Überblick
Vor dem Hintergrund der Ausweitung des internationalen Handels hat der europäische Gesetzgeber die Übermittlung personenbezogener Daten an Datenempfänger in sog. Drittländern, also in Länder außerhalb der EU bzw. des EWR, unter besondere datenschutzrechtliche Anforderungen gestellt, um Rechte und Freiheiten der betroffenen Personen zu schützen. Ziel ist es, das durch die Datenschutz-Grundverordnung (DS-GVO) unionsweit gewährleistete Schutzniveau für natürliche Personen nicht zu untergraben, sofern personenbezogene Daten in Drittländer transferiert werden. Die Art. 44 ff. in Kapitel V der DS-GVO geben die Bedingungen vor, nach denen Verantwortliche oder Auftragsverarbeiter, die der DS-GVO unterliegen, personenbezogene Daten in Drittländer transferieren dürfen.
Zweistufige Prüfung bei Drittlandtransfers
Sollen personenbezogene Daten ins Drittland übermittelt werden, ist vorab eine zweistufige Prüfung vorzunehmen:
- Stufe der Prüfung: Sind unabhängig von den in den Art. 45 ff. geregelten spezifischen Anforderungen an Datenübermittlungen in Drittländer alle übrigen Datenschutzanforderungen eingehalten? (Mit anderen Worten: Wäre der Datentransfer zulässig, wenn es sich um einen rein nationalen bzw. europäischen Sachverhalt handeln würde, also kein Bezug zum Drittland bestünde?)
- Stufe der Prüfung: Beachtung der spezifischen Anforderungen an Übermittlungen in Drittländer?
Das Erfordernis der zweistufigen Prüfung ergibt sich aus Art. 44 S. 1 DS-GVO, der von den Verantwortlichen bzw. Auftragsverarbeitern die Einhaltung der Vorgaben von Kapitel V DS-GVO sowie die Einhaltung der „sonstigen Bestimmungen dieser Verordnung“ verlangt. Allein die Erfüllung der speziellen Vorgaben aus Kapitel V genügt also nicht, um den Transfer personenbezogener Daten ins Drittland zu legitimieren.
Neben einer Rechtfertigung für die Übermittlung in ein Drittland müssen wie bei der Inlandsverarbeitung insbes. die Grundsätze des Art. 5 DS-GVO eingehalten werden, und es muss eine Rechtsgrundlage für die Verarbeitung nach Art. 6 ff. DS-GVO vorliegen. Auch sind Transparenzpflichten zu beachten, vgl. Art. 13 Abs. 1 lit. f und Art. 14 Abs. 1 lit. f DS-GVO.
Zur Legitimation von Datentransfers ins Drittland (2. Stufe) sieht die DS-GVO insbes. folgende Mechanismen vor:
- Feststellung der Angemessenheit des Datenschutzniveaus im Drittland durch die EU-Kommission (Art. 45 DS-GVO)
Die Kommission hat die Möglichkeit, das Bestehen eines angemessenen Schutzniveaus für konkrete Drittländer festzustellen. Die Feststellung kann auch auf ein bestimmtes Gebiet oder einen bestimmten Sektor in dem Drittland oder auch auf bestimmte Datenkategorien beschränkt sein.
Im Juli 2023 hat die EU-Kommission festgestellt, dass im Hinblick auf den Transfer personenbezogener Daten an unter dem neuen EU-US-Datenschutzrahmen (EU-US Data Privacy Framework – EU-US DPF) (selbst-)zertifizierte US-Unternehmen aus ihrer Sicht ein angemessenes Datenschutzniveau besteht. Zum EU-US DPF vgl. im Einzelnen hier.
- Vorliegen geeigneter Garantien (Art. 46 DS-GVO), insbes.
- Verbindliche interne Datenschutzvorschriften (Binding Corporate Rules)
(Art. 46 Abs. 2 lit. b, Art. 47 DS-GVO) - Standarddatenschutzklauseln (SCC) der EU-Kommission
(Art. 46 Abs. 2 lit. c DS-GVO)
oder
- Ausnahmen für bestimmte Fälle (Art. 49 DS-GVO)
Zur Frage, unter welchen Voraussetzungen ein Drittlandtransfer anzunehmen ist, vgl. im Einzelnen hier.