Wann liegt ein Drittlandstransfer vor?
Adressaten der Datenschutz-Grundverordnung (DS-GVO), welche personenbezogene Daten in ein sog. Drittland, also ein Land außerhalb der EU bzw. des EWR übermitteln möchten, haben zuvor im Hinblick auf die Rechtmäßigkeit des Transfers eine zweistufige Prüfung vorzunehmen (vgl. Art. 44 ff. DS-GVO).
Praxisrelevant ist in diesem Zusammenhang die Frage, wann konkret von einer Datenübermittlung ins Drittland auszugehen ist. Obgleich hieran erhebliche rechtliche und praktische Konsequenzen knüpfen, ist in der DS-GVO selbst nicht konkret definiert, wann eine solche Übermittlung ins Drittland anzunehmen ist.
Der Europäische Datenschutzausschuss (EDSA) hat in seinen Leitlinien 05/2021 (Vers. 2.0, Stand: 14.02.23)1 drei Kriterien herausgearbeitet, die gleichzeitig vorliegen müssen, damit eine Verarbeitung als Drittlandübermittlung zu qualifizieren ist:
- Ein Verantwortlicher oder Auftragsverarbeiter unterliegt mit der betreffenden Verarbeitung der DS-GVO.
- Dieser Verantwortliche oder Auftragsverarbeiter („Exporteur”) legt durch Übermittlung oder auf andere Weise Daten, die Gegenstand dieser Verarbeitung sind, einem anderen oder gemeinsamen Verantwortlichen bzw. einem anderen Auftragsverarbeiter („Importeur”) offen.
- Dieser Importeur befindet sich in einem Drittland oder ist eine internationale Organisation, unabhängig davon, ob dieser in Bezug auf die betreffende Verarbeitung gem. Art. 3 DS–GVO in den Anwendungsbereich der Verordnung fällt.
Zu Übermittlungen i.S.v. Art. 44 ff. DS-GVO sind auch vertraglich vorgesehene bzw. nicht auszuschließende Zugriffsmöglichkeiten z.B. im Bereich der Systemadministration zu zählen oder sonstige Abrufverfahren (z.B. Download oder Bereitstellung von Daten an einem Terminal). Ebenso kann eine Übermittlung bei einem Zugriff auf personenbezogene Daten durch Stellen im Drittland mittels VPN vorliegen.
Abzugrenzen ist der Drittlandtransfer vom Fall einer Direkterhebung personenbezogener Daten durch Stellen im Drittland. Registriert sich beispielsweise ein Beschäftigter auf einer Website eines Anbieters mit Sitz im Drittland, liegt grundsätzlich kein Datentransfer nach Art. 44 ff. DS-GVO vor. Ob für den Anbieter im Drittland ggf. die DS-GVO gilt (vgl. Art. 3 DS-GVO), ist gesondert zu prüfen.
Einsatz europäischer Tochtergesellschaften von US-Unternehmen als Dienstleister
Praxisrelevant ist die Gestaltung, dass Unternehmen europäische Tochtergesellschaften von US-Unternehmen als Dienstleister einschalten. In diesem Fall stellt sich die Frage, ob allein die vertragliche Zusicherung durch die Tochtergesellschaft, dass alle Daten ausschließlich im Bereich der EU verarbeitet werden, ausreicht, damit kein Anwendungsfall der Art. 44 ff. DS-GVO gegeben ist.
Letzteres bejahte die zweite Vergabekammer des Bundes (Beschl. v. 13.02.2023 – VK2-114/22). Allein, dass ein (Unter-)Auftragnehmer Tochterunternehmen eines US-amerikanischen Konzerns sei, begründe keinen Anlass an der Erfüllbarkeit des Leistungsversprechens zu zweifeln. Es müsse nicht davon ausgegangen werden, dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen kommt bzw. dass das Unternehmen diesen Folge leisten wird. Zwar handelt es sich bei der zitierten Entscheidung um eine solche des Vergaberechts. Sie hat aber zugleich allgemeine Bedeutung für den Einsatz von Auftragnehmern mit Muttergesellschaft im Drittland.
Ähnlich wie die Vergabekammer beurteilt im Grundsatz auch der Europäische Datenschutzausschuss (EDSA) den Einsatz europäischer Tochtergesellschaften von Unternehmen aus Drittländern als Dienstleister, vgl. Leitlinien 05/2021 (Vers. 2.0, Stand: 14.02.23), Example 12: Controller in the EU uses a processor in the EU subject to third country legislation.
- https://edpb.europa.eu/system/files/2023-02/edpb_guidelines_05-2021_interplay_between_the_application_of_art3-chapter_v_of_the_gdpr_v2_en_0.pdf [↩]