Lade Inhalt...

Die Anforderungen der DSGVO an Datenübermittlungen ins Nicht-EU-Ausland

Seminararbeit 2018 22 Seiten

Jura - Datenschutz

Leseprobe

Inhaltsverzeichnis

Literaturverzeichnis

A. Einleitung

B. Hauptteil

I. Anwchenergebnis
1. Persönlicher Anwendungsbereich
2. Sachlicher Anwendungsbereich
3. Räumlicher Anwendungsbereich
4. Zwischenergebnis

II. Anwendungsbereich des Kapitels V der DSGVO
1. Begriff der Übermittlung
2. Drittland
3. Internationale Organisation

III. Zusätzliche Anforderungen an die Datenübermittlung
1. Datenübermittlung gemäß Art
a) Anforderungen an das Datenschutzniveau
b) Kriterien nach Art. 45 II
c) Fortgeltung der Beschlüsse nach Art. 25 VI der DS-RL
d) Rechtsschutzmöglichkeiten
e) Kontrolle durch die Kommission

2. Datenübermittlung gemäß Art. 46,
a) Garantien ohne Genehmigungsvorbehalt
aa) Rechtlich bindendes Dokument zwischen Behörden oder öffentlichen Stellen
bb) Verbindliche interne Datenschutzvorschriften
cc) Standarddatenschutzklauseln
b) Garantien mit Genehmigungsvorbehalt
aa) Vertragsklauseln
bb) Sonstige Verwaltungsvereinbarungen
c) Übergangsregelungen

3. Ausnahmen

C. Schlussbetrachtung

Literaturverzeichnis

Abbildung in dieser leseprobe nicht enthalten

A. Einleitung

Am 27. April 2016 wurde die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung [DSGVO]) erlassen. Sie gilt ab dem 25. Mai 2018. Ab dann existiert zum ersten Mal eine europaweit einheitliche und in den Mitgliedstaaten unmittelbar geltende Regelung über den Datenschutz. Sie ersetzt die zuvor bestehende Datenschutz-Richtlinie (DS-RL).[1] Im Zuge dessen hat der deutsche Gesetzgeber das BDSG angepasst, welches in dieser Form am selben Tag in Kraft tritt.[2]

Diese Reform hat eine Reihe von Rechtsfragen aufgeworfen, die zurzeit Gegenstand vieler Diskussionen sind.[3] Diese Arbeit beschäftigt sich mit dem Aspekt der Übermittlung von personenbezogenen Daten in das Nicht-EU-Ausland und untersucht die Frage, welche Anforderungen die DSGVO an eine solche Übermittlung stellt. Es wird ferner versucht, die zu erwartende Wirksamkeit der beschlossenen Regelungen zu bewerten. Im Zuge dessen werden vereinzelt Vergleiche zur DS-RL und ihrer derzeitigen Anwendung gezogen.

B. Hauptteil

Das Kapitel V der DSGVO enthält spezifische Bestimmungen für die Übermittlung von Daten in das Nicht-EU-Ausland.[4] Damit eine solche Übermittlung nach diesen Regelungen zu messen ist, müsste zunächst der persönliche, sachliche und räumliche Anwendungsbereich der Verordnung eröffnet sein.

I. Anwendungsbereich der DSGVO

1. Persönlicher Anwendungsbereich

Die Verordnung schützt nur lebende natürliche Personen und keine juristischen Personen.[5] Sie adressiert jedoch gleichermaßen private Akteure (insbesondere Unternehmen) und öffentliche Stellen und legt ihnen Verpflichtungen auf. Die Verordnung hat insoweit keinen persönlichen Anwendungsbereich, als dass sie unabhängig von der Staatsangehörigkeit oder dem Aufenthaltsort des Betroffenen gilt. Hiermit trage der Gesetzgeber der universellen Geltung des Art. 8 GrCh als Menschenrecht Rechnung.[6]

2. Sachlicher Anwendungsbereich

Der sachliche Anwendungsbereich ist gemäß Art. 2 I DSGVO[7] eröffnet, wenn eine ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten oder eine nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem (Art. 4 Nr. 6) gespeichert sind oder gespeichert werden sollen, vorliegt.

Personenbezogene Daten sind in Art. 4 Nr. 1 legaldefiniert.

Eine Verarbeitung ist nach Art. 4 Nr. 2 jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, des Abgleichs oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Nach den o.g. Begriffsbestimmungen verarbeitet nahezu jedes Unternehmen und jede öffentliche Stelle personenbezogene Daten. Dies geschieht in den allermeisten Fällen auch ganz oder teilweise automatisch über Datenverarbeitungsprogramme. Auch wenn vor Geltungsbeginn der Verordnung nichtautomatisiert erfasste Daten nach Geltungsbeginn verarbeitet werden, unterfällt dies rückwirkend dem sachlichen Anwendungsbereich der DSGVO.[8] Lediglich Akten oder Aktensammlungen sowie ihre Deckblätter, die nicht nach bestimmten Kriterien geordnet sind, sollen nicht der DSGVO unterfallen.[9]

Der sachliche Anwendungsbereich der Verordnung ist mithin sehr umfassend.

Aus diesem Anwendungsbereich nimmt Art. 2 II lit. a) jedoch solche Verarbeitungen heraus, die nicht im Rahmen einer Tätigkeit erfolgen, die in den Anwendungsbereich des Unionsrechts fällt.[10] Ebenfalls unterfällt die gemeinsame Außen- und Sicherheitspolitik nicht der DSGVO (Art. 2 II lit. b)). Weiterhin werden Datenverarbeitungen durch natürliche Personen zu persönlichen oder familiären Tätigkeiten nicht erfasst (Art. 2 II lit. c)). Daten, die zur Verhütung oder Verfolgung von Straftaten genutzt werden, unterfallen anderen Regelungen.[11] Die Verordnung gilt nicht für die Verarbeitung von personenbezogenen Daten durch die EU-Organe selber (Art. 2 III). Sonderregelungen i.S.e. lex speciales können sich aus der s.g. ePrivacy-Richtlinie[12] und den entsprechenden nationalen Bestimmungen ergeben, vgl. Art. 98.

3. Räumlicher Anwendungsbereich

Weiterhin müsste auch der räumliche Anwendungsbereich der DSGVO eröffnet sein. Gerade wenn eine Verarbeitung außerhalb der EU stattfindet, stellt sich das Problem, dass der EU-Gesetzgeber nicht gesetzgeberisch in fremden Hoheitsgebieten tätig werden kann. Daher ist ein besonderes Augenmerk darauf zu richten, ob der räumliche Anwendungsbereich der Verordnung tatsächlich eröffnet ist. Dies ist nach Art. 3 I zunächst dann der Fall, wenn der Verantwortliche oder der Auftragsverarbeiter eine Niederlassung innerhalb der EU betreibt (s.g. Niederlassungsprinzip).[13]

Verantwortlicher ist nach Art. 4 Nr. 7 jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet […]. Auftragsverarbeiter ist, wer die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet (vgl. Art. 4 Nr. 8).

Die Verordnung definiert den Begriff der Niederlassung nicht. In Hinblick auf den ErwG 22 sei anzunehmen, dass der Verordnungsgeber die Definition des EuGH[14] und des ErwG 19 der DS-RL vor Augen hatte.[15] Demnach setze eine Niederlassung im Hoheitsgebiet eines Mitgliedstaats die effektive und tatsächliche Ausübung einer Tätigkeit mittels einer festen Einrichtung voraus; die Rechtsform einer solchen Niederlassung sei in dieser Hinsicht nicht maßgeblich. Die meisten global tätigen Unternehmen führen auch mindestens eine feste Einrichtung innerhalb der EU, um von dort aus die europäischen Geschäfts-aktivitäten zu steuern oder direkt dort Waren oder Dienstleistungen anbieten oder sie von dort aus an den Verbraucher zu verschicken.[16]

Alternativ ist der Anwendungsbereich nach Art. 3 II eröffnet, wenn eine solche Niederlassung in der EU nicht besteht, die betroffene Person sich aber in der EU befindet und ihr dort Waren oder Dienstleistungen angeboten werden (Art. 3 II lit. a))[17] oder ihr Verhalten beobachtet wird (Art. 3 II lit. b)).[18] Mit Letzterem sind Unternehmen gemeint, die das Verhalten des Betroffenen, insbesondere im Internet, zu Werbezwecken beobachten (s.g. Web-Tracking-Unternehmen).[19]

Dies bezeichnet man auch als Marktortprinzip.[20] Diese Anknüpfung bestand unter der DS-RL nicht, vielmehr wurde auf den Standort der Verarbeitung abgestellt.[21] Ein solcher lässt sich häufig nicht mit Sicherheit bestimmen, insbesondere wenn große Konzerne mehrere Datenzentren auf der Welt betreiben. Gerade große Internetkonzerne beriefen sich häufig darauf, dass die Niederlassung in Europa nur der Vermarktung von Werbung diene und dass die eigentliche Daten-verarbeitung außerhalb der EU stattfände.[22] Durch das neue Marktortprinzip können diese Aktivitäten nunmehr unstreitig[23] dem europäischen Datenschutzrecht unterstellt werden. Es wird explizit nicht mehr an den Standort der Verarbeitung der Daten angeknüpft. Die DSGVO kann nicht durch eine Verlagerung der Verarbeitung umgegangen werden.[24]

4. Zwischenergebnis

Zusammenfassend kann festgestellt werden, dass der Anwendungsbereich der DSGVO sehr weit gestaltet wurde. Das Marktortprinzip ermöglicht eine umfassende Kontrolle von Daten-verarbeitungen durch die DSGVO. Den Mitgliedstaaten bleibt jedoch insbesondere dort ein eigener Regelungsspielraum, wo der Anwendungsbereich des Unionsrechts nicht eröffnet ist.

II. Anwendungsbereich des Kapitels V der DSGVO

Neben der Eröffnung des Anwendungsbereiches der DSGVO müsste auch der Anwendungsbereich des V. Kapitels der DSGVO eröffnet sein. Dieses regelt Anforderungen an eine Datenübermittlung ins Nicht-EU-Ausland, die zusätzlich zu den Regelungen aus den anderen Kapiteln gelten (vgl. Art. 44 S. 1). Hieraus ergibt sich eine zweistufige Prüfung: Nur wenn die Übermittlung als solche den Anforderungen insbesondere des II. Kapitels genügt[25], ist weitergehend festzustellen, ob die Übermittlung mit dem Kapitel V in Einklang steht.[26] Eine Übermittlung kann an ein Drittland oder an eine internationale Organisation erfolgen.

1. Begriff der Übermittlung

Der Begriff der Übermittlung wird in Art. 4 nicht legaldefiniert. Zu beachten ist allerdings, dass der Verordnungsgesetzgeber die Übermittlung nicht unmittelbar als Teil der Verarbeitung sieht, sondern nur von einer „Offenlegung durch Übermittlung“ spricht.[27] Auch wird der Begriff Übermittlung in der DSGVO nur im Zusammenhang mit Kapitel V verwendet.

Hieraus ergibt sich, dass Übermittlung i.S.d. DSGVO nur als jede Offenlegung personenbezogener Daten ggü. einem Empfänger in einem Drittland oder einer internationalen Organisation verstanden werden könne.[28] Die Übermittlung „an“ Drittländer meint demgemäß die Übermittlung an staatliche Stellen in dem Drittland oder an private Akteure, die in dem Drittland niedergelassen sind. Ob die Offenlegung schriftlich, elektronisch, mündlich oder auf andere Weise geschieht, ist irrelevant.[29]

Werden Daten innerhalb der EU übertragen, kann man nicht von einer Übermittlung i.S.d. DSGVO sprechen. Gemeint sind hierbei die Fälle, in denen Übermittler und Empfänger eine Niederlassung in der EU betreiben oder bei beiden das Marktortprinzip greift. Ist dies der Fall, dann unterfällt die Übertragung zwar dem Anwendungsbereich der DSGVO, weshalb auch hier entsprechende Schutzvorkehrungen einzuhalten sind, jedoch müssen nicht die zusätzlichen Anforderungen des Kapitels V beachtet werden.

2. Drittland

Art. 4 bestimmt ebenso nicht, was unter einem Drittland zu verstehen ist. Hierunter können jedoch nur solche Staaten fallen, die nicht der Verordnung unterfallen, mithin Nicht-EU-Staaten und (bislang) die EWR-Staaten.[30]

3. Internationale Organisation

Eine internationale Organisation ist gemäß Art. 4 Nr. 26 eine völkerrechtliche Organisation und ihre nachgeordneten Stellen oder jede sonstige Einrichtung, die durch eine zwischen zwei oder mehr Ländern geschlossene Übereinkunft oder auf der Grundlage einer solchen Übereinkunft geschaffen wurde. Dies sind z.B. die Vereinten Nationen.[31]

Eine Übertragung an EUROPOL wäre wegen Art. 2 II lit. d) nicht von der DSGVO erfasst. Erfolgt die Übertragung an eine Organisation, die auf Grund von EU-Recht oder zwischen europäischen Staaten gegründet wurde[32], müssen nicht die zusätzlichen Anforderungen des Kapitels V beachtet werden.[33] Es handelt sich dann nicht um eine „internationale“ Organisation.

III. Zusätzliche Anforderungen an die Datenübermittlung

Gemäß des V. Kapitels der DSGVO ist eine Datenübermittlung ins Nicht-EU-Ausland unbeschadet der sonstigen Regelungen der DSGVO nur dann zulässig, wenn die Übermittlung auf Grundlage eines Angemessenheitsbeschlusses (Art. 45) oder vorbehaltlich geeigneter Garantien (Art. 46, 47) erfolgt. Es handelt sich somit um ein präventives Verbot mit Erlaubnisvorbehalt.

1. Datenübermittlung gemäß Art. 45

Bietet das Drittland ein angemessenes Datenschutzniveau, kann die Kommission einen Angemessenheitsbeschluss nach Art. 45 III erlassen. Besteht ein solcher, gelten für die Übermittlung die gleichen Anforderungen wie für eine Übermittlung innerhalb der EU. Der Verantwortliche muss keine zusätzlichen Schutzvorkehrungen treffen und keine Genehmigung der Aufsichtsbehörde einholen (Art. 45 I 2).

Handelt es sich um eine Übermittlung an eine internationale Organisation, überprüft die Kommission, ob diese Organisation insgesamt ein angemessenes Schutzniveau gewährleisten kann.[34]

Der Angemessenheitsbeschluss ist ein Beschluss i.S.d. Art. 288 IV AEUV und daher für alle Mitgliedstaaten unmittelbar, auch hinsichtlich inhaltlicher Bewertungen, bindend.[35] Dies soll Rechtssicherheit für den Verantwortlichen schaffen und eine einheitliche Rechtsanwendung sicherstellen.[36]

a) Anforderungen an das Datenschutzniveau

Das Drittland muss aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationalen Verpflichtungen tatsächlich ein Schutzniveau gewährleisten, das dem in der Union vorzufindenden Schutzniveau der Sache nach gleichwertig ist.[37] Es kommt also nicht darauf an, dass das betreffende Land vergleichbare Regelungen wie die DSGVO aufgestellt hat. Es ist allein entscheidend, ob hinsichtlich der Schutzintensität die Mindestanforderungen des europäischen Datenschutzrechts, wie sie in der DSGVO aufgestellt werden, eingehalten werden.

Art. 45 I 1 sieht erstmalig explizit vor, dass nicht das gesamte Drittland dieses Datenschutzniveau insgesamt einhalten muss. Es genügt, dass ein bestimmtes Gebiet oder ein oder mehrere Sektoren des Drittlandes ein entsprechendes Schutzniveau gewährleisten. Eine Übermittlung ist über Art. 45 dann nur in dieses Gebiet oder diesen Sektor zulässig. So kann gleichzeitig gewährleistet werden, dass ein hoher Datenschutzstandard besteht, jedoch keine unverhältnismäßigen Anforderungen gestellt werden. Ein Anwendungsbeispiel bestünde etwa dann, wenn im öffentlichen Bereich eines Drittlandes ein hohes Datenschutzniveau herrscht, im privaten Bereich jedoch nicht. Auch kann eine Übermittlung in bestimmte Teilstaaten des Drittstaates (etwa die einzelnen Bundesstaaten der USA) möglich sein.

b) Kriterien nach Art. 45 II

Die aufgestellten Kriterien sind nicht abschließend („insbesondere“), müssen aber von der Kommission bei ihrer Entscheidung hinreichend berücksichtigt werden.[38]

Art. 45 II lit. a) nimmt die Rechtslage in dem Drittland insgesamt in den Blick. Die Kommission prüft hier insbesondere die Rechtsstaatlichkeit und die Achtung der Menschenrechte und Grundfreiheiten, aber auch die einschlägigen Rechtsvorschriften, Datenschutzvorschriften und Berufsregeln. Hierbei sind auch die Regelungen in Bezug auf die öffentliche Sicherheit, Verteidigung, nationale Sicherheit und das Strafrecht zu untersuchen. Dies ist nicht gemäß Art. 2 II lit. d) vom Anwendungsbereich der Verordnung ausgenommen, da es hier um die Situation in einem Drittland und nicht eines EU-Staates geht.

Weiterhin bewertet die Kommission die Anwendung der daten-schutzrechtlichen Vorschriften. Hierdurch soll sichergestellt werden, dass entsprechende Regeln auch tatsächliche Wirksamkeit haben und Beachtung finden. Dabei kommt Rechtsschutzmöglichkeiten des Betroffenen und der Rechtsprechung in dem Drittland eine hohe Beachtung zu.

Damit der Datenschutz nicht durch eine Weiterübermittlung aus dem Drittland an ein anderes Drittland hinfällig wird, prüft die Kommission ebenfalls, ob Vorschriften für die Weiterübermittlung der Daten einen hinreichenden Schutz gewährleisten.

Art. 45 II lit. b) stellt auf die Existenz und wirksame Funktionsweise einer oder mehrerer unabhängiger Aufsichtsbehörden in dem Drittland ab. Hierbei soll auch untersucht werden, inwieweit sie dem Verantwort-lichen unterstützend bzw. beratend zur Seite stehen.

Gemäß Art. 45 II lit. c) sind auch internationale Verpflichtungen und sonstige Rechtsverbindliche Übereinkünfte oder Instrumente zu beach-ten und ob das Drittland oder die internationale Organisation an einem multilateralen oder regionalen System insbesondere in Bezug auf den Datenschutz teilnimmt.

c) Fortgeltung der Beschlüsse nach Art. 25 VI der DS-RL

Gemäß Art. 45 IX gelten die Beschlüsse der Kommission nach Art. 25 VI der DS-RL so lange, bis die Kommission einen Angemessenheits-beschluss nach Art. 45 III erlassen oder nach Art. 45 V geändert, ersetzt oder aufgehoben hat. Dies ist noch nicht geschehen, da die DSGVO erst ab dem 25. Mai 2018 gilt. Bisher hat die Kommission Beschlüsse nach Art. 25 VI DS-RL für Andorra, Argentinien, Australien, die Färöer, Guernsey, Israel, die Isle of Man, Jersey, Kanada, die Schweiz, Neuseeland und Uruguay erlassen.[39] Das s.g. Safe-Harbour-Abkommen[40], welches einen Angemessenheitsbeschluss für die Vereinigten Staaten enthielt, wurde vom EuGH für nichtig erklärt.[41] Nunmehr wurde diese Vereinbarung durch den EU-US Privacy-Shield[42] ersetzt.[43]

d) Rechtsschutzmöglichkeiten

Ein Angemessenheitsbeschluss kann nach allgemeinen europa-rechtlichen Regeln vor dem EuGH mit der Nichtigkeitsklage (Art. 263 AEUV), aber auch mittels eines Vorabentscheidungsverfahrens (Art. 267 AEUV) überprüft und ggf. aufgehoben werden.

e) Kontrolle durch die Kommission

Gemäß Art. 45 IV muss die Kommission die Entwicklungen in dem Dritt-land und bei einer internationalen Organisation die Wirkungsweise der Beschlüsse nach Abs. 3 überwachen. Hierdurch soll gewährleistet werden, dass die Kommission angemessen auf ein Absinken des Datenschutzniveaus reagieren kann.

Hierbei gibt Art. 45 V-VII ein entsprechendes Programm vor: Die Kommission widerruft, ändert oder setzt den Angemessenheits-beschluss aus, wenn das Drittland oder die internationale Organisation kein hinreichendes Schutzniveau i.S.d. Art. 45 II mehr gewährleistet. Sodann hat die Kommission Beratungen mit dem betroffenen Drittland oder der internationalen Organisation aufzunehmen, um der Situation abzuhelfen (Art. 45 VI).

Art. 45 VII stellt klar, dass trotz einer Maßnahme nach Art. 45 V eine Datenübermittlung weiterhin auf die Art. 46-49 gestützt werden kann. Dies verhindert, dass jegliche Datenübermittlung zu blockieren wäre, was erhebliche wirtschaftliche Schäden hervorrufen könnte.

2. Datenübermittlung gemäß Art. 46, 47

Ohne einen Angemessenheitsbeschluss nach Art. 45 III kann eine Datenübermittlung neben den allgemeinen Anforderungen der DSGVO auch vorbehaltlich geeigneter Garantien gemäß Art. 46, 47 zulässig sein. Hier steht der Verantwortliche oder der Auftragsverarbeiter[44] in der Pflicht, geeignete Garantien vorzusehen. Dem Betroffenen müssen in diesem Fall geeignete Rechte und Rechtsbehelfe zur Verfügung stehen (Art. 46 I).

Art. 46 differenziert in Abs. 2 und Abs. 3 weitergehend danach, ob zusätzlich zu den Garantien noch eine Genehmigung der zuständigen Aufsichtsbehörde (Art. 51 ff., Art. 55 ff.) für die einzelne Datenübermittlung erforderlich ist.

a) Garantien ohne Genehmigungsvorbehalt

Art. 46 II beinhaltet eine Auflistung verschiedener Garantien, bei deren Vorliegen eine Übermittlung auch ohne Genehmigung der Aufsichtsbehörde zulässig ist.[45] Die dort aufgezählten Garantien sind abschließend.

aa) Rechtlich bindendes Dokument zwischen Behörden oder öffentlichen Stellen

Eine solche Garantie kann zunächst in einem rechtlich bindenden und durchsetzbaren Dokument zwischen Behörden oder öffentlichen Stellen bestehen (Art. 46 II lit. a)). Diese Vorschrift ist somit nur für den öffentlichen Sektor von Relevanz. Eine vergleichbare Vorschrift gibt es in der DS-RL nicht. Bemerkenswert hieran ist, dass weder eine Beteiligung der Kommission noch der Aufsichtsbehörden vorgesehen ist. Grund hierfür dürfte sein, dass eine Datenübermittlung nicht ausschließlich von der Beteiligung der Aufsichtsbehörden oder der Kommission abhängig sein soll, was die Datenübermittlung vereinfachen würde. Zudem sind die Behörden oder öffentlichen Stellen in der EU bei der Durchführung von Unionsrecht an die GrCh gebunden (Art. 51 I GrCh), was hinreichende Rechtsstaatlichkeit gewährleiste.[46] Hinsichtlich der Begriffe „bindend“ und „durchsetzbar“ kann dem ErwG 108 entnommen werden, dass hier-mit z.B. Verwaltungsvereinbarungen gemeint sind, die dem Betroffenen verwaltungsrechtlichen oder gerichtlichen Rechtsschutz ermöglichen müssen, was etwaige Schadensersatzansprüche miteinschließt. Fehlt es an einer solchen Bindungswirkung (etwa bei reinen Absichtserklärungen), solle eine Übermittlung nur mit Genehmigung der zuständigen Aufsichtsbehörde erfolgen dürfen. Die hierfür maßgebliche Vorschrift findet sich in Art. 46 III lit. b).

bb) Verbindliche interne Datenschutzvorschriften

Weiterhin sind in Art. 46 II lit. b verbindliche interne Datenschutz-vorschriften gemäß Art. 47 genannt.[47] Dieses Instrument wurde in der DSGVO kodifiziert, nachdem es unter der DS-RL von den Aufsichts-behörden in Kooperation mit der Wirtschaft entwickelt wurde.[48]

Verbindliche interne Datenschutzvorschriften sind nach der Legal-definition in Art. 4 Nr. 20 Maßnahmen zum Schutz personenbezogener Daten, zu deren Einhaltung sich ein im Hoheitsgebiet eines Mitglied-staats niedergelassener Verantwortlicher oder Auftragsverarbeiter verpflichtet im Hinblick auf Datenübermittlungen oder eine Kategorie von Datenübermittlungen personenbezogener Daten an einen Verantwortlichen oder Auftragsverarbeiter derselben Unternehmensgruppe oder derselben Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, in einem oder mehreren Drittländern.

Gemäß der Definition aus Art. 4 Nr. 19 sind mit Unternehmensgruppen vor allem Konzerne gemeint. Für diese spielen interne Datenschutz-vorschriften in der Praxis eine enorm wichtige Rolle.[49] Sie haben hiermit die Möglichkeit, Daten innerhalb des Konzerns von der EU in das Nicht-EU-Ausland zu transferieren. Da Konzerne mehrere Unternehmen bein-halten, die oft auf der ganzen Welt verteilt sind, kommt eine solche Übermittlung häufig vor. Denkbar sei z.B., dass Kunden-, Lieferanten- oder Personaldaten für den Konzern zentral verwaltet werden sollen, was eine Übertragung unumgänglich mache.[50] Übermittlungen vom Konzern an einen Dritten im Nicht-EU-Ausland werden nicht von den verbindlichen internen Datenschutzvorschriften erfasst. Für diese müssen dann andere Erlaubnistatbestände der Art. 45 ff. vorliegen.

Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, sind Unternehmenskooperationen. Diese müssen eine gewisse Festigkeit und Beständigkeit aufweisen, damit die internen Datenschutzvorschriften auch ihre Wirkung entfalten können.[51] Die genauen Anforderungen an diese Festigkeit und Beständigkeit sind bislang nicht abschließend aufgestellt worden.[52] Denkbar wäre, dass hiermit Joint Ventures gemeint sind, da die Arbeit an einem gemeinsamen Projekt auch immer gemeinsame Datenverarbeitungen erfordern. Diese könnte dann durch verbindliche Regeln zwischen den Unternehmen festgelegt werden.

Neben den Verantwortlichen können auch Gruppen von Auftragsverarbeitern verbindliche interne Datenschutzvorschriften genehmigen lassen und anwenden. Die DSGVO differenziere hierzwischen nicht.[53]

[...]


[1] Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.

[2] Änderung durch das nationale Datenschutz-Anpassungs- und Umsetzungsgesetz EU (DSAnpUG-EU).

[3] Überblick in: Gola/Klug, NJW 2017, 2593, 2593.

[4] Dies sind alle Staaten, die nicht Mitgliedstaaten der EU sind. Die EWR-Staaten (Norwegen, Island, Liechtenstein) gelten nur dann als Nicht-EU-Staaten, wenn sie die DSGVO für nicht anwendbar erklären sollten (BeckOK DatenschutzR/ Kamp DSGVO Art. 44, Rn. 8).

[5] Erwägungsgrund (ErwG) 14 der DSGVO.

[6] Grabitz/Hilf/Nettesheim/ Sobotta, Das Recht der EU, EGL 62, 2017, Art. 16 AEUV, Rn. 17.

[7] Alle nachfolgenden Artikel ohne Kennzeichnung sind solche der DSGVO.

[8] Wybitul/Ströbel/Ruess, ZD 2017, 503, 503.

[9] ErwG 15.

[10] Dies ergibt sich auch schon aus Art. 16 II AEUV und Art. 5 II EUV. Hierunter fallen z.B. Tätigkeiten der Mitgliedstaaten, die die nationale Sicherheit betreffen (ErwG 16), aber auch der Sozialdatenschutz des SGB X (Wedde, EU-Datenschutzgrundverordnung, S. 5).

[11] Hierfür gilt die Richtlinie (EU) 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates. Die §§ 78 ff. BDSG n.F. enthalten auch hier Bestimmungen zur Datenübermittlung ins Nicht-EU-Ausland.

[12] Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation).

[13] Statt vieler: Wybitul/Ströbel/Ruess, ZD 2017, 503, 504.

[14] U.a. EuGH NJW 2015, 3636, Rn. 19.

[15] Paal/Pauly/ Ernst, Art. 3, Rn. 6.

[16] Allein der Online-Versandhändler Amazon.com, Inc. betreibt in der EU 48 Logistikzentren und diverse Firmensitze (https://www.amazon.de/p/feature/4xvco5dxnpva6a6, abgerufen am 05.01.2018).

[17] Zu den einzelnen Kriterien siehe ErwG 23.

[18] Zu den einzelnen Kriterien siehe ErwG 24.

[19] BeckOK Datenschutzrecht/ Wolff/Brink Grundlagen, Rn. 2.

[20] Statt vieler: Wybitul/Ströbel/Ruess, ZD 2017, 503, 505.

[21] Albrecht, CR 2016, 88, 90.

[22] Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 3, Rn. 31.

[23] Der EuGH trat dieser Entwicklung insbesondere im Google Spain-Urteil entgegen (EuGH [Große Kammer], Urt. v. 13.5.2014 – C-131/12 [Google Spain SL u. Google Inc./Agencia Española de Protección de Datos u. Mario Costeja Conzález]).

[24] Vgl. ErwG 22.

[25] Die geplante Übermittlung muss insbesondere den Anforderungen der Art. 5-7 genügen (Einwilligung oder gesetzliche Erlaubnis).

[26] Paal/Pauly/ Pauly, Art. 44, Rn. 2.

[27] Art. 4 Nr. 2. Anders in § 3 IV BDSG aktuelle Fassung.

[28] Paal/Pauly/ Pauly, Vorbemerkungen zu Art. 44 bis 50, Rn. 2.

[29] Schaffland/Wiltfang/ Schaffland/Holthaus, Art. 4, Rn. 84.

[30] Vgl. Fn. 4.

[31] UN-Charta vom 26. Juni 1945.

[32] So z.B. die ESA auf Grund des Übereinkommens zur Gründung einer Europäischen Weltraumorganisation vom 30. Mai 1975.

[33] Wedde, EU-Datenschutzgrundverordnung, S. 25.

[34] ErwG 103.

[35] Streinz/ Schroeder, Art. 288 AEUV, Rn. 140, 142.

[36] ErwG 103.

[37] EuGH NJW 2015, 3151, Rn. 72 f., ErwG 104.

[38] Wedde. EU-Datenschutzgrundverordnung S. 25.

[39] http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.htm (zuletzt abgerufen am 07.01.2018).

[40] Entscheidung 2000/520/EG der Kommission.

[41] EuGH, Urteil vom 6.10.2015 - C-362/14 Maximillian Schrems / Data Protection Commissioner.

[42] Entscheidung 2016/1250/EU der Kommission.

[43] Dessen Vereinbarkeit mit den Anforderungen des EuGH aus dem Safe-Harbour Urteil wird vermehrt in Frage gestellt. Siehe hierzu Börding, CR 2016, 431, 440.

[44] Die entsprechende Regelung nach der DS-RL richtet sich nur an den Verantwortlichen (Art. 26 II DS-RL). Dies bewirkte komplizierte Vertragsgestaltungen zwischen Verantwortlichen, Auftragsverarbeiter und Aufsichtsbehörde, die nun obsolet werden (BeckOK DatenschutzR/ Lange/Filip DSGVO Art. 46, Einleitung).

[45] Es werden besonders relevante Beispiele für den öffentlichen und privaten Sektor genannt. Die Ausführungen zu Art. 46 sind insoweit nicht vollständig.

[46] BeckOK DatenschutzR/ Lange/Filip DSGVO Art. 46, Rn. 20.

[47] Diese werden verbreitet auch als Binding Corporate Rules (BCR) bezeichnet.

[48] Maßgeblich waren hier vor allem die Arbeitspapiere der Art. 29 Datenschutzgruppe der Kommission, BeckOK DatenschutzR/ Lange/Filip DSGVO Art. 47, Einleitung.

[49] Wedde, EU-Datenschutzgrundverordnung, S.26.

[50] Paal/Pauly/ Pauly, Art. 47, Rn. 1.

[51] Paal/Pauly/ Pauly, Art. 47, Rn. 4,5.

[52] Die Kommission äußerte sich nur dahingehend, dass das Reisegewerbe eine solche Kooperation darstellen könnte, BeckOK DatenschutzR/ Lange/Filip DSGVO Art. 47, Rn. 4-5.

[53] BeckOK DatenschutzR/ Lange/Filip DSGVO Art. 47, Rn. 13.

Details

Seiten
22
Jahr
2018
ISBN (eBook)
9783668675858
ISBN (Buch)
9783668675865
Dateigröße
698 KB
Sprache
Deutsch
Katalognummer
v418578
Institution / Hochschule
Universität Hamburg – Fakultät für Rechtswissenschaften
Note
13
Schlagworte
DSGVO Datenschutzgrundverordnung Datenübermittlung Nicht-EU-Ausland Safe-Harbour EU Datenschutz Datenschutzrecht Art. 46 DSGVO Art. 45 DSGVO Angemessenheitsbeschluss Geeignete Garantien

Autor

Zurück

Titel: Die Anforderungen der DSGVO an Datenübermittlungen ins Nicht-EU-Ausland