehmigt werden. Bei der Formulierung derartiger Vertragsklauseln ist die Wahrung aller wesentlichen Datenschutzgarantien zu beachten. Aufgrund des großen Aufwandes der Erstellung und Genehmigung derartiger Klauseln spielen genehmigte Vertragsklauseln im Rahmen von Datenübermittlungen auf Grundlage von geeigneten Garantien nur eine untergeordnete Rolle.

Datenübermittlung in die USA

Für die Datenübermittlung aus der EU in die USA bestand zuletzt das Privacy-Shield-Abkommen. Dies war ein Abkommen, welches ein einheitliches Datenschutzniveau für Datenübermittlungen zwischen der EU und den USA regelte und auf dessen Grundlage ein Angemessenheitsbeschluss der EU-Kommission für die USA erlassen wurde.

Mit seinem Schrems-II-Urteil erklärte der Europäische Gerichtshof im Juli 2020 das Privacy-Shield-Abkommen für unzureichend und den Angemessenheitsbeschluss damit für ungültig. Seitdem besteht kein Zertifizierungsmechanismus für Übermittlungen in die USA. Verhandlungen über ein zukünftiges Abkommen werden allerdings bereits geführt.  

Bei der Übermittlung ist insbesondere die US-amerikanische nachrichtendienstliche Rechtslage problematisch, nach der die Herausgabe von personenbezogenen Daten – z.B. von EU-Bürgern – durch die Nachrichtendienste verlangt werden kann, soweit diese in den USA verarbeitet (d.h. auch bei bloßer Speicherung) werden.

Auch nach Wegfall der Anwendbarkeit des Privacy-Shields können personenbezogene Daten auf der Grundlage anderer geeigneter Garantien in die USA übermittelt werden. Zu nennen sind hierbei vor allem die bereits erwähnten Standarddatenschutzklauseln. Dabei ist jedoch sicherzustellen, dass ein Zugriff durch US-Behörden auf die Daten verhindert wird. Insoweit bestehen bei der Übermittlung nach wie vor große Unsicherheiten.

Rechte betroffener Personen

Bei der Übermittlung personenbezogener Daten auf Grundlage geeigneter Garantien müssen natürlichen Personen in den Art. 15 bis 21 DSGVO vorgesehene Betroffenenrechte eingeräumt werden und durchsetzbar sein. Dabei handelt es sich insbesondere um folgende Rechte: 

• Recht auf Auskunft: betroffene Personen können von den Verantwortlichen eine Bestätigung verlangen, ob sie betreffende Daten verarbeitet werden, über die Art der Verarbeitung sowie eine Benennung von Empfängern der Daten
• Recht auf Berichtigung: das Recht auf Berichtigung gibt die Möglichkeit, eine unverzügliche Berichtigung unrichtiger personenbezogener Daten zu verlangen
• Recht auf Löschung: nach dem Recht auf Löschung können betroffene Personen von den Verantwortlichen eine unverzügliche Löschung sie betreffender Daten – etwa aufgrund unrechtmäßiger Verarbeitung – verlangen
• Recht auf Einschränkung der Verarbeitung: in dem Fall, dass die Rechte auf Berichtigung, Löschung oder Widerspruch noch nicht durchgesetzt werden können, verleiht das Recht auf Einschränkung der Verarbeitung die Möglichkeit, die zukünftige Verarbeitung von personenbezogenen Daten der betroffenen Person einzuschränken
• Widerspruchsrecht: nach dem Widerspruchsrecht, können Personen, deren Daten für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt, oder in Ausübung öffentlicher Gewalt verarbeitet werden, der Verarbeitung sie betreffender personenbezogener Daten widersprechen. Dieses Recht kann allerdings nur geltend gemacht werden, soweit sich der Widerspruch aus einer besonderen Situation der betroffenen Person begründen lässt
• Recht auf Geltendmachung von Schadensersatzansprüchen innerhalb der Union oder einem Drittland

Ausnahmen

Liegt weder ein Angemessenheitsbeschluss vor, noch bestehen geeignete Garantien, kann die Übermittlung personenbezogener Daten ausnahmsweise trotzdem zulässig sein, wenn die Übermittlung

• auf Grundlage einer ausdrücklichen Einwilligung der betroffenen Personen erfolgt
• für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich ist
• zum Schutz lebenswichtiger Interessen erforderlich ist
• aus wichtigen Gründen eines öffentlichen Interesses notwendig ist
• zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist

Was droht bei Verstößen?

Bei der Verletzung von Vorschriften der DSGVO droht die Verhängung hoher Geldbußen durch die zuständigen Aufsichtsbehörden. Für die rechtswidrige Übermittlung von personenbezogenen Daten können – abhängig davon, welcher Wert höher ist – Geldbußen in Höhe von bis zu 20 Millionen Euro oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden. Die genaue Höhe wird dabei insbesondere anhand der Schwere der Rechtsverletzung sowie der getroffenen Vorkehrungen ab Bekanntwerden der Rechtswidrigkeit des Handelns bemessen.

Verstoß entdeckt – was nun?

Sollten Sie einen Verstoß gegen datenschutzrechtliche Vorgaben der DSGVO festgestellt haben oder besteht ein hinreichender Verdacht für das Vorliegen eines solchen, kann es sein, dass dieser bei der Datenschutzbehörde zu melden ist.

Um dies zu überprüfen ist eine Risikoabschätzung erforderlich. Darin ist abzuwägen, ob durch den festgestellten Verstoß ein Risiko für Rechte und Freiheiten natürlicher Personen besteht. Dabei ist das Risiko vor allem anhand der Art der betroffenen Daten und des Datenschutzvorfalls, des Grades der Vertraulichkeit sowie des Missbrauchspotentials zu beurteilen. 

Stellen Sie ein bestehendes Risiko fest, sind Sie zur Meldung des Datenschutzvorfalls binnen 72 Stunden nach Bekanntwerden gegenüber der zuständigen Aufsichtsbehörde verpflichtet.

Außerdem kann eine Meldepflicht gegenüber den betroffenen Personen bestehen, deren Daten von dem Datenschutzvorfall betroffen sind. Eine solche erfordert im Gegensatz zur Meldepflicht gegenüber den Aufsichtsbehörden, dass ein hohes Risiko für Rechte und Freiheiten natürlicher Personen besteht. Die Schwelle des „hohen Risikos“ kann entweder durch eine hohe drohende Schadensschwere oder durch eine hohe Wahrscheinlichkeit des Schadenseintritts trotz geringer Schadensschwere überschritten werden.

Bei unrechtmäßigen Datenübermittlungen in Drittstaaten kann zumindest eine hohe Wahrscheinlichkeit des Schadenseintritts regelmäßig angenommen werden, sodass Meldepflichten sowohl gegenüber den zuständigen Aufsichtsbehörden als auch gegenüber betroffenen Personen bestehen. Risikoabschätzungen bedürfen dennoch stets einer Einzelfallbetrachtung.

Aus der Praxis: Google Fonts

Die Problematik von Datenübermittlungen ins Ausland ist für Unternehmen drängend, auch wenn viele dies (noch) nicht erkennen. Wie schnell Datentransfers zum Problem werden können, verdeutlicht eine aktuelle Entscheidung des Landgerichts München I zum beliebten Dienst Google Fonts (LG München I, Urteil vom 20.01.2022 – 3 O 17493/21).

Google Fonts ist ein Dienst, über den Schriftarten bereitgestellt werden. Es gibt zwei verschiedene Wege, den Dienst auf Internetseiten einzubinden. Entweder können die Schriftarten beim Aufruf der Internetseite vom Google-Server geladen werden oder die Schriftarten werden nur vom Server des Betreibers abgerufen. 

In dem vom Landgericht München I entschiedenen Fall wurde die erste Variante gewählt. Damit wurden dynamische IP-Adressen von Nutzern gegenüber Google offengelegt, sobald diese die Internetseite, auf der Google Fonts integriert war, aufriefen. Das Gericht stellte fest, dass hierfür eine Einwilligung der Nutzer hätte eingeholt werden müssen. Wegen der unmittelbaren Übermittlung der Daten bei Aufruf der Internetseite war dies allerdings nicht erfolgt. Das Gericht verurteilte den Webseitenbetreiber daher zur Unterlassung und zur Zahlung von Schadensersatz in Höhe von 100 Euro. Der Betrag mag zunächst niedrig klingen, wenn aber dutzende oder hunderte Nutzer sich in ihren Rechten verletzt fühlen, kann es schnell teuer werden. Zudem drohen Abmahnungen, die mit Aufwand und Kosten verbunden sind.