Pra­xis­na­he Umset­zung seit 2013

Ihr Exper­te für Daten­schutz und Informationssicherheit

Dritt­land­trans­fer

Dritt­land­trans­fer: Kön­nen Sie die­se 10 Fra­gen zum Daten­schutz beantworten?

Inter­na­tio­na­ler Daten­ver­kehr: Der Überblick

Ein­lei­tung

Wenn Sie per­so­nen­be­zo­ge­ne Daten in ande­re Län­der außer­halb der EU über­mit­teln, müs­sen sie sicher­stel­len, dass im Ziel­land ein ange­mes­se­nes Daten­schutz­ni­veau vor­liegt. In den letz­ten Mona­ten hat dies zu erheb­li­chen Unsi­cher­hei­ten und Auf­wän­den geführt. Ein akti­ves Han­deln ist not­wen­dig, um die Anfor­de­run­gen der DSGVO zu erfüllen.

Das Pro­blem: Aktu­ell gibt es für Über­mitt­lun­gen an Unter­neh­men in den USA kei­ne wirk­lich gute Lösung für die Pro­ble­ma­tik. Denn Unter­neh­men, wie zum Bei­spiel Ama­zon, Micro­soft, Sales­force oder Goog­le unter­lie­gen den ame­ri­ka­ni­schen Geset­zen. US-Behör­den haben weit­rei­chen­de Mög­lich­kei­ten, um auf per­so­nen­be­zo­ge­ne Daten zuzugreifen.

Wenn Sie sich mit dem The­ma selbst aus­ein­an­der­set­zen wol­len: Auf die­ser Sei­te fin­den Sie Ant­wor­ten auf (fast) alle Fra­gen rund um das The­ma „Dritt­land­trans­fer“.

Die­se Infor­ma­tio­nen stel­len kei­ne Rechts­be­ra­tung dar, son­dern geben Anre­gun­gen zur Umset­zung. Für eine pass­ge­naue Umset­zung neh­men Sie ger­ne Kon­takt auf.

Inhalte 

Dritt­land­trans­fer: Der Überblick

Eine Über­mitt­lung von per­so­nen­be­zo­ge­nen Daten in ein Dritt­land ist schwer zu erfül­len. Prü­fen Sie daher, ob die Daten­ver­ar­bei­tung nicht anders gestal­tet wer­den kann.

Ist die Ent­schei­dung bereits gefal­len? Prü­fen Sie, ob Sie mit geeig­ne­ten und wirk­sa­men Mit­teln das Risi­ko für die betrof­fe­nen Per­so­nen redu­zie­ren kön­nen. Über­le­gen Sie zum Bei­spiel, ob Sie den Umfang der Daten­ver­ar­bei­tung oder die Anzahl der Zugriffs­be­rech­tig­ten redu­zie­ren können.

Set­zen Sie bei Übermitt­lungen Verschlüs­selungs­methoden ein. Idea­ler­wei­se sor­gen Sie dafür, dass Sie die Schlüs­sel­ho­heit behal­ten oder der Zugriff der Schlüs­sel nur aus der EU erfol­gen kann.

Datenüber­mittlungen in Dritt­länder kön­nen durch  unter­schiedliche Garan­tien datenschutz­konform gestal­tet wer­den. Fin­den Sie hier eini­ge davon. 

Beach­ten Sie mög­li­che Sanktionen!

Was ist, wenn die Daten­ver­ar­bei­tung durch eine Auf­sichts­be­hör­de Ihre Geschäfts­pro­zes­se unter­sagt oder Geld­bu­ßen auf­er­legt wer­den? Eine Über­mitt­lung per­so­nen­be­zo­ge­ner Daten ohne wirk­sa­me Schutz­maß­nah­men für die betrof­fe­nen Per­so­nen stellt eine Ord­nungs­wid­rig­keit dar.

Die Höhe vari­iert von Unter­neh­men zu Unter­neh­men und dem Risi­ko der Ver­ar­bei­tung, aber Ver­feh­lun­gen kön­nen schnell recht teu­er wer­den (2% vom Vorjahres­umsatz oder 10.000.000 Euro, je nach­dem was höher ist). Aber so weit wird es hof­fent­lich nicht kommen.

Den­ken Sie an die Folgeaufgaben!

Sie müs­sen bei Über­mitt­lun­gen per­so­nen­be­zo­ge­ner Daten in Dritt­län­der eine Risi­ko­be­wer­tung durch­füh­ren und regel­mä­ßig wiederholen. 

10 Prüf­fra­gen für die Geschäftsleitung

Fra­gen Sie sich als Ver­tre­tung der Geschäfts­lei­tung: Machen wir im Daten­schutz alles rich­tig? Dann stel­len Sie Ihrem Per­so­nal oder dem Datenschutz­beauftragten die fol­gen­den Fra­gen und las­sen sich ent­spre­chen­de Nach­wei­se vorlegen. 
compliance-im-datenschutz

Sie wol­len in 4 Schrit­ten eine Risi­ko­be­wer­tung von Dritt­land­trans­fers in Ihrem Unter­neh­men umset­zen? Fin­den Sie hier wei­te­re Informationen.

Sie wün­schen eine direk­te Kontakt­aufnahme und haben Fra­gen zum Sicher­heit der Verar­beitung, die ggf. schnell beant­wortet wer­den können?

In 4 Schrit­ten zur Umset­zung: Drittlandtransfer

Nach­fol­gend zei­ge ich Ihnen die 4 Schrit­te, wie Sie das The­ma „Dritt­land­trans­fer“ im Unter­neh­men umset­zen und aktu­ell hal­ten können.

Schritt 1: Holen Sie einen Spe­zia­lis­ten an Bord — schnel­ler geht es nicht.

Um sich die­sem kom­pli­zier­ten The­ma der DSGVO zu nähern, müs­sen Sie erst alle Daten­ver­ar­bei­tun­gen ken­nen, in denen per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet und in ein Dritt­land über­mit­telt werden. 

Ein ers­ter Ansatz­punkt ist natür­lich das Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten. Hier soll­ten Sie schon sämt­li­che Daten­ver­ar­bei­tun­gen ein­schließ­lich einem Dritt­land­be­zug doku­men­tiert haben. Wenn Sie noch kei­ne voll­stän­di­ge Auf­nah­me Ihrer Geschäfts­pro­zes­se haben, soll­ten Sie damit anfan­gen. Dies schließt auch die Auf­trags­ver­ar­bei­ter ein, die Sie eben­falls einsetzen.

Die­se Infor­ma­tio­nen müs­sen Sie auch ken­nen, weil Sie die Betrof­fe­nen­rech­te fach­ge­recht umset­zen müs­sen. Hier sind die Infor­ma­ti­ons­pflich­ten und das Aus­kunfts­recht der betrof­fe­nen Per­so­nen zu nen­nen, weil Sie dort Über­mitt­lun­gen in Dritt­län­der ein­schließ­lich der ein­ge­setz­ten Garan­tien aus­füh­ren müssen.

Beach­ten Sie das Risi­ko für die betrof­fe­nen Personen!

Die Anzahl der zu erstel­len­den Kon­zep­te sind abhän­gig von der Kom­ple­xi­tät der Ver­ar­bei­tung und dem Risi­ko für die Rech­te und Frei­heiten der betrof­fe­nen Per­so­nen. Das Wis­sen für die Erstel­lung einer fachge­recht erstell­ten Inven­tur und Doku­men­ta­ti­on soll­ten Sie nicht aus­schließ­lich durch inter­ne Beschäf­tig­te oder durch exter­ne Dienst­leister ohne Unter­stützung erstel­len. Die­se Erfah­rung ist neben­beruflich nur schwer zu erlangen.

Schritt 2: Ermit­teln Sie die Garan­tien der Drittlandtransfers.

Im zwei­ten Schritt ermit­teln Sie die Garan­tien der Daten­ver­ar­bei­tun­gen. Die DSGVO bie­tet diver­se Garan­tien an, wie z. B. ein Angemessenheits­beschluss der EU-Kom­mis­si­on, Standard­vertrags­klausen oder verbind­liche inter­ne Daten­schutz­vor­schriften. Es gibt auch noch zusätz­li­che Aus­nahmen, die Sie jedoch nur in beson­de­ren Fäl­len ver­wen­det kön­nen und eng aus­zu­le­gen sind. Wenn Sie jetzt nur Frage­zeichen sehen, soll­ten Sie einen Spe­zia­lis­ten hinzuziehen.

Ziel der Garan­tien ist es, ein gleich­wer­ti­ges Schutz­niveau im Ziel­land her­zu­stel­len. Es kann dazu erfor­der­lich sein, dass Sie zusätz­liche Maß­nah­men eta­blie­ren, um die Daten der betrof­fe­nen Per­so­nen ange­mes­sen und wirk­sam zu schützen.

Auch die ein­ge­setz­ten Garan­tien und die zusätz­li­chen Schutz­maß­nah­men soll­ten Sie doku­men­tie­ren. Sie nut­zen ein inter­nes Dokument­ations­system, z. B. ein inter­nes Wiki­pe­dia, ein Dokumenten­management­system, Goog­le Dri­ve, eine Next­Cloud, ein Qualitäts­management­system, Micro­soft Teams / Share­Point oder den klas­si­schen Akten­ord­ner? Ver­wen­den Sie einen ein­heit­li­chen Auf­bau der Doku­men­te, ein Ver­si­ons­ma­nage­ment und eine Kom­mu­ni­ka­ti­ons- und Frei­ga­be­pro­ze­dur. Stel­len Sie sicher, dass die betei­lig­ten Fach­ab­tei­lun­gen auf die Doku­men­te zugrei­fen können.

Schritt 3: Füh­ren Sie eine Risi­ko­be­wer­tung durch.

Wenn Sie die Garan­tien pro Daten­ver­ar­bei­tung aus­ge­wählt haben, müs­sen Sie eine Risi­ko­be­wer­tung durch­füh­ren. Prü­fen Sie, ob der Schutz der Daten effek­tiv und wirk­sam ist. Die betrof­fe­nen Per­so­nen müs­sen einen Schutz erhal­ten, der das glei­che Niveau wie in Euro­pa hat.

Ande­re Län­der — ande­re Geset­ze. Prü­fen Sie, ob im Ziel­land gesetz­li­che Rege­lun­gen bestehen, die die Sicher­heit Ihrer Daten­ver­ar­bei­tung gefähr­den. So bestehen in den USA diver­se Geset­ze, die es den US-Behör­den erlau­ben, auf die Daten zuzu­grei­fen. Dies geschieht auch unab­hän­gig davon, in wel­chem Land die Daten gespei­chert wer­den (zum Bei­spiel in Euro­pa). Berück­sich­tig­ten Sie dabei sämt­li­che betei­lig­ten Par­tei­en, die im Zuge der Daten­ver­ar­bei­tung einen Zugriff erhal­ten. Dafür müs­sen sie den gesam­ten Daten­fluss ein­schließ­lich aller Ver­ant­wort­li­chen, Auf­trags­ver­ar­bei­ter und deren Unter­auf­trags­ver­ar­bei­ter kennen. 

Schau­en Sie sich die Rechts­vor­schrif­ten der Län­der an, die Ein­fluss auf Ihre Daten­ver­ar­bei­tung neh­men kön­nen. In den USA gel­ten zum Bei­spiel die Sec­tion 702 des For­eign Intel­li­gence Sur­veil­lan­ce Act (FISA) oder die Exe­cu­ti­ve Order333. Dabei spie­len die Zwe­cke der Daten­ver­ar­bei­tung, die Emp­fän­ger­ka­te­go­rien, die Daten­ka­te­go­rien und die Art der Daten­ver­ar­bei­tung eine Rol­le. Wer­den die Rech­te der Betrof­fe­nen beein­träch­tigt, wie zum Bei­spiel Aus­kunft oder Löschung der Daten? Oder wird die­ses Recht durch die Geset­ze ande­rer Län­der beein­träch­tigt? Kön­nen staat­li­che Stel­len auf die Daten der betrof­fe­nen Per­so­nen zugrei­fen und wird dies sogar in Trans­pa­renz­be­rich­ten öffent­lich gemacht? (Bei­spiel: Micro­soft). Neh­men Sie Kon­takt zu Ihrem Dienst­leis­ter auf, ob die­ser Unter­la­gen für Sie bereithält.

Nach­dem Sie Klar­heit haben, wie die jewei­li­ge Rechts­la­ge in den Ziel­län­dern aus­sieht, müs­sen Sie prü­fen, ob noch zusätz­li­che Maß­nah­men eta­bliert wer­den kön­nen. Rein ver­trag­li­che Maß­nah­men zwi­schen Ihnen und dem Unter­neh­men zum Schutz der Daten wer­den nicht aus­rei­chen, da die Behör­de nicht an die­se Ver­trä­ge gebun­den ist. Sie müs­sen noch orga­ni­sa­to­ri­sche und tech­ni­sche Maß­nah­men hin­zu­fü­gen. Idea­ler­wei­se ver­wen­den Sie Ver­schlüs­se­lungs­tech­no­lo­gien, die den Zugriff auf die Daten ver­hin­dern. Dazu ist es not­wen­dig, dass die Schlüs­sel­ho­heit bei Ihnen selbst liegt und nicht bei dem Unter­neh­men, dass per Gesetz gezwun­gen wer­den kann, die Schlüs­sel den Behör­den zur Ver­fü­gung zu stellen.

Doku­men­tie­ren Sie Ihre Risikobewertung

Nach­dem Sie alle Aspek­te der Daten­ver­ar­bei­tung inklu­si­ve den Geset­zen der Ziel­län­der ver­stan­den haben, müs­sen Sie die Risi­ko­be­wer­tung aus Sicht der betrof­fe­nen Per­so­nen bewer­ten. Ob dies im Frei­text oder in einer Matrix geschieht, ist nicht vor­ge­ge­ben. Vor­la­gen für eine Risi­ko­be­wer­tung fin­den Sie hier. Bei den Excel-Tabel­len spielt die Ein­tritts­wahr­schein­lich­keit eine gro­ße Rol­le. Las­sen Sie fol­gen­de Punk­te mit ein­flie­ßen:

Schritt 4: Aktua­li­sie­ren Sie Ihre Risi­ko­be­wer­tun­gen regelmäßig.

Prü­fen Sie Ihre Ver­ar­bei­tungs­tä­tig­kei­ten, die Garan­tien für die Über­mitt­lung und Ihre Risi­ko­be­wer­tung regel­mä­ßig. Legen Sie sich die Auf­ga­be auf Wie­der­vor­la­ge. Bei Daten­ver­ar­bei­tun­gen hat sich eine jähr­li­che Über­prü­fung der Unter­la­gen als sinn­voll erwiesen.

Sofern sich unter­jäh­rig Infor­ma­ti­ons­sys­te­me, inter­ne und exter­ne Betei­lig­te, Risi­ken oder Unter­neh­mens­zie­le, der Stand der Tech­nik oder sons­ti­ge Rah­men­be­din­gun­gen ändern, spricht auch nichts gegen eine unter­jäh­ri­ge Aktualisierung.

Die gesam­te Doku­men­ta­ti­on hilft Ihnen, eine Hand­lungs- und Ver­tei­di­gungs­stra­te­gie vor­zu­be­rei­ten, wenn Daten­schutz­auf­sichts­be­hör­den ein Audit bei Ihnen durch­füh­ren (Sie­he Fra­gen­ka­ta­log der Auf­sichts­be­hör­de in Hamburg).

Die meis­ten Unter­neh­men, die ich betreue, sam­meln jedoch Ver­än­de­run­gen wäh­rend der Lauf­zeit und aktua­li­sie­ren die Doku­men­te ein­mal im Jahr, um nicht zu häu­fig Anpas­sun­gen durchzuführen.

Arbei­ten Sie wei­ter dar­an, bestehen­de Lösun­gen siche­rer zu machen. Auch wenn die nicht bei allen Hard- und Soft­ware­kom­po­nen­ten mög­lich ist: Sie soll­ten nach­wei­sen kön­nen, dass Sie sich Alter­na­ti­ven ange­schaut haben und die Grün­de für die Nicht­ver­wen­dung dokumentieren.

Weitere Vorgehensweise beim Datenschutz

Sie benö­ti­gen Unter­stüt­zung beim The­ma Dritt­land­trans­fer? Mel­den Sie sich gerne.

Wei­te­re Details zum Inter­na­tio­na­len Datenverkehr
All­ge­mei­nes

Bei Über­mitt­lun­gen von per­so­nen­be­zo­ge­nen Daten an Dritt­län­der oder an inter­na­tio­na­le Orga­ni­sa­tio­nen sind beson­de­re Vor­schrif­ten zu beachten.

Eine Über­mitt­lung liegt in der Regel dann vor, wenn eine Stel­le Daten an eine Stel­le im Dritt­land oder an eine inter­na­tio­na­le Orga­ni­sa­ti­on sen­det oder sie von dort abru­fen lässt. Auch Daten­zu­grif­fe aus Stel­len im Dritt­land etwa für Back­ups, War­tung und Ser­vice­funk­tio­nen sind Übermittlungen.

Dritt­län­der sind Staa­ten außer­halb des Euro­päi­schen Wirt­schafts­raums, also außer­halb der Euro­päi­schen Uni­on und außer­halb von Island, Liech­ten­stein und Norwegen.

Eine inter­na­tio­na­le Orga­ni­sa­ti­on ist eine völ­ker­recht­li­che Orga­ni­sa­ti­on und ihre nach­ge­ord­ne­ten Stel­len oder jede sons­ti­ge Ein­rich­tung, die durch eine zwi­schen zwei oder mehr Län­dern geschlos­se­ne Über­ein­kunft oder auf der Grund­la­ge einer sol­chen Über­ein­kunft geschaf­fen wurde.

Die fol­gen­den Infor­ma­tio­nen erläu­tern die Vor­schrif­ten der Daten­schutz-Grund­ver­ord­nung zur Daten­über­mitt­lung an Dritt­län­der. Für NRW-Behör­den, die Daten zum Zwe­cke der Ver­hü­tung, Ermitt­lung, Auf­de­ckung oder Ver­fol­gung von Straf­ta­ten oder der Straf­voll­stre­ckung ver­ar­bei­ten (Richt­li­nie (EU) 2016/680, „JI-Richt­li­nie“), gel­ten dage­gen die §§ 62 ff. Daten­schutz­ge­setz Nordrhein-Westfalen.

Beach­ten Sie die Zwei-Stufen-Prüfung

Eine Über­mitt­lung an Dritt­län­der ist nur zuläs­sig, wenn die Bedin­gun­gen für die Dritt­land­über­mitt­lung und auch die sons­ti­gen Bestim­mun­gen der Daten­schutz-Grund­ver­ord­nung ein­ge­hal­ten wer­den (Art. 44 Daten­schutz-Grund­ver­ord­nung – DS-GVO). Es wird also in zwei Stu­fen geprüft:

1. Stu­fe: Wer­den die sons­ti­gen Bestim­mun­gen der DS-GVO eingehalten?

Dabei ist alles zu prü­fen, was auch ohne Dritt­land­über­mitt­lung zu prü­fen ist – also die Rechts­grund­la­ge für die Über­mitt­lung, aber auch alle ande­ren Rege­lun­gen bei­spiels­wei­se zu Infor­ma­ti­ons- und Rechen­schafts­pflich­ten oder zur Daten­mi­ni­mie­rung. Kapi­tel V der DS-GVO (Art. 44 ff. DS-GVO) ent­hält kei­ne Rechts­grund­la­ge, die die Über­mitt­lung selbst erlaubt.

2. Stu­fe: Wer­den die Bedin­gun­gen von Kapi­tel V der DS-GVO (Art. 44 ff. DS-GVO) eingehalten?

Dafür muss eines der ver­schie­de­nen „Instru­men­te“ genutzt wer­den, die die DS-GVO für Dritt­land­über­mitt­lun­gen bereitstellt.

Ange­mes­sen­heits­be­schluss (Art. 45 DS-GVO)

Eine Über­mitt­lung ist zuläs­sig, wenn die Euro­päi­sche Kom­mis­si­on beschlos­sen hat, dass das Dritt­land ein ange­mes­se­nes Schutz­ni­veau bie­tet. Eine beson­de­re Geneh­mi­gung für die Daten­über­mitt­lung ist dann nicht erfor­der­lich. Mehr zum Ange­mes­sen­heits­be­schluss.

Geeig­ne­te Garan­tien (Art. 46 DS-GVO)

Wenn es kei­nen Ange­mes­sen­heits­be­schluss gibt, ist eine Über­mitt­lung zuläs­sig, wenn geeig­ne­te Garan­tien vor­ge­se­hen sind, um trotz­dem ein ange­mes­se­nes Schutz­ni­veau zu gewähr­leis­ten. Dafür gibt es ver­schie­de­ne Mög­lich­kei­ten, bei­spiels­wei­se EU-Stan­dard­da­ten­schutz­klau­seln oder ver­bind­li­che inter­ne Daten­schutz­vor­schrif­ten (BCR).

Bei allen Garan­tien nach Art. 46 DS-GVO müs­sen Daten­ex­por­teu­re zusätz­li­che Prü­fun­gen anstel­len und bei Bedarf ergän­zen­de Maß­nah­men tref­fen. Das hat der Euro­päi­sche Gerichts­hof in sei­ner Recht­spre­chung klar­ge­stellt (Urteil C‑311/18 vom 16.07.2020 — „Schrems II“). Mehr zu geeig­ne­ten Garan­tien und mehr zu zusätz­li­chen Prü­fun­gen und ergän­zen­den Maß­nah­men.

Aus­nah­men für bestimm­te Fäl­le (Art. 49 DS-GVO)

Wenn es weder einen Ange­mes­sen­heits­be­schluss noch geeig­ne­te Garan­tien gibt, ist eine Daten­über­mitt­lung nur in den Aus­nah­me­fäl­len zuläs­sig, die Art. 49 DS-GVO regelt. Sol­che Fäl­le sind zum Bei­spiel eine Ein­wil­li­gung, die Erfor­der­lich­keit für bestimm­te Ver­trags­zwe­cke oder lebens­wich­ti­ge Inter­es­sen. Aller­dings kön­nen regel­mä­ßi­ge Über­mitt­lun­gen nicht auf die­se Aus­nah­men gestützt wer­den. Mehr zu Aus­nah­men für bestimm­te Fäl­le.

Auch wenn eines der oben genann­ten Instru­men­te ver­wen­det wird, ist eine Über­mitt­lung unzu­läs­sig, wenn ein Gericht oder eine Ver­wal­tungs­be­hör­de eines Dritt­lands die Über­mitt­lung ver­langt, sich aber nicht auf eine inter­na­tio­na­le Über­ein­kunft wie etwa ein Rechts­hil­fe­ab­kom­men stützt (Art. 48 DS-GVO).

Ange­mes­sen­heits­be­schluß

Die Euro­päi­sche Kom­mis­si­on ver­öf­fent­licht die Ange­mes­sen­heits­be­schlüs­se nach Art. 45 Daten­schutz-Grund­ver­ord­nung (DS-GVO). Dar­aus ergibt sich, für wel­ches Dritt­land aktu­ell ein Ange­mes­sen­heits­be­schluss besteht. Nach unse­rem letz­ten Stand ist für die fol­gen­den Län­der ein ange­mes­se­nes Daten­schutz­ni­veau festgestellt:

Sie möch­ten mehr erfah­ren, um mehr für die Sicher­heit in Ihrem Unter­neh­men tun? Neh­men Sie ger­ne Kon­takt auf.

EU-Stan­dard­ver­trags­klau­seln

EU-Stan­dard­da­ten­schutz­klau­seln

Daten­ex­por­teu­re und Daten­im­por­teu­re kön­nen die Stan­dard­da­ten­schutz­klau­seln der Euro­päi­schen Kom­mis­si­on ver­trag­lich ver­ein­ba­ren. Die Kom­mis­si­on gibt dafür unter der Bezeich­nung Stan­dard­ver­trags­klau­seln Regeln für ver­schie­de­ne Situa­tio­nen vor.

Stan­dard­da­ten­schutz­klau­seln, die von der Euro­päi­schen Kom­mis­si­on erlas­sen wur­den, kön­nen die Grund­la­ge für eine Daten­über­mitt­lung in Dritt­län­der ohne ange­mes­se­nes Daten­schutz­ni­veau sein, sofern den betrof­fe­nen Per­so­nen durch­setz­ba­re Rech­te und wirk­sa­me Rechts­be­hel­fe zur Ver­fü­gung ste­hen (Art. 46 Abs. 1, Abs. 2 Buch­sta­be c DS-GVO). Die Kom­mis­si­on gibt dafür unter der Bezeich­nung Stan­dard­ver­trags­klau­seln Ver­trags­mus­ter für ver­schie­de­ne Situa­tio­nen vor. Die­se Klau­seln wer­den zwi­schen den Daten­ex­por­teu­ren im Euro­päi­schen Wirt­schafts­raum und den Daten­im­por­teu­ren in Dritt­staa­ten ver­trag­lich ver­ein­bart. Die Geneh­mi­gung einer Auf­sichts­be­hör­de ist nicht erforderlich.

Die Euro­päi­sche Kom­mis­si­on hat im Juni 2021 neue Stan­dard­ver­trags­klau­seln erlas­sen (Durch­füh­rungs­be­schluss (EU) 2021/914 der Euro­päi­schen Kom­mis­si­on vom 04.06.2021 – Az. C(2021) 3972, ABl. EU Nr. L 199/31 vom 07.06.2021). Die Ver­trags­mus­ter fin­den sich im Anhang die­ser Entscheidung.

Die­se Klau­seln sind nicht zu ver­wech­seln mit den Stan­dard­ver­trags­klau­seln für die Auf­trags­ver­ar­bei­tung nach Art. 28 DS-GVO, die eben­falls von der Euro­päi­schen Kom­mis­si­on erlas­sen wurden.

In den neu­en Stan­dard­ver­trags­klau­seln wer­den all­ge­mei­ne Klau­seln mit einem modu­la­ren Ansatz kom­bi­niert. Zusätz­lich zu den all­ge­mei­nen Klau­seln sol­len Ver­ant­wort­li­che und Auf­trags­ver­ar­bei­ter das für ihre Situa­ti­on gel­ten­de Modul aus­wäh­len. Die Modu­le kön­nen für fol­gen­de Kon­stel­la­tio­nen ver­wen­det werden:

  • Modul 1: Über­mitt­lung von Ver­ant­wort­li­chen an Verantwortliche
  • Modul 2: Über­mitt­lung von Ver­ant­wort­li­chen an Auftragsverarbeiter
  • Modul 3: Über­mitt­lung von Auf­trags­ver­ar­bei­tern an Auftragsverarbeiter
  • Modul 4: Über­mitt­lung von Auf­trags­ver­ar­bei­tern an Verantwortliche.

Die Klau­seln wer­den von der jewei­li­gen daten­ex­por­tie­ren­den Stel­le (Daten­ex­por­teur) mit der daten­emp­fan­gen­den Stel­le (Daten­im­por­teur) abge­schlos­sen. Es ist auch mög­lich, die­se Ver­trä­ge als Mehr­par­tei­en­ver­trag zu gestal­ten. Dabei ist aller­dings beson­ders dar­auf zu ach­ten, dass die kon­kre­ten Daten­flüs­se zwi­schen den Ver­trags­par­tei­en klar beschrie­ben sind. Es muss für die Betrof­fe­nen trans­pa­rent blei­ben, an wel­che Stel­len zu wel­chen Zwe­cken ihre Daten über­mit­telt wer­den. Stel­len Daten­ex­por­teu­re Schwie­rig­kei­ten bei der ent­spre­chen­den Dar­stel­lung fest, ist ein sol­cher Mehr­par­tei­en­ver­trag auf­grund zu kom­pli­zier­ter Struk­tu­ren und Daten­flüs­se nicht geeignet.

Beach­ten Sie die Übergangsregelung

Alte Stan­dard­ver­trags­klau­seln (vgl. Ent­schei­dung 2001/497/EG oder Beschluss 2010/87/EU) dür­fen für eine Über­gangs­zeit bis zum 26.09.2021 für Neu­ver­trä­ge ver­wen­det wer­den.
Bis spä­tes­tens 27.12.2022 müs­sen alle Ver­trä­ge, die auf Grund­la­ge der alten Stan­dard­ver­trags­klau­seln abge­schlos­sen wur­den, auf die neu­en Stan­dard­ver­trags­klau­seln umge­stellt wer­den. Die­se Über­gangs­frist unter­liegt der Ein­schrän­kung, dass die betrof­fe­nen Ver­ar­bei­tungs­vor­gän­ge unver­än­dert blei­ben und die Anwen­dung die­ser Klau­seln gewähr­leis­tet, dass die Über­mitt­lung per­so­nen­be­zo­ge­ner Daten geeig­ne­ten Garan­tien unterliegt.

Ver­än­dern Sie die EU-Stan­darda­ten­schutz­klau­seln nicht

Für EU-Stan­dard­ver­trags­klau­seln ist kei­ne beson­de­re Geneh­mi­gung einer Auf­sichts­be­hör­de erfor­der­lich (Art. 46 Abs. 2 DS-GVO).
Wenn aller­dings ein­zel­ne Klau­seln indi­vi­du­ell ver­än­dert oder Klau­seln der ein­zel­nen Ver­trä­ge oder Modu­le mit­ein­an­der ver­mischt wer­den, ent­steht grund­sätz­lich ein Indi­vi­du­al­ver­trag, der gemäß Art. 46 Abs. 3 DS-GVO im Kohä­renz­ver­fah­ren auf EU-Ebe­ne abge­stimmt und durch die Auf­sichts­be­hör­de geneh­migt wer­den muss. Die LDI NRW hat bis­her sol­che Ver­trä­ge nicht genehmigt.

Ob im Ein­zel­fall kei­ne Geneh­mi­gungs­pflicht besteht, ist in Zwei­fels­fäl­len durch Rück­fra­ge bei der zustän­di­gen Auf­sichts­be­hör­de zu klären.

Die neu­en DSGVO-Standardvertragsklauseln

Bis­her gab es drei Sets von Stan­dard­ver­trags­klau­seln. Set I und II für die Kon­stel­la­ti­on EU-Con­trol­ler (Ver­ant­wort­li­cher) to Non-EU Con­trol­ler und ein drit­tes für die Kon­stel­la­ti­on EU-Con­trol­ler to Non EU Pro­ces­sor (Auf­trags­ver­ar­bei­ter). Nun gibt es anstatt drei Sets nur noch ein Klau­sel­werk, das von der EU-Kom­mis­si­on ange­nom­men wurden:

Dies ist dadurch zu erklä­ren, dass die Stan­dard­ver­trags­klau­seln nun modu­lar auf­ge­baut sind. In dem neu­en Klau­sel­werk fin­den sich neben den zwei alten Kon­stel­la­tio­nen nun erst­mals Modu­le für die Daten­über­tra­gung Pro­ces­sor to Pro­ces­sor (Modul 3) und Pro­ces­sor to Con­trol­ler (Modul 4). Dane­ben beinhal­ten die Stan­dard­ver­trags­klau­seln z.B. umfas­sen­de Haf­tungs­re­geln und die Mög­lich­keit den Gerichts­stand und das anwend­ba­re Recht fest­zu­le­gen. Ins­ge­samt ermög­li­chen die DSGVO-Stan­dard­ver­trags­klau­seln Unter­neh­men so mehr Fle­xi­bi­li­tät. Die­se sorgt aber auch dafür, dass der Abschluss von Stan­dard­ver­trags­klau­seln für KMU künf­tig kom­pli­zier­ter wird. Hin­zu kommt der Auf­wand für die umfas­sen­de­ren Doku­men­ta­ti­ons­pflich­ten, die in die Stan­dard­ver­trags­klau­seln Ein­zug gefun­den haben.

Risi­ko­ba­sier­ter Ansatz in den Standardvertragsklauseln?

Außer­dem wur­den die Anfor­de­run­gen des Schrems II Urteil in die Stan­dard­ver­trags­klau­seln (Modu­le 14 und 15) auf­ge­nom­men. So wird etwa die, schon vom EDSA nach dem Schrems II Urteil von Unter­neh­men gefor­der­te, doku­men­tier­te Risi­ko­ein­schät­zung („Trans­fer Impact Assess­ment”) ver­bind­lich gere­gelt. Dabei müs­sen die Par­tei­en bei­spiels­wei­se ver­si­chern, kei­nen Grund zu der Annah­me zu haben, dass die für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch den Daten­im­por­teur gel­ten­den Rechts­vor­schrif­ten und Gepflo­gen­hei­ten den Daten­im­por­teur an der Erfül­lung sei­ner Pflich­ten gemäß der Stan­dard­ver­trags­klau­seln hindern.

Bei der Zusi­che­rung sol­len u.a. ins­be­son­de­re rele­van­te Rechts­vor­schrif­ten und Gepflo­gen­hei­ten des Bestim­mungs­dritt­lan­des (ein­schließ­lich sol­cher, die die Offen­le­gung von Daten gegen­über Behör­den vor­schrei­ben oder den Zugang von Behör­den zu die­sen Daten gestat­ten) sowie gel­ten­de Beschrän­kun­gen und Garan­tien hin­rei­chend berück­sich­tigt wer­den. In der Fuß­no­te heißt es dazu:

Zur Ermitt­lung der Aus­wir­kun­gen der­ar­ti­ger Rechts­vor­schrif­ten und Gepflo­gen­hei­ten auf die Ein­hal­tung die­ser Klau­seln kön­nen in die Gesamt­be­ur­tei­lung ver­schie­de­ne Ele­men­te ein­flie­ßen. Die­se Ele­men­te kön­nen ein­schlä­gi­ge und doku­men­tier­te praktische Erfah­rungen im Hin­blick dar­auf umfas­sen, ob es bereits frü­her Ersu­chen um Offen­le­gung sei­tens Behör­den gab, die einen hin­rei­chend reprä­sen­ta­ti­ven Zeit­rah­men abde­cken, oder ob es sol­che Ersu­chen nicht gab. […] Sofern anhand die­ser praktischen Erfah­run­gen der Schluss gezo­gen wird, dass dem Daten­im­por­teur die Ein­hal­tung die­ser Klau­seln nicht unmög­lich ist, muss dies durch wei­te­re rele­van­te objek­ti­ve Ele­men­te unter­mau­ert wer­den.

Ver­fech­ter eines risi­ko­ba­sier­ten Ansat­zes für die Über­mitt­lung von per­so­nen­be­zo­ge­nen Daten in Dritt­län­der stüt­zen ihre Argu­men­ta­ti­on ins­be­son­de­re auf den Umstand, dass in die Bewer­tung der Aus­wir­kun­gen von gesetz­li­chen Offen­le­gungs­pflich­ten nun auch sub­jek­ti­ve prak­ti­sche Erfah­run­gen aus­drück­lich ein­flie­ßen sol­len. Die­se For­mu­lie­rung der EU-Kom­mis­si­on in den Stan­dard­ver­trags­klau­seln könn­te tat­säch­lich zu einem Schrems III füh­ren, wel­ches man eigent­lich unbe­dingt ver­mei­den woll­te. Denn noyb kün­dig­te im Rah­men der Kon­sul­ta­ti­on zu den neu­en Stan­dard­ver­trags­klau­seln (S. 2) bereits an:

This wor­ding seems to inter­pre­ted by some con­trol­lers and pro­ces­sors as mea­ning that even when the­re are third coun­try laws that vio­la­te the GDPR this can be igno­red when the­se laws were not used, or not used enough by a third coun­try govern­ment. In essence this would lead to a “law or prac­ti­ce” approach […] [which was] rejec­ted by the CJEU. […] noyb will clo­se­ly moni­tor the deve­lo­p­ments regar­ding this point and take appro­pria­te legal steps should the Com­mis­si­on adopt such an approach and con­trol­lers actual­ly rely on this approach.

Maß­nah­men zur Ergänzung

Wie bei allen Garan­tien nach Art. 46 DS-GVO müs­sen Daten­ex­por­teu­re zusätz­li­che Prü­fun­gen anstel­len und bei Bedarf zusätz­li­che Maß­nah­men treffen.

Auch bei Ver­wen­dung der neu­en EU-Stan­dard­ver­trags­klau­seln ist dies erfor­der­lich, denn die Euro­päi­sche Kom­mis­si­on ist in ihrem Beschluss unter ande­rem auf die „Schrems II“-Entscheidung des Euro­päi­schen Gerichts­hofs (EuGH) ein­ge­gan­gen: Die Klau­seln regeln die­se Anfor­de­run­gen, die sich aus der Recht­spre­chung des EuGH erge­ben, nun aus­drück­lich (Klau­sel 14). Die Euro­päi­sche Kom­mis­si­on und der Euro­päi­sche Daten­schutz­aus­schuss haben die neu­en Stan­dard­ver­trags­klau­seln und die Emp­feh­lun­gen 01/2020 bewusst auf­ein­an­der abgestimmt.

Daten­ex­por­teu­re, die Garan­tien gemäß Art. 46 DS-GVO nut­zen, müs­sen zusätz­li­che Prü­fun­gen anstel­len und bei Bedarf ergän­zen­de Maß­nah­men tref­fen. Das hat der Euro­päi­sche Gerichts­hof in sei­nem „Schrems II“-Urteil (C‑311/18 vom 16.07.2020) klar­ge­stellt. Dies betrifft zum Bei­spiel die häu­fig ver­wen­de­ten Stan­dard­da­ten­schutz­klau­seln (Stan­dard­ver­trags­klau­seln), aber auch alle ande­ren Instru­men­te des Art. 46 DS-GVO, zum Bei­spiel ver­bind­li­che inter­ne Daten­schutz­klau­seln (BCR).

Die fol­gen­den Schrit­te erleich­tern die Prüfung:

1. Schritt: Die Daten­über­mitt­lun­gen kennen

Um wel­che Daten­über­mitt­lung geht es? (Was, wozu, wohin?)

2. Schritt: Aus­wahl der ein­ge­setz­ten Übermittlungsinstrumente

Wel­ches Instru­ment gemäß Art. 46 DS-GVO wird für die Über­mitt­lung genutzt?

3. Schritt: Beur­tei­lung der Wirk­sam­keit des aus­ge­wähl­ten Über­mitt­lungs­in­stru­ments gemäß Arti­kel 46 DSGVO im Hin­blick auf die Gesamt­um­stän­de der Übermittlung

Ist die­ses Instru­ment im Dritt­land effektiv?

Dazu muss geprüft wer­den, ob Umstän­de im Dritt­land ver­hin­dern, dass das genutz­te Instru­ment umfas­send wirk­sam ist. Das ist beson­ders dann der Fall, wenn im Dritt­land staat­li­che Zugrif­fe zu befürch­ten sind, die durch das Instru­ment nicht ver­hin­dert wer­den kön­nen, und dies mit dem euro­päi­schen Rechts­rah­men nicht ver­ein­bar sind. Wenn das so ist, ist wei­ter zu prüfen:

4. Schritt: Zusätz­li­che Maß­nah­men ergreifen

Kön­nen ergän­zen­de Maß­nah­men die Defi­zi­te beseitigen?

Wenn das nicht so ist, darf die Über­mitt­lung so nicht stattfinden.

Wenn es sol­che Maß­nah­men gibt: Geeig­ne­te Maß­nah­men implementieren.

5. Schritt: Ver­fah­rens­schrit­te nach Ermitt­lung effek­ti­ver zusätz­li­cher Maßnahmen

Der fünf­te Schritt ist die Ein­lei­tung aller förm­li­chen Ver­fah­rens­schrit­te, die ggf. für die zusätz­li­che Maß­nah­me erfor­der­lich sind, je nach­dem, wel­ches der in Arti­kel 46 DSGVO genann­ten Über­mitt­lungs­in­stru­men­te der Daten­ex­por­teur auswählt.

6. Schritt: Neu­be­wer­tung in ange­mes­se­nen Abständen

Der Grund­satz der Rechen­schafts­pflicht erfor­dert stän­di­ge Wach­sam­keit hin­sicht­lich des Schutz­ni­veaus für die per­so­nen­be­zo­ge­nen Daten.

  • Nied­ri­ges Risi­ko­le­vel: Ergibt die vor­ge­nom­me­ne Bewer­tung ins­ge­samt ein nied­ri­ges Risi­ko­le­vel, kön­nen sich Unter­neh­men dar­auf beschrän­ken, die Risi­ko­be­wer­tung ein­schließ­lich zusätz­lich getrof­fe­ner Schutz­maß­nah­men zu doku­men­tie­ren. Auch wenn eine Daten­schutz­auf­sichts­be­hör­de spä­ter zu einer abwei­chen­den Bewer­tung gelan­gen soll­te, wer­den Unter­neh­men auf der Basis einer soli­den Risi­ko­be­wer­tung und belast­ba­rer zusätz­li­cher Schutz­maß­nah­men im Regel­fall gute Chan­cen auf eine erfolg­rei­che Ver­tei­di­gung haben.
  • Ein­stel­len des Daten­trans­fers bei erhöh­tes Risi­ko­le­vel: Führt die Risi­ko­be­wer­tung zu einem erhöh­ten Risi­ko­le­vel, das sich auch durch zusätz­li­che Schutz­maß­nah­men nicht aus­glei­chen lässt, kön­nen Unter­neh­men erwä­gen, die betref­fen­de Daten­über­mitt­lung (vor­erst) ein­zu­stel­len. Die­ses Vor­ge­hen, sofern es denn prak­ti­ka­bel ist, redu­ziert das recht­li­che Risi­ko auf ein Minimum.
  • Fort­füh­rung des Daten­trans­fers bei erhöh­tem Risi­ko­le­vel: Ent­schei­det sich das Unter­neh­men dafür, den Daten­trans­fer den­noch fort­zu­füh­ren, ver­langt der EDSA eine ent­spre­chen­de Benach­rich­ti­gung der zustän­di­gen Datenschutzaufsichtsbehörde.
  • Mel­dung bei der Daten­schutz­auf­sichts­be­hör­de: Teilt das Unter­neh­men den beab­sich­tig­ten (poten­zi­ell rechts­wid­ri­gen) Daten­trans­fer mit, so wird die zustän­di­ge Daten­schutz­auf­sichts­be­hör­de wahr­schein­lich eine Unter­sa­gungs­ver­fü­gung erlas­sen. Hier­ge­gen könn­ten Unter­neh­men zwar anschlie­ßend im Wege der ver­wal­tungs­ge­richt­li­chen Kla­ge und unter Umstän­den im einst­wei­li­gen Rechts­schutz vor­ge­hen. Dabei kann es ein wich­ti­ges Argu­ment vor Gericht sein, dass der EuGH mit dem Schrems II-Urteil die Mög­lich­keit gehabt hat, Daten­über­mitt­lun­gen in die USA auf Basis von Stan­dard­ver­trags­klau­seln für stets unzu­läs­sig zu erklä­ren, dies aber nicht expli­zit getan hat. Selbst wenn die­ses Vor­ge­hen nicht erfolg­reich sein soll­te, bleibt das Risi­ko begrenzt. Aller­dings dürf­ten die Erfolgs­aus­sich­ten vor Gericht mäßig sein, wenn das Unter­neh­men zuvor mit­ge­teilt hat, dass es selbst das Schutz­ni­veau in Bezug auf die über­mit­tel­ten Daten für unzu­rei­chend hält. Daher dürf­te es in sol­chen Fäl­len zweck­mä­ßig sein, „vor­sorg­lich“ die Daten­schutz­auf­sichts­be­hör­de zu unter­rich­ten und die Posi­ti­on zu ver­tre­ten, dass die geplan­ten Schutz­maß­nah­men aus­rei­chend seien.
  • Kei­ne Mel­dung bei der Daten­schutz­auf­sichts­be­hör­de: Ohne eine ent­spre­chen­de Mel­dung sind Unter­neh­men der Gefahr aus­ge­setzt, dass die zustän­di­ge Daten­schutz­auf­sichts­be­hör­de im Ent­de­ckungs­fall die Daten­über­mitt­lung unter­sagt und dar­über hin­aus ein – unter Umstän­den hohes – Buß­geld ver­hängt. Wenn die Daten­schutz­auf­sichts­be­hör­den der Ansicht sind, dass Daten­trans­fers gestützt auf Stan­dard­ver­trags­klau­seln nicht recht­mä­ßig sind, sol­len sie laut EuGH zum Ein­schrei­ten ver­pflich­tet sein. Bei die­ser Hand­lungs­va­ri­an­te steht dem Vor­teil des fort­ge­setz­ten Daten­trans­fers ein erhöh­tes Buß­geld­ri­si­ko gegenüber.

Der Euro­päi­sche Daten­schutz­aus­schuss (EDSA) gibt Emp­feh­lun­gen, wie eine Über­mitt­lung per­so­nen­be­zo­ge­ner Daten in Dritt­län­der unter Berück­sich­ti­gung der Recht­spre­chung des Euro­päi­schen Gerichts­hofs rechts­si­cher gestal­tet wer­den kann.

Die Emp­feh­lun­gen unter­stüt­zen die Ver­ant­wort­li­chen und Auf­trags­ver­ar­bei­ter, die als Daten­ex­por­teu­re tätig sind, bei ihrer Pflicht, geeig­ne­te ergän­zen­de Maß­nah­men auf­zu­fin­den und umzu­set­zen. Dazu ent­hal­ten die Empfehlungen

• Prüf­schrit­te,

• Bei­spie­le für zusätz­li­che Maß­nah­men und

• Bedin­gun­gen für die Wirk­sam­keit von zusätz­li­chen Maßnahmen.

Die „Emp­feh­lun­gen zu ergän­zen­den Maß­nah­men für Über­tra­gungs­in­stru­men­te zur Gewähr­leis­tung des EU-Schutz­ni­veaus für per­so­nen­be­zo­ge­ne Daten in end­gül­ti­ger Fas­sung (Ver­si­on 2.0) wur­den nach einer öffent­li­chen Kon­sul­ta­ti­on über­ar­bei­tet. Sie lie­gen noch nicht auf Deutsch vor (Stand Juni 2021).

Eine Road­map in eng­li­scher Spra­che infor­miert über die Schrit­te einer zuläs­si­gen Datenübermittlung.

Außer­dem gibt der EDSA dazu­ge­hö­ri­ge Emp­feh­lun­gen zu den wesent­li­chen euro­päi­schen Garan­tien in Bezug auf Über­wa­chungs­maß­nah­men. Die­se hel­fen Daten­ex­por­teu­ren fest­zu­stel­len, wie der Rechts­rah­men im Dritt­land, der den Zugang von Behör­den zu Daten für Über­wa­chungs­zwe­cke regelt, die Ver­pflich­tun­gen des Über­tra­gungs­in­stru­ments nach Arti­kel 46 DS-GVO berührt.

Ver­bind­li­che inter­ne Daten­schutz­vor­schrif­ten (BCR)

Unter­neh­mens­grup­pen oder Grup­pen von Unter­neh­men, die eine gemein­sa­me Wirt­schafts­tä­tig­keit aus­üben, kön­nen ver­bind­li­che inter­ne Daten­schutz­vor­schrif­ten nut­zen, die von einer Daten­schutz­auf­sichts­be­hör­de geneh­migt sind.

Ver­bind­li­che inter­ne Daten­schutz­vor­schrif­ten oder “Bin­ding Cor­po­ra­te Rules” (BCR) kön­nen die Grund­la­ge für eine Daten­über­mitt­lung in Dritt­län­der ohne ange­mes­se­nes Daten­schutz­ni­veau sein, sofern den betrof­fe­nen Per­so­nen durch­setz­ba­re Rech­te und wirk­sa­me Rechts­be­hel­fe zur Ver­fü­gung ste­hen (Art. 46 Abs. 1, Abs. 2 Buch­sta­be b) DS-GVO). Die BCR müs­sen dafür von einer zustän­di­gen Auf­sichts­be­hör­de geneh­migt sein. Kon­kre­te Über­mitt­lun­gen, für die die BCR gel­ten, müs­sen dann nicht geneh­migt wer­den (Art. 46 Abs. 2 DS-GVO).

BCR betref­fen Unter­neh­mens­grup­pen oder Grup­pen von Unter­neh­men, die eine gemein­sa­me Wirt­schafts­tä­tig­keit aus­üben. Eine Unter­neh­mens­grup­pe ist eine Grup­pe, die aus einem herr­schen­den Unter­neh­men und von die­sem abhän­gi­gen Unter­neh­men besteht (Art. 4 Nr. 19 DS-GVO). Die erfor­der­li­chen Min­dest­in­hal­te für BCR sind in Art. 47 DS-GVO geregelt.

 

Die BCR kön­nen in zwei Typen ein­ge­setzt werden:

1. Vor­schrif­ten für Ver­ant­wort­li­che: Con­trol­ler BCR (BCR‑C)

Die­se Vor­schrif­ten die­nen der Daten­über­mitt­lung durch Ver­ant­wort­li­che, die in einem Mit­glied­staat des Euro­päi­schen Wirt­schafts­raums (EWR) nie­der­ge­las­sen sind, an ande­re Ver­ant­wort­li­che oder Auf­trags­ver­ar­bei­ter außer­halb des EWR. Dabei sind die betei­lig­ten Unter­neh­men Teil einer Grup­pe.
Die­ses Instru­ment kommt in Fra­ge für Unter­neh­mens­grup­pen oder Grup­pen von Unter­neh­men, in denen ein regel­mä­ßi­ger Aus­tausch per­so­nen­be­zo­ge­ner Daten erfolgt. Die Unter­neh­men erar­bei­ten ein Regel­werk, wel­ches Daten­schutz­ga­ran­tien für die Per­so­nen schafft, deren Daten im Kon­zern ver­ar­bei­tet wer­den. Die­ses Regel­werk kann sich auch auf bestimm­te Berei­che beschrän­ken, zum Bei­spiel auf die Ver­ar­bei­tung von Per­so­nal­da­ten inner­halb eines Kon­zern­ver­bun­des. Es bie­tet dann nur für die­se Berei­che geeig­ne­te Garan­tien gemäß Art. 46 DS-GVO.

2. Vor­schrif­ten für Auf­trags­ver­ar­bei­ter: Pro­ces­sor BCR (BCR‑P)

Der Fokus die­ser Rege­lun­gen liegt auf Wei­ter­über­mitt­lun­gen sol­cher Daten, die von einem Ver­ant­wort­li­chen, der kein Mit­glied der Grup­pe ist, erhal­ten wer­den und anschlie­ßend von den Mit­glie­dern der Grup­pe als Auf­trags­ver­ar­bei­ter und/oder Unter­auf­trags­ver­ar­bei­ter ver­ar­bei­tet wer­den. Denk­bar ist dies etwa im Zusam­men­hang mit der Aus­la­ge­rung von IT-Dienst­leis­tun­gen. Ins­ge­samt kön­nen die­se Vor­schrif­ten auch als BCR für Daten Drit­ter bezeich­net werden.

 

Geneheh­mi­gungs­ver­fah­ren

Für die Antrag­stel­lung bei der LDI NRW haben wir Emp­feh­lun­gen. Sie­he dazu unten.

Das vom Euro­päi­schen Daten­schutz­aus­schuss bestä­tig­te Arbeits­pa­pier WP263 rev.01 (ehe­mals WP107) erläu­tert das Koor­di­nie­rungs­ver­fah­ren der euro­päi­schen Daten­schutz­auf­sichts­be­hör­den für die Geneh­mi­gung von BCR. Die­ses Ver­fah­ren besteht aus den fol­gen­den Schritten:

1. Bestim­mung der EWR-Federführung

Zuerst muss die feder­füh­ren­de Auf­sichts­be­hör­de iden­ti­fi­ziert wer­den (BCR Lead SA). Die Antragsteller*innen stel­len den Antrag bei der Behör­de, die ihrer Mei­nung nach feder­füh­rend ist. Maß­geb­lich sind die in Zif­fer 1.2 WP263 rev.01 fest­ge­leg­ten Kriterien.

Die Behör­de, die den Antrag erhal­ten hat, über­prüft die Anga­ben, um unter Ein­bin­dung der ande­ren Auf­sichts­be­hör­den die EWR-Feder­füh­rung zu bestim­men (vgl. Ziff. 2.1 WP263 rev.01).

2. Prü­fung der Unter­la­gen und Kooperationsverfahren

Sobald die Feder­füh­rung fest­steht, beginnt die Prü­fung der Unter­la­gen durch die BCR Lead SA. Hier­zu müs­sen Antragsteller*innen die fol­gen­den Doku­men­te einreichen:

  • Voll­stän­dig aus­ge­füll­tes Antrags­for­mu­lar WP264 bzw. WP265 (Part 1 und Part 2)
  • Check­lis­te für den ent­spre­chen­den BCR-Typ: 
    • Prüf­ta­bel­le für die not­wen­di­gen Inhal­te von BCR‑C (WP256 rev.01)
    • Prüf­ta­bel­le für die not­wen­di­gen Inhal­te von BCR‑P (WP257 rev.01)
  • BCR
  • Beglei­ten­de Doku­men­te, falls vorhanden.

Auf die Prü­fung der BCR Lead SA folgt die Prü­fung durch maxi­mal zwei wei­te­re EWR-Auf­sichts­be­hör­den als Co-Prü­fer (sog. Co-Review­er, vgl. Ziff. 2.2 WP263). Sobald die Prü­fung durch die Co-Review­er been­det ist, erhal­ten alle EWR-Auf­sichts­be­hör­den Gele­gen­heit zur Stel­lung­nah­me im Rah­men des Koope­ra­ti­ons­ver­fah­rens. Anmer­kun­gen der Auf­sichts­be­hör­den, ein­schließ­lich von Ver­bes­se­rungs­vor­schlä­gen und Ände­rungs­wün­schen, teilt die BCR Lead SA den Antragsteller*innen bei allen genann­ten Schrit­ten mit. Die Antragsteller*innen haben dann die Gele­gen­heit, die BCR anzupassen.

3. Kohä­renz­ver­fah­ren (Art. 63 DS-GVO)

Ergeb­nis des Koope­ra­ti­ons­ver­fah­rens ist in der Regel eine kon­so­li­dier­te Fas­sung der BCR-Unter­la­gen, die die Antragsteller*innen ange­passt haben und die die Auf­sichts­be­hör­den als grund­sätz­lich geneh­mi­gungs­fä­hig ein­schät­zen. Vor der Geneh­mi­gung muss die BCR Lead SA im Rah­men des for­mel­len Kohä­renz­ver­fah­rens eine Stel­lung­nah­me des Euro­päi­schen Daten­schutz­aus­schus­ses nach Art. 64 Abs. 1 Buch­sta­be f DS-GVO bean­tra­gen (vgl. Ziff. 2.5 WP263).

Gemäß Art. 64 Abs. 5 Buch­sta­be b DS-GVO wer­den die Stel­lung­nah­men des EDSA ver­öf­fent­licht.

 

Der Euro­päi­sche Daten­schutz­aus­schuss stellt eine Über­sicht über die geneh­mig­ten BCR und die natio­na­len Geneh­mi­gungs­ent­schei­dun­gen zur Verfügung.

Bereits vor der DS-GVO geneh­mig­te BCR behal­ten ihre Gül­tig­keit (Art. 46 Abs. 5 Satz 1 DS-GVO). BCR-Inhaber*innen muss­ten sie aber an die DS-GVO anpas­sen. Die feder­füh­ren­de Auf­sichts­be­hör­de soll­te dar­über im Rah­men der jähr­li­chen Ände­rungs­mel­dun­gen infor­miert werden.

Infol­ge des Brexit kann die Auf­sichts­be­hör­de im Ver­ei­nig­ten König­reich (ICO) im BCR-Geneh­mi­gungs­ver­fah­ren nach Art. 47 DS-GVO nicht mehr als BCR Lead SA agieren.

BCR-Inhaber*innen und BCR-Antragsteller*innen, die bis­her ICO als BCR Lead SA bestimmt hat­ten, müs­sen daher eine neue Auf­sichts­be­hör­de im EWR als BCR Lead SA iden­ti­fi­zie­ren. Für eine even­tu­ell erfor­der­li­che Über­ar­bei­tung bereits geneh­mig­ter BCR bzw. der Antrags­un­ter­la­gen kann die vom Euro­päi­schen Daten­schutz­aus­schuss ver­öf­fent­lich­te Prüf­ta­bel­le her­an­ge­zo­gen werden.

Emp­feh­lun­gen:

Es emp­fiehlt sich, schon vor der Antrag­stel­lung Kon­takt mit der zustän­di­gen Auf­sichts­be­hör­de auf­zu­neh­men, um Fra­gen zu Eig­nung, Zustän­dig­keit und Ver­fah­ren zu klären.

Antragsteller*innen, die die LDI NRW als BCR Lead SA iden­ti­fi­ziert haben und ein BCR-Geneh­mi­gungs­ver­fah­ren durch­füh­ren wol­len, sol­len im ers­ten Ver­fah­rens­schritt die fol­gen­den Unter­la­gen einreichen:

  • Part 1 des Antrags­for­mu­lars für den ent­spre­chen­den BCR-Typ 
    • Antrags­for­mu­lar für BCR‑C (WP 264)
    • Antrags­for­mu­lar für BCR‑P (WP 265)
  • Aus­sa­ge­kräf­ti­ges Orga­ni­gramm der Gruppe
  • Lis­te der Grup­pen­ein­hei­ten, die an den BCR teil­neh­men, samt Kon­takt­da­ten (vgl. letz­ter Spie­gel­strich unter Ziff. 2 von Part 1 WP264 bzw. WP265). Aus den Anga­ben soll­te sich die jewei­li­ge Rechts­form der Ein­hei­ten ergeben.
  • Infor­ma­tio­nen zu den vor­ge­se­he­nen Datenflüssen

Alle Unter­la­gen soll­ten auf Eng­lisch ein­ge­reicht wer­den, da in die­ser Spra­che die Zusam­men­ar­beit mit den EWR-Auf­sichts­be­hör­den erfolgt. Damit kön­nen zeit- und kos­ten­auf­wen­di­ge Über­set­zun­gen im Geneh­mi­gungs­pro­zess ver­mie­den wer­den. Eine deut­sche Über­set­zung muss der LDI NRW zwar vor­ge­legt wer­den. Dies ist aber erst erfor­der­lich, wenn das Kohä­renz­ver­fah­ren abge­schlos­sen ist und die (natio­na­le) Geneh­mi­gungs­ent­schei­dung ansteht.

Zur Ver­mei­dung von Ver­zö­ge­run­gen emp­feh­len wir Antragsteller*innen, in das Geneh­mi­gungs­ver­fah­ren erst dann ein­zu­stei­gen, wenn sämt­li­che erfor­der­li­chen Unter­la­gen aus­ge­füllt bzw. fina­li­siert sind. Hier­zu zäh­len die Antrags­for­mu­la­re, die Prüf­ta­bel­len sowie ins­be­son­de­re die BCR.

Beach­ten Sie die Übergangsregelung

Ver­än­dern Sie die EU-Stan­darda­ten­schutz­klau­seln nicht

Für EU-Stan­dard­ver­trags­klau­seln ist kei­ne beson­de­re Geneh­mi­gung einer Auf­sichts­be­hör­de erfor­der­lich (Art. 46 Abs. 2 DS-GVO).
Wenn aller­dings ein­zel­ne Klau­seln indi­vi­du­ell ver­än­dert oder Klau­seln der ein­zel­nen Ver­trä­ge oder Modu­le mit­ein­an­der ver­mischt wer­den, ent­steht grund­sätz­lich ein Indi­vi­du­al­ver­trag, der gemäß Art. 46 Abs. 3 DS-GVO im Kohä­renz­ver­fah­ren auf EU-Ebe­ne abge­stimmt und durch die Auf­sichts­be­hör­de geneh­migt wer­den muss. Die LDI NRW hat bis­her sol­che Ver­trä­ge nicht genehmigt.

Ob im Ein­zel­fall kei­ne Geneh­mi­gungs­pflicht besteht, ist in Zwei­fels­fäl­len durch Rück­fra­ge bei der zustän­di­gen Auf­sichts­be­hör­de zu klären.

Aus­nah­me­fäl­le

Wenn es weder einen Ange­mes­sen­heits­be­schluss noch geeig­ne­te Garan­tien gibt, ist eine Daten­über­mitt­lung nur in den Aus­nah­me­fäl­len zuläs­sig, die Art. 49 DS-GVO regelt.

EIN­SCHRÄN­KUN­GEN FÜR BESTIMM­TE KATEGORIEN

Zunächst muss nach Art. 49 Abs. 5 DS-GVO – für den Fall, dass kein Ange­mes­sen­heits­be­schluss exis­tiert – geprüft wer­den, ob im Uni­ons­recht oder im Recht der Mit­glied­staa­ten Beschrän­kun­gen für Über­mitt­lun­gen bestimm­ter Kate­go­rien von per­so­nen­be­zo­ge­nen Daten an Dritt­län­der aus wich­ti­gen Grün­den des öffent­li­chen Inter­es­ses vor­ge­se­hen sind. Exis­tie­ren sol­che Beschrän­kun­gen, dür­fen die betrof­fe­nen Kate­go­rien an per­so­nen­be­zo­ge­nen Daten auch nicht unter den Vor­aus­set­zun­gen des Art. 49 DS-GVO an Dritt­län­der über­mit­telt werden.

Zum Bei­spiel ist für Sozi­al­da­ten eine Beschrän­kung in § 77 Abs. 3 Zehn­tes Buch Sozi­al­ge­setz­buch geregelt.

AUS­NAH­MEN

Die Über­mitt­lung ist unter einer der fol­gen­den Bedin­gun­gen zuläs­sig (Art. 49 Abs. 1 DS-GVO). Eine behörd­li­che Geneh­mi­gung oder Unter­rich­tung ist dafür nicht erfor­der­lich. Die­se Bedin­gun­gen sind aller­dings restrik­tiv aus­zu­le­gen­de Sonderregeln.

a) Ein­wil­li­gung

Die betrof­fe­ne Per­son hat in die vor­ge­schla­ge­ne Daten­über­mitt­lung aus­drück­lich ein­ge­wil­ligt, nach­dem sie über die für sie bestehen­den mög­li­chen Risi­ken der­ar­ti­ger Daten­über­mitt­lun­gen ohne Vor­lie­gen eines Ange­mes­sen­heits­be­schlus­ses und ohne geeig­ne­te Garan­tien unter­rich­tet wur­de. Dabei rei­chen die Infor­ma­tio­nen zur Ein­wil­li­gung auf der 1. Stu­fe nicht aus. 

b) Ver­trag mit der betrof­fe­nen Person

Die Über­mitt­lung ist für die Erfül­lung eines Ver­trags zwi­schen der betrof­fe­nen Per­son und dem Ver­ant­wort­li­chen oder zur Durch­füh­rung von vor­ver­trag­li­chen Maß­nah­men auf Antrag der betrof­fe­nen Per­son erforderlich.

c) Ver­trag im Inter­es­se der betrof­fe­nen Person

Die Über­mitt­lung ist zum Abschluss oder zur Erfül­lung eines im Inter­es­se der betrof­fe­nen Per­son von dem Ver­ant­wort­li­chen mit einer ande­ren natür­li­chen oder juris­ti­schen Per­son geschlos­se­nen Ver­trags erforderlich.

d) Wich­ti­ge Grün­de des öffent­li­chen Interesses

Die Über­mitt­lung ist aus wich­ti­gen Grün­den des öffent­li­chen Inter­es­ses notwendig.

e) Rechts­an­sprü­che

Die Über­mitt­lung ist zur Gel­tend­ma­chung, Aus­übung oder Ver­tei­di­gung von Rechts­an­sprü­chen erforderlich.

f) Lebens­wich­ti­ge Interessen

Die Über­mitt­lung ist zum Schutz lebens­wich­ti­ger Inter­es­sen der betrof­fe­nen Per­son oder ande­rer Per­so­nen erfor­der­lich, sofern die betrof­fe­ne Per­son aus phy­si­schen oder recht­li­chen Grün­den außer­stan­de ist, ihre Ein­wil­li­gung zu geben.

g) Regis­ter

Die Über­mitt­lung erfolgt aus einem Regis­ter, das gemäß dem Recht der Uni­on oder der Mit­glied­staa­ten zur Infor­ma­ti­on der Öffent­lich­keit bestimmt ist und ent­we­der der gesam­ten Öffent­lich­keit oder allen Per­so­nen, die ein berech­tig­tes Inter­es­se nach­wei­sen kön­nen, zur Ein­sicht­nah­me offen­steht, aber nur soweit die im Recht der Uni­on oder der Mit­glied­staa­ten fest­ge­leg­ten Vor­aus­set­zun­gen für die Ein­sicht­nah­me im Ein­zel­fall gege­ben sind.

Ein­zel­fall

Soll­ten auch die Vor­aus­set­zun­gen des Art. 49 Abs. 1 Buch­sta­be a bis g nicht erfüllt sein, darf eine Über­mitt­lung nach Art. 49 Abs. 1 Unter­ab­satz 2 DS-GVO nur dann erfol­gen, wenn die Übermittlung

  • nicht wie­der­holt erfolgt,
  • nur eine begrenz­te Zahl von betrof­fe­nen Per­so­nen betrifft,
  • für die Wah­rung der zwin­gen­den berech­tig­ten Inter­es­sen des Ver­ant­wort­li­chen erfor­der­lich ist,
  • sofern die Inter­es­sen oder die Rech­te und Frei­hei­ten der betrof­fe­nen Per­son nicht über­wie­gen, und
  • der Ver­ant­wort­li­che alle Umstän­de der Daten­über­mitt­lung beur­teilt und auf der Grund­la­ge die­ser Beur­tei­lung ange­mes­se­ne Garan­tien in Bezug auf den Schutz per­so­nen­be­zo­ge­ner Daten vor­ge­se­hen hat

Die­se Punk­te müs­sen alle zugleich erfüllt sein. Die Beur­tei­lung sowie die ange­mes­se­nen Garan­tien müs­sen in das Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten auf­ge­nom­men wer­den (Art. 49 Abs. 6 DS-GVO). Zudem muss der Ver­ant­wort­li­che die Auf­sichts­be­hör­de von der Über­mitt­lung in Kennt­nis set­zen und die betrof­fe­nen Per­so­nen über die Über­mitt­lung und sei­ne zwin­gen­den berech­tig­ten Inter­es­sen unterrichten.

AUS­LE­GUNG

Die Tat­be­stän­de des Art. 49 Abs. 1 DS-GVO sind restrik­tiv aus­zu­le­gen. Sie dür­fen nicht zu einer Aus­höh­lung des Per­sön­lich­keits­rechts­schut­zes bei Daten­über­mitt­lun­gen ins Aus­land führen.

Ein­wil­li­gung

2.1 Die betrof­fe­ne Per­son hat in die vor­ge­schla­ge­ne Daten­über­mitt­lung aus­drück­lich
ein­ge­wil­ligt, nach­dem sie über die für sie bestehen­den mög­li­chen Risi­ken der­ar­ti­ger
Daten­über­mitt­lun­gen ohne Vor­lie­gen eines Ange­mes­sen­heits­be­schlus­ses und ohne
geeig­ne­te Garan­tien unter­rich­tet wur­de – Arti­kel 49 Absatz 1 Buch­sta­be a

Die all­ge­mei­nen Vor­aus­set­zun­gen für die Gül­tig­keit einer Ein­wil­li­gung sind in Arti­kel 4 Absatz 1110
und Arti­kel 7 der DSGVO11 fest­ge­legt. In einem geson­der­ten, vom EDSA gebil­lig­ten Doku­ment bie­tet
die G29 eine Ori­en­tie­rungs­hil­fe zu die­sen all­ge­mei­nen Voraussetzungen.12 Die­se Vor­aus­set­zun­gen
gel­ten auch für die Ein­wil­li­gung im Sin­ne des Arti­kel 49 Absatz 1 Buch­sta­be a. Für die Aner­ken­nung
der Ein­wil­li­gung als rechts­wirk­sa­me Grund­la­ge für Daten­über­mitt­lun­gen an Dritt­län­der und an
inter­na­tio­na­le Orga­ni­sa­tio­nen gemäß Arti­kel 49 Absatz 1 Buch­sta­be a sind aller­dings spe­zi­fi­sche
zusätz­li­che Ele­men­te erfor­der­lich, die im vor­lie­gen­den Doku­ment erläu­tert wer­den.
Abschnitt 1 der vor­lie­gen­den Leit­li­ni­en ist daher in Ver­bin­dung mit den vom EDSA gebil­lig­ten
Leit­li­ni­en der G29 zur Ein­wil­li­gung zu sehen, in denen die all­ge­mei­nen Vor­aus­set­zun­gen und Kri­te­ri­en
für die Ein­wil­li­gung gemäß der DSGVO ein­ge­hen­der ana­ly­siert werden.13 Dar­über hin­aus sei dar­auf
hin­ge­wie­sen, dass sich Behör­den nach Arti­kel 49 Absatz 3 bei der Aus­übung ihrer hoheit­li­chen
Befug­nis­se nicht auf die­se Aus­nah­me stüt­zen dür­fen.
Nach Arti­kel 49 Absatz 1 Buch­sta­be a darf eine Über­mitt­lung per­so­nen­be­zo­ge­ner Daten an
Dritt­län­der oder an eine inter­na­tio­na­le Orga­ni­sa­ti­on ohne Vor­lie­gen eines
Ange­mes­sen­heits­be­schlus­ses nach Arti­kel 45 Absatz 3 oder geeig­ne­ter Garan­tien nach Arti­kel 46,
ein­schließ­lich ver­bind­li­cher inter­ner Daten­schutz­vor­schrif­ten, nur dann erfol­gen, wenn „die
betrof­fe­ne Per­son […] in die vor­ge­schla­ge­ne Daten­über­mitt­lung aus­drück­lich ein­ge­wil­ligt [hat],
nach­dem sie über die für sie bestehen­den mög­li­chen Risi­ken der­ar­ti­ger Daten­über­mitt­lun­gen ohne
Vor­lie­gen eines Ange­mes­sen­heits­be­schlus­ses und ohne geeig­ne­te Garan­tien unter­rich­tet wur­de“.
2.1.1 Die Ein­wil­li­gung muss aus­drück­lich sein
Nach Arti­kel 4 Absatz 11 der DSGVO soll­te eine Ein­wil­li­gung frei­wil­lig für den bestimm­ten Fall, in
infor­mier­ter Wei­se und unmiss­ver­ständ­lich abge­ge­ben wer­den. In Bezug auf die letzt­ge­nann­te
Vor­aus­set­zung sieht Arti­kel 49 Absatz 1 Buch­sta­be a eine stren­ge­re Bedin­gung vor: Er erfor­dert eine
„aus­drück­li­che“ Ein­wil­li­gung. Im Unter­schied zu Arti­kel 26 Absatz 1 Buch­sta­be a der Richt­li­nie
95/46/EG, der ledig­lich eine „unmiss­ver­ständ­li­che“ Ein­wil­li­gung vor­sah, han­delt es sich hier um eine
neue Anfor­de­rung. Die DSGVO erfor­dert eine aus­drück­li­che Ein­wil­li­gung in Fäl­len, in denen
mög­li­cher­wei­se beson­de­re Daten­schutz­ri­si­ken bestehen und daher ein hohes Maß an indi­vi­du­el­ler
Kon­trol­le über die per­so­nen­be­zo­ge­ne Daten erfor­der­lich ist, wie es bei der Ver­ar­bei­tung von
beson­de­ren Kate­go­rien per­so­nen­be­zo­ge­ner Daten (Arti­kel 9 Absatz 2 Buch­sta­be a) und bei auto­ma­ti­sier­ten Ent­schei­dun­gen (Arti­kel 22 Absatz 2 Buch­sta­be c) der Fall ist. Sol­che beson­de­ren
Risi­ken bestehen auch im Zusam­men­hang mit inter­na­tio­na­len Daten­über­mitt­lun­gen.
Wei­te­re Ori­en­tie­rungs­hil­fen zur Anfor­de­rung der aus­drück­li­chen Ein­wil­li­gung sowie zu den übri­gen
Anfor­de­run­gen für die Aner­ken­nung der Gül­tig­keit der Ein­wil­li­gung fin­den sich in den vom EDSA
gebil­lig­ten Leit­li­ni­en der G29 zur Einwilligung.

2.1.2 Die Ein­wil­li­gung muss für den bestimm­ten Fall der betref­fen­den Daten­über­mitt­lung
bzw. Rei­he von Daten­über­mitt­lun­gen erteilt wer­den
Eine Vor­aus­set­zung für die Rechts­wirk­sam­keit der Ein­wil­li­gung ist, dass sie für den bestimm­ten Fall
erteilt wer­den muss. Um eine gül­ti­ge Grund­la­ge im Sin­ne von Arti­kel 49 Absatz 1 Buch­sta­be a für die
Daten­über­mitt­lung dar­zu­stel­len, muss die Ein­wil­li­gung somit spe­zi­ell für die bestimm­te
Daten­über­mitt­lung oder Rei­he von Daten­über­mitt­lun­gen erteilt wer­den.
Mit dem Ele­ment „für den bestimm­ten Fall“ in der Defi­ni­ti­on von „Ein­wil­li­gung“ soll ein gewis­ses
Maß an Kon­trol­le und Trans­pa­renz für die betrof­fe­ne Per­son erreicht wer­den. Die­ses Ele­ment ist
auch eng an die For­de­rung geknüpft, dass die Ein­wil­li­gung in Kennt­nis der Sach­la­ge zu erfol­gen hat. Da sich die Ein­wil­li­gung auf einen bestimm­ten Fall bezie­hen muss, ist es bis­wei­len zum Zeit­punkt der
Daten­er­he­bung nicht mög­lich, die vor­he­ri­ge Ein­wil­li­gung des Betrof­fe­nen für eine spä­te­re
Über­mitt­lung ein­zu­ho­len: Wenn bei­spiels­wei­se der Zeit­punkt und die genau­en Umstän­de der
Über­mitt­lung beim Ersu­chen um die Ein­wil­li­gung nicht bekannt sind, kön­nen die Aus­wir­kun­gen für
den Betrof­fe­nen nicht beur­teilt wer­den. Zu nen­nen wäre hier das Bei­spiel eines in der EU ansäs­si­gen
Unter­neh­mens, das Kun­den­da­ten für einen bestimm­ten Zweck (Lie­fe­rung von Waren) erhebt, ohne
zu die­sem Zeit­punkt eine Daten­über­mitt­lung an einen Drit­ten außer­halb der EU zu erwä­gen. Eini­ge
Jah­re spä­ter wird die­ses Unter­neh­men aller­dings von einem nicht in der EU ansäs­si­gen Unter­neh­men
über­nom­men, das die per­so­nen­be­zo­ge­nen Daten sei­ner Kun­den an ein ande­res Unter­neh­men
außer­halb der EU über­mit­teln will. Damit die­se Über­mitt­lung auf der Grund­la­ge des
Aus­nah­me­tat­be­stan­des der Ein­wil­li­gung zuläs­sig ist, soll­te die betrof­fe­ne Per­son ihre Ein­wil­li­gung zu
der kon­kre­ten Über­mitt­lung zu dem Zeit­punkt ertei­len, an dem die Über­mitt­lung vor­ge­se­hen ist. Die
Ein­wil­li­gung zum Zeit­punkt der Daten­er­he­bung durch das in der EU ansäs­si­ge Unter­neh­men zu
Lie­fer­we­cken ist daher nicht aus­rei­chend, um die Inan­spruch­nah­me die­ser Aus­nah­me für eine zu
einem spä­te­ren Zeit­punkt geplan­te Über­mitt­lung per­so­nen­be­zo­ge­ner Daten in das EU-Aus­land zu
begrün­den.
Der Daten­ex­por­teur ist daher ver­pflich­tet, eine Ein­wil­li­gung für den bestimm­ten Fall ein­zu­ho­len,
bevor die Über­mitt­lung tat­säch­lich vor­ge­nom­men wird, selbst wenn die Ein­ho­lung erst nach
Erhe­bung der Daten erfolgt. Dar­über hin­aus ist die­se Anfor­de­rung mit dem Erfor­der­nis ver­bun­den,
dass die Ein­wil­li­gung in Kennt­nis der Sach­la­ge zu erfol­gen hat. Das Ein­ho­len einer Ein­wil­li­gung der
betrof­fe­nen Per­son für den bestimm­ten Fall vor der Über­mitt­lung und zum Zeit­punkt der Erhe­bung
der per­so­nen­be­zo­ge­nen Daten ist mög­lich, solan­ge der Betrof­fe­ne über die­se Über­mitt­lung
infor­miert wird und sich die Umstän­de der Über­mitt­lung nicht ändern, nach­dem der Betrof­fe­ne sei­ne
Ein­wil­li­gung erteilt hat. Der Daten­ex­por­teur muss folg­lich sicher­stel­len, dass auch die im
nach­ste­hen­den Abschnitt 1.3 genann­ten Anfor­de­run­gen erfüllt werden.

 

2.1.3 Die Ein­wil­li­gung muss in Kennt­nis der Sach­la­ge erfolgen15, ins­be­son­de­re was die
mög­li­chen Risi­ken der Über­mitt­lung betrifft
Die­se Vor­aus­set­zung ist von beson­de­rer Bedeu­tung, da sie die all­ge­mei­ne Anfor­de­rung der
Ein­wil­li­gung in Kennt­nis der Sach­la­ge, die für jede Ein­wil­li­gung gilt und in Arti­kel 4 Absatz 11
fest­ge­legt ist, bekräf­tigt und näher spezifiziert.16 Die Anfor­de­rung der Ein­wil­li­gungs­er­tei­lung in
Kennt­nis der Sach­la­ge erfor­dert bei der Ein­wil­li­gung als Rechts­grund­la­ge für eine Daten­über­mitt­lung
im Sin­ne von Arti­kel 6 Absatz 1 Buch­sta­be a, dass die betrof­fe­ne Per­son in ange­mes­se­ner Wei­se und
im Vor­aus über die spe­zi­fi­schen Umstän­de der Über­mitt­lung (d. h. Iden­ti­tät des Ver­ant­wort­li­chen,
Zweck der Über­mitt­lung, Art von Daten, Recht zum Wider­ruf der Ein­wil­li­gung, Iden­ti­tät oder
Kate­go­rien der Emp­fän­ger) infor­miert wird.17
Zusätz­lich zu die­ser all­ge­mei­nen Anfor­de­rung der Ein­wil­li­gung in Kennt­nis der Sach­la­ge erfor­dert die
Ein­wil­li­gung als Grund­la­ge für die Über­mitt­lung von per­so­nen­be­zo­ge­nen Daten an ein Dritt­land im
Sin­ne des Arti­kel 49 Absatz 1 Buch­sta­be a, dass die betrof­fe­nen Per­so­nen auch über die spe­zi­fi­schen
Risi­ken infor­miert wer­den, die sich aus der Tat­sa­che erge­ben, dass ihre Daten in ein Land über­mit­telt
wer­den, das kei­nen ange­mes­se­nen Schutz bie­tet, und dass auch kei­ne geeig­ne­ten Garan­tien zum
Schutz der Daten zur Anwen­dung gebracht wer­den. Die Ertei­lung die­ser Infor­ma­tio­nen ist von
wesent­li­cher Bedeu­tung, damit die betrof­fe­ne Per­son ihre Ein­wil­li­gung in vol­ler Kennt­nis der
kon­kre­ten Umstän­de der Über­mitt­lung ertei­len kann. Wer­den die­se Infor­ma­tio­nen nicht zur
Ver­fü­gung gestellt, kommt die Aus­nah­me­re­ge­lung daher nicht zur Anwen­dung. Die Infor­ma­tio­nen, die den betrof­fe­nen Per­so­nen erteilt wer­den, damit sie in die Über­mitt­lung ihrer
per­so­nen­be­zo­ge­nen Daten an Dritt­par­tei­en in Dritt­län­dern ein­wil­li­gen kön­nen, müs­sen auch
umfas­sen­de Anga­ben dazu ent­hal­ten, wer die Emp­fän­ger oder die Kate­go­rien der Emp­fän­ger der
Daten sind, in wel­che Län­der die per­so­nen­be­zo­ge­nen Daten über­mit­telt wer­den, dass Grund­la­ge für
die Über­mitt­lung die Ein­wil­li­gung ist und dass das Dritt­land, an das die Daten über­mit­telt wer­den,
kein ange­mes­se­nes Daten­schutz­ni­veau auf der Grund­la­ge eines Beschlus­ses der Euro­päi­schen
Kom­mis­si­on bietet.18 Wie bereits dar­ge­legt, muss aus den Infor­ma­tio­nen zudem her­vor­ge­hen, wel­che mög­li­chen Risi­ken sich für die betrof­fe­nen Per­so­nen aus der Tat­sa­che erge­ben, dass das
Dritt­land kein ange­mes­se­nes Schutz­ni­veau bie­tet und dass kei­ne geeig­ne­ten Garan­tien vor­lie­gen. Eine sol­che Erklä­rung, die im Übri­gen stan­dar­di­siert sein kann, soll­te bei­spiels­wei­se die Infor­ma­ti­on
ent­hal­ten, dass es in dem Dritt­land mög­li­cher­wei­se kei­ne Auf­sichts­be­hör­de gibt und/oder kei­ne
Daten­ver­ar­bei­tungs­grund­sät­ze bestehen und/oder dass den betrof­fe­nen Per­so­nen in dem Dritt­land
mög­li­cher­wei­se kei­ne Daten­schutz­rech­te zuste­hen.
In dem kon­kre­ten Fall, in dem eine Über­mitt­lung nach Erhe­bung der per­so­nen­be­zo­ge­nen Daten bei
der betrof­fe­nen Per­son erfolgt, soll­te der Daten­ex­por­teur die betrof­fe­ne Per­son über die
Über­mitt­lung und die damit ver­bun­de­nen Risi­ken infor­mie­ren, bevor die Über­mitt­lung statt­fin­det,
damit die betrof­fe­ne Per­son aus­drück­lich in die „vor­ge­schla­ge­ne“ Über­mitt­lung ein­wil­li­gen kann.
Wie in der vor­ste­hen­den Ana­ly­se dar­ge­legt, ist die Hür­de für die Anwend­bar­keit der Ein­wil­li­gung als
Aus­nah­me­tat­be­stand für Daten­über­mitt­lun­gen in Dritt­län­der in der DSGVO hoch gesetzt. Die­se hohe
Hür­de in Ver­bin­dung mit der Tat­sa­che, dass die von einer betrof­fe­nen Per­son erteil­te Einwilligung

jeder­zeit wider­ru­fen wer­den kann, bedeu­tet, dass die Ein­wil­li­gung wohl nicht als geeig­ne­te
lang­fris­ti­ge Lösung für die Über­mitt­lung in Dritt­län­der ange­se­hen wer­den kann.

Kri­te­ri­um der Erfor­der­lich­keit
Eine über­grei­fen­de Vor­aus­set­zung bei meh­re­ren Aus­nah­men lau­tet, dass die Daten­über­mitt­lung für
einen bestimm­ten Zweck „erfor­der­lich“ sein muss. Um eine mög­li­che Inan­spruch­nah­me der
Aus­nah­men nach Arti­kel 49 Absatz 1 Buch­sta­ben b, c, d, e und f zu beur­tei­len, soll­te daher das
Kri­te­ri­um der Erfor­der­lich­keit ange­wandt wer­den. Im Rah­men die­ses Kri­te­ri­ums muss der
Daten­ex­por­teur in der EU bewer­ten, ob eine Über­mitt­lung per­so­nen­be­zo­ge­ner Daten für den
bestimm­ten Zweck der beab­sich­tig­ten Aus­nah­me­re­ge­lung als erfor­der­lich erach­tet wer­den kann
oder nicht. Wei­te­re Hin­wei­se zur spe­zi­fi­schen Anwen­dung des Kri­te­ri­ums der Erfor­der­lich­keit auf die
betref­fen­den Aus­nah­men sind in den ent­spre­chen­den Abschnit­ten wei­ter unten enthalten.

Ver­trag

2.2. Für die Erfül­lung eines Ver­trags zwi­schen der betrof­fe­nen Per­son und dem
Ver­ant­wort­li­chen oder zur Durch­füh­rung von vor­ver­trag­li­chen Maß­nah­men auf Antrag
der betrof­fe­nen Per­son erfor­der­li­che Über­mitt­lung – Arti­kel 49 Absatz 1 Buch­sta­be b
Gemäß Erwä­gungs­grund 111 sind Daten­über­mitt­lun­gen auf der Grund­la­ge die­ser Aus­nah­me zuläs­sig, „wenn die Über­mitt­lung gele­gent­lich erfolgt und im Rah­men eines Ver­trags […] erfor­der­lich ist“.19
Die Aus­nah­me­tat­be­stän­de, die an die Erfül­lung eines Ver­trags anknüp­fen, mögen zwar poten­ti­ell
eher breit gefasst erschei­nen, sie sind jedoch durch die Kri­te­ri­en der „Erfor­der­lich­keit“ und der
„Gele­gent­lich­keit“ der Über­mitt­lun­gen beschränkt.
Erfor­der­lich­keit der Daten­über­mitt­lung
Durch das Kri­te­ri­um der Erforderlichkeit20 wird die Zahl der Fäl­le, in denen Arti­kel 49 Absatz 1
Buch­sta­be b in Anspruch genom­men wer­den kann, eingeschränkt.21 Dabei wird ein enger und
erheb­li­cher Zusam­men­hang zwi­schen der Daten­über­mitt­lung und den Zwe­cken des Ver­trags
vor­aus­ge­setzt. Die­se Aus­nah­me kann bei­spiels­wei­se nicht zur Anwen­dung kom­men, wenn ein Kon­zern aus
geschäft­li­chen Grün­den die Lohn- und die Per­so­nal­ab­tei­lung für die gesam­te Beleg­schaft in einem
Dritt­land zen­tra­li­siert hat, da es kei­nen unmit­tel­ba­ren und objek­ti­ven Zusam­men­hang zwi­schen der
Erfül­lung des Arbeits­ver­trags und einer sol­chen Über­mitt­lung gibt.22 Ande­re Grund­la­gen für die
Über­mitt­lung nach Kapi­tel V, wie Stan­dard­ver­trags­klau­seln oder ver­bind­li­che inter­ne
Daten­schutz­vor­schrif­ten, könn­ten sich jedoch für eine sol­che Über­mitt­lung als geeig­net erwei­sen. Die Über­mitt­lung per­so­nen­be­zo­ge­ner Kun­den­da­ten durch Rei­se­bü­ros an Hotels oder ande­re
Geschäfts­part­ner, die im Rah­men der Orga­ni­sa­ti­on des Auf­ent­halts der Kun­den im Aus­land betei­ligt
wer­den, kann hin­ge­gen als für die Zwe­cke des Ver­trags zwi­schen dem Rei­se­bü­ro und dem Kun­den
erfor­der­lich erach­tet wer­den, da in die­sem Fall eine hin­rei­chend enge und hin­rei­chen­de Ver­bin­dung
zwi­schen der Daten­über­mitt­lung und den Zwe­cken des Ver­trags (Orga­ni­sa­ti­on der Rei­se des Kun­den)
besteht.
Die­se Aus­nah­me kann aller­dings nicht auf die Über­mitt­lung zusätz­li­cher Infor­ma­tio­nen ange­wandt
wer­den, die nicht für die Erfül­lung des Ver­trags bzw. die Durch­füh­rung vor­ver­trag­li­cher Maß­nah­men
auf Antrag der betrof­fe­nen Person23 erfor­der­lich sind. Für die Über­mitt­lung zusätz­li­cher Daten wären
des­halb ande­re Instru­men­te erforderlich.

 

Gele­gent­li­che Über­mitt­lun­gen
Per­so­nen­be­zo­ge­ne Daten dür­fen im Rah­men die­ser Aus­nah­me­re­ge­lung nur über­mit­telt wer­den,
wenn die Über­mitt­lung gele­gent­lich erfolgt.24 Ob eine Rei­he von Daten­über­mitt­lun­gen oder eine
Daten­über­mitt­lung „gele­gent­lich“ oder „nicht gele­gent­lich“ erfolgt, ist im Ein­zel­fall zu beur­tei­len.
Eine Über­mitt­lung kann bei­spiels­wei­se als gele­gent­lich erach­tet wer­den, wenn die
per­so­nen­be­zo­ge­nen Daten eines Ver­triebs­lei­ters, der im Rah­men sei­nes Arbeits­ver­trags zu
ver­schie­de­nen Kun­den in Dritt­län­dern reist, an die­se Kun­den gesen­det wer­den, damit die Tref­fen
orga­ni­siert wer­den kön­nen. Dar­über hin­aus könn­te eine Über­mitt­lung auch als gele­gent­lich erach­tet
wer­den, wenn eine Bank mit Sitz in der EU per­so­nen­be­zo­ge­ne Daten an eine Bank in einem Dritt­land
über­mit­telt, um den Zah­lungs­auf­trag eines Kun­den aus­zu­füh­ren, solan­ge die­se Über­mitt­lung nicht im
Rah­men eines dau­er­haf­ten Koope­ra­ti­ons­ver­hält­nis­ses zwi­schen zwei Ban­ken erfolgt.
Als nicht „gele­gent­lich“ müs­sen hin­ge­gen etwa Über­mitt­lun­gen gel­ten, bei denen ein mul­ti­na­tio­na­les
Unter­neh­men Schu­lun­gen in einem Schu­lungs­zen­trum in einem Dritt­land orga­ni­siert und
sys­te­ma­tisch die per­so­nen­be­zo­ge­nen Daten der an der Schu­lung teil­neh­men­den Mit­ar­bei­ter
über­mit­telt (bei­spiels­wei­se Daten wie der Name und die Funk­ti­ons­be­zeich­nung, aber auch
Infor­ma­tio­nen über Ernäh­rungs­be­dürf­nis­se und Mobi­li­täts­ein­schrän­kun­gen). Regel­mä­ßi­ge
Daten­über­mitt­lun­gen im Rah­men einer dau­er­haf­ten Bezie­hung sind als sys­te­ma­tisch und wie­der­holt
anzu­se­hen und gehen damit über einen „gele­gent­li­chen“ Cha­rak­ter hin­aus. In einem sol­chen Fall
kön­nen daher vie­le im Rah­men einer Geschäfts­be­zie­hung erfol­gen­de Daten­über­mitt­lun­gen nicht auf
Arti­kel 49 Absatz 1 Buch­sta­be b gestützt wer­den.
Gemäß Arti­kel 49 Absatz 1 Unter­ab­satz 3 gilt die­se Aus­nah­me nicht für Tätig­kei­ten, die Behör­den in
Aus­übung ihrer hoheit­li­chen Befug­nis­se durchführen

 

Erfor­der­lich­keit

2.3 Erfor­der­li­che Über­mitt­lung für den Abschluss oder die Erfül­lung eines im Inter­es­se
der betrof­fe­nen Per­son von dem Ver­ant­wort­li­chen mit einer ande­ren natür­li­chen oder
juris­ti­schen Per­son geschlos­se­nen Ver­trags – Arti­kel 49 Absatz 1 Buch­sta­be c
Die­se Bestim­mung ist not­wen­di­ger­wei­se ähn­lich wie Arti­kel 49 Absatz 1 Buch­sta­be b aus­zu­le­gen,
näm­lich dahin­ge­hend, dass eine Daten­über­mitt­lung in ein Dritt­land oder an eine inter­na­tio­na­le
Orga­ni­sa­ti­on ohne Vor­lie­gen eines Ange­mes­sen­heits­be­schlus­ses nach Arti­kel 45 Absatz 3 oder
geeig­ne­ter Garan­tien nach Arti­kel 46 nur dann unter die Aus­nah­me von Arti­kel 49 Absatz 1
Buch­sta­be c fal­len kann, wenn sie als „zum Abschluss oder zur Erfül­lung eines im Inter­es­se der
betrof­fe­nen Per­son von dem Ver­ant­wort­li­chen mit einer ande­ren natür­li­chen oder juris­ti­schen Per­son
geschlos­se­nen Ver­trags erfor­der­lich“ erach­tet wer­den kann. Neben der Anfor­de­rung der Erfor­der­lich­keit dür­fen die Daten­über­mitt­lun­gen gemäß
Erwä­gungs­grund 111 außer­dem nur dann erfol­gen, „wenn die Über­mitt­lung gele­gent­lich erfolgt und
im Rah­men eines Ver­trags […] erfor­der­lich ist“. Neben dem Kri­te­ri­um der Erfor­der­lich­keit dür­fen
per­so­nen­be­zo­ge­ne Daten also auch hier nur dann gemäß die­ser Aus­nah­me über­mit­telt wer­den,
wenn die Über­mitt­lung gele­gent­lich erfolgt. Erfor­der­lich­keit der Daten­über­mitt­lung und Abschluss des Ver­trags im Inter­es­se der betrof­fe­nen
Per­son
24 Zur all­ge­mei­nen Defi­ni­ti­on des Begriffs „gele­gent­lich“ sie­he Sei­te 4.
12
Lagert eine Orga­ni­sa­ti­on bestimm­te Tätig­kei­ten wie ihre Lohn- und Gehalts­ab­rech­nung zu
Geschäfts­zwe­cken an Dienst­leis­ter außer­halb der EU aus, stellt die­se Aus­nah­me kei­ne Grund­la­ge für
Daten­über­mitt­lun­gen zu die­sen Zwe­cken dar, da kein enger und erheb­li­cher Zusam­men­hang
zwi­schen der Über­mitt­lung und einem im Inter­es­se der betrof­fe­nen Per­son abge­schlos­se­nen Ver­trag
fest­ge­stellt wer­den kann, selbst wenn End­zweck der Über­mitt­lung die Abrech­nung und Aus­zah­lung
des Lohns bzw. Gehalts des Beschäf­tig­ten ist.25 Ande­re in Kapi­tel V vor­ge­se­he­ne Ver­fah­ren wie
Stan­dard­ver­trags­klau­seln oder ver­bind­li­che inter­ne Daten­schutz­vor­schrif­ten stel­len mög­li­cher­wei­se
eine geeig­ne­te­re Grund­la­ge für Über­mitt­lun­gen die­ser Art dar.
Gele­gent­li­che Über­mitt­lun­gen
Fer­ner dür­fen per­so­nen­be­zo­ge­ne Daten im Rah­men die­ser Aus­nah­me­re­ge­lung nur über­mit­telt
wer­den, wenn die Über­mitt­lung gele­gent­lich erfolgt, wie es auch bei der Aus­nah­me nach Arti­kel 49
Absatz 1 Buch­sta­be b der Fall ist. Zur Beur­tei­lung des gele­gent­li­chen Cha­rak­ters einer sol­chen
Über­mitt­lung soll­te daher das­sel­be Kri­te­ri­um ange­wandt werden.26
Gemäß Arti­kel 49 Absatz 1 Unter­ab­satz 3 gilt die­se Aus­nah­me außer­dem nicht für Tätig­kei­ten, die
Behör­den in Aus­übung ihrer hoheit­li­chen Befug­nis­se durchführen.27

2.4 Erfor­der­lich­keit der Über­mitt­lung aus wich­ti­gen Grün­den des öffent­li­chen
Inter­es­ses – Arti­kel 49 Absatz 1 Buch­sta­be d
Die­se Aus­nah­me­re­ge­lung, die übli­cher­wei­se als „Aus­nah­me aus wich­ti­gen Grün­den des öffent­li­chen
Inter­es­ses“ bezeich­net wird, ähnelt sehr der Rege­lung in Arti­kel 26 Absatz 1 Buch­sta­be d der
Richt­li­nie 95/46/EC28
, wonach eine Über­mitt­lung nur erfol­gen darf, wenn sie für die Wah­rung eines
wich­ti­gen öffent­li­chen Inter­es­ses erfor­der­lich oder recht­lich vor­ge­schrie­ben ist.
Gemäß Arti­kel 49 Absatz 4 kön­nen nur öffent­li­che Inter­es­sen, die im Uni­ons­recht oder im Recht des
Mit­glied­staats, dem der Ver­ant­wort­li­che unter­liegt, aner­kannt sind, zur Anwen­dung die­ser
Aus­nah­me­re­ge­lung füh­ren.
Für die Anwen­dung die­ser Aus­nah­me reicht es aller­dings nicht aus, dass die Daten­über­mitt­lung
(bei­spiels­wei­se von einer Behör­de eines Dritt­staa­tes) für Zwe­cke von Ermitt­lun­gen ange­for­dert wird,
die einem öffent­li­chen Inter­es­se eines Dritt­lands die­nen, das im abs­trak­ten Sinn auch im Uni­ons­recht
bzw. im Recht des Mit­glied­staats exis­tiert. Ersucht eine Behör­de eines Dritt­staa­tes bei­spiels­wei­se um
eine Daten­über­mitt­lung für Ermitt­lun­gen mit dem Zweck der Ter­ro­ris­mus­be­kämp­fung, reicht der
Umstand, dass auf Uni­ons- oder Mit­glied­staats­ebe­ne eben­falls Rechts­vor­schrif­ten exis­tie­ren, die der
Ter­ro­ris­mus­be­kämp­fung die­nen, für sich gese­hen nicht aus, um Arti­kel 49 Absatz 1 Buch­sta­be d auf
eine sol­che Über­mitt­lung anzu­wen­den. Wie von der G29, der Vor­gän­ge­rin des EDSA, in frü­he­ren
Stellungnahmen29 betont, ist die Aus­nah­me viel­mehr nur dann anwend­bar, wenn sich auch aus dem
Uni­ons­recht oder dem Recht des Mit­glied­staats, dem der Ver­ant­wort­li­che unter­liegt, ergibt, dass
der­ar­ti­ge Daten­über­mitt­lun­gen zum Zwe­cke der Wah­rung wich­ti­ger öffent­li­cher Inter­es­sen zuläs­sig
sind, was auch den Grund­satz der Gegen­sei­tig­keit der inter­na­tio­na­len Zusam­men­ar­beit
mit­ein­schließt. Das Vor­lie­gen eines inter­na­tio­na­len Abkom­mens oder einer inter­na­tio­na­len
Über­ein­kunft, welche(s) ein bestimm­tes Ziel aner­kennt und zur För­de­rung die­ses Ziels eine inter­na­tio­na­le Zusam­men­ar­beit vor­sieht, kann ein Hin­weis auf das Vor­lie­gen eines öffent­li­chen
Inter­es­ses nach Arti­kel 49 Absatz 1 Buch­sta­be d sein, wenn die EU oder die Mit­glied­staa­ten zu den
Unter­zeich­nern die­ses Abkom­mens bzw. die­ser Über­ein­kunft gehö­ren.
Arti­kel 49 Absatz 1 Buch­sta­be d rich­tet sich zwar haupt­säch­lich an Behör­den, doch kön­nen auch
pri­va­te Stel­len den Arti­kel grund­sätz­lich in Anspruch neh­men. Eini­ge der in Erwä­gungs­grund 112
genann­ten Bei­spie­le unter­stüt­zen die­se Ansicht, denn sie bezie­hen sich sowohl auf Über­mitt­lun­gen
durch Behör­den als auch durch pri­va­te Stellen30
. Maß­geb­li­che Vor­aus­set­zung für die Anwend­bar­keit die­ser Aus­nah­me ist somit, ob ein wich­ti­ges
öffent­li­ches Inter­es­se vor­liegt oder nicht. Die Art der Stel­le (öffent­li­che, pri­va­te oder inter­na­tio­na­le
Orga­ni­sa­ti­on), die die Daten über­mit­telt und/oder erhält, ist hin­ge­gen nicht ent­schei­dend. Laut den Erwä­gungs­grün­den 111 und 112 ist die­se Aus­nah­me nicht auf „gele­gent­li­che“
Daten­über­mitt­lun­gen beschränkt31. Das bedeu­tet jedoch nicht, dass die Aus­nah­me­re­ge­lung des
Arti­kel 49 Absatz 1 Buch­sta­be d auf Über­mitt­lun­gen Anwen­dung fin­den kann, die in gro­ßem Umfang
und sys­te­ma­tisch erfol­gen. Es gilt viel­mehr, den all­ge­mei­nen Grund­satz zu beach­ten, dass die
Aus­nah­men nach Arti­kel 49 in der Pra­xis nicht zur „Regel“ wer­den dür­fen, son­dern spe­zi­fi­schen
Situa­tio­nen vor­zu­be­hal­ten sind, und dass jeder Daten­ex­por­teur sicher­stel­len muss, dass das stren­ge
Kri­te­ri­um der Erfor­der­lich­keit bei den Über­mitt­lun­gen ein­ge­hal­ten wird.32
Für Über­mitt­lun­gen, die im Rah­men übli­cher Geschäfts­ab­läu­fe oder der übli­chen Geschäfts­pra­xis
erfol­gen, möch­te der EDSA allen Daten­ex­por­teu­ren (und ins­be­son­de­re Behörden33) nahe­le­gen, sich
hier­bei nicht auf die Aus­nah­me nach Arti­kel 49 Absatz 1 Buch­sta­be d zu beru­fen, son­dern die­sen
Über­mitt­lun­gen geeig­ne­te Garan­tien nach Arti­kel 46 zu Grun­de zu legen

2.5 Erfor­der­lich­keit der Über­mitt­lung zur Gel­tend­ma­chung, Aus­übung oder
Ver­tei­di­gung von Rechts­an­sprü­chen – Arti­kel 49 Absatz 1 Buch­sta­be e
Gel­tend­ma­chung, Aus­übung oder Ver­tei­di­gung von Rechts­an­sprü­chen
Gemäß Arti­kel 49 Absatz 1 Buch­sta­be e darf die Über­mitt­lung erfol­gen, wenn „die Über­mitt­lung […]
zur Gel­tend­ma­chung, Aus­übung oder Ver­tei­di­gung von Rechts­an­sprü­chen erfor­der­lich [ist]“. Laut
Erwä­gungs­grund 111 soll­ten Daten­über­mitt­lun­gen zuläs­sig sein, wenn die Über­mitt­lung
„gele­gent­lich erfolgt und im Rah­men eines Ver­trags oder zur Gel­tend­ma­chung von Rechts­an­sprü­chen,
sei es vor Gericht oder auf dem Ver­wal­tungs­we­ge oder in außer­ge­richt­li­chen Ver­fah­ren, wozu auch
Ver­fah­ren vor Regu­lie­rungs­be­hör­den zäh­len, erfor­der­lich ist.“ Dies schließt ver­schie­de­ne Tätig­kei­ten
ein, etwa straf­recht­li­che oder behörd­li­chen Ermitt­lun­gen in einem Dritt­land (z. B. in Berei­chen wie
Kar­tell­recht, Kor­rup­ti­ons­be­kämp­fung, Insi­der­ge­schäf­ten oder ähn­li­chen Fäl­len), bei denen die
Aus­nah­me­re­ge­lung ange­wandt wer­den kann, wenn die Über­mitt­lung der Selbst­ver­tei­di­gung dient
oder mit dem Zweck der Erlan­gung einer Min­de­rung oder einer Frei­stel­lung von einer recht­lich
vor­ge­se­he­nen Geld­stra­fe erfolgt, zum Bei­spiel bei kar­tell­recht­li­chen Ermitt­lun­gen. Auch
Daten­über­mitt­lun­gen zum Zweck eines förm­li­chen vor­pro­zes­sua­len Ermitt­lungs­ver­fah­rens (sog. pre- tri­al dis­co­very) bei zivil­recht­li­chen Strei­tig­kei­ten kön­nen unter die­se Aus­nah­me fal­len. Dar­ü­be hin­aus kön­nen auch Maß­nah­men des Daten­ex­por­teurs zur Ein­lei­tung eines Ver­fah­rens in einem
Dritt­land dar­un­ter fal­len, bei­spiels­wei­se die Ein­lei­tung eines Rechts­streits oder ein Antrag auf
Geneh­mi­gung einer Fusi­on. Die Aus­nah­me­re­ge­lung kann hin­ge­gen nicht mit dem blo­ßen Argu­ment
in Anspruch genom­men wer­den, dass die Mög­lich­keit künf­ti­ger gericht­li­cher Aus­ein­an­der­set­zun­gen
oder eines künf­ti­gen förm­li­chen Ver­fah­rens besteht. Auf Tätig­kei­ten von Behör­den in Aus­übung ihrer hoheit­li­chen Befug­nis­se kann die­se Aus­nah­me Erfor­der­lich­keit der Daten­über­mitt­lung
Im vor­lie­gen­den Fall darf eine Daten­über­mitt­lung nur erfol­gen, wenn sie zur Gel­tend­ma­chung,
Aus­übung oder Ver­tei­di­gung des frag­li­chen Rechts­an­spruchs erfor­der­lich ist. Das Kri­te­ri­um der
Erfor­der­lich­keit setzt einen engen und erheb­li­chen Zusam­men­hang zwi­schen den betref­fen­den
Daten und der Gel­tend­ma­chung, Aus­übung oder Ver­tei­di­gung von Rech­ten im kon­kre­ten Fall
voraus.34 Ein blo­ßes Inter­es­se von Behör­den eines Dritt­staa­tes als sol­ches genügt hin­ge­gen nicht,
eben­so wenig der Wunsch, von Behör­den eines Dritt­staa­tes ein mög­li­ches „Ent­ge­gen­kom­men“ zu
gewin­nen.
Zwar mag es für einen Daten­ex­por­teur ver­lo­ckend sein, auf Anfra­ge oder zur Ein­lei­tung eines
Ver­fah­rens sämt­li­che mög­li­cher­wei­se rele­van­ten per­so­nen­be­zo­ge­nen Daten zu über­mit­teln, doch
wür­de dies die­ser Aus­nah­me­re­ge­lung bzw. der DSGVO gene­rell zuwi­der­lau­fen, wel­che (in dem
Grund­satz der Daten­mi­ni­mie­rung) beto­nen, dass per­so­nen­be­zo­ge­ne Daten den Zwe­cken, zu denen
sie ver­ar­bei­tet wer­den, ange­mes­sen und erheb­lich sowie auf das für die Zwe­cke ihrer Ver­ar­bei­tung
not­wen­di­ge Maß beschränkt sein müs­sen.
In Bezug auf gericht­li­che Ver­fah­ren hat die G29 als Vor­gän­ge­rin des EDSA hin­sicht­lich der Fra­ge, ob
per­so­nen­be­zo­ge­ne Daten über­mit­telt wer­den dür­fen, bereits einen mehr­stu­fi­gen Ansatz unter
Berück­sich­ti­gung des genann­ten Ver­ar­bei­tungs­grund­sat­zes erar­bei­tet. Als ers­ter Schritt soll­te
sorg­fäl­tig abge­wo­gen wer­den, ob anony­mi­sier­te Daten im Ein­zel­fall aus­rei­chen wür­den. Ist das nicht
der Fall, könn­te geprüft wer­den, ob eine Über­mitt­lung pseud­ony­mi­sier­ter Daten infra­ge kommt. Ist
die Über­mitt­lung per­so­nen­be­zo­ge­ner Daten an ein Dritt­land erfor­der­lich, soll­te vor der Über­mitt­lung
geprüft wer­den, ob die Daten für die frag­li­che Ange­le­gen­heit erheb­lich sind – damit nur sol­che
per­so­nen­be­zo­ge­nen Daten über­mit­telt und offen­ge­legt wer­den, die tat­säch­lich erfor­der­lich sind. Gele­gent­li­che Über­mitt­lung Über­mitt­lun­gen die­ser Art soll­ten nur erfol­gen, wenn sie gele­gent­lich sind. Hin­wei­se dazu, wie
gele­gent­li­che Über­mitt­lun­gen defi­niert sind, sind im ent­spre­chen­den Abschnitt über „gele­gent­li­che“
und „nicht wie­der­hol­te“ Über­mitt­lun­gen enthalten.35 Daten­ex­por­teu­re müs­sen dies­be­züg­lich jeden
Ein­zel­fall sorg­fäl­tig 
anwend­bar sein (Arti­kel 49 Absatz 3).
Die Kom­bi­na­ti­on der Begrif­fe „Rechts­an­spruch“ und „Ver­fah­ren“ bedeu­tet, dass das betref­fen­de
Ver­fah­ren auf einer Rechts­grund­la­ge beru­hen muss, wozu auch ein förm­li­ches, recht­lich gere­gel­tes
Ver­fah­ren gehört. Eine Beschrän­kung auf gericht­li­che oder Ver­wal­tungs­ver­fah­ren besteht aller­dings
nicht („oder in außer­ge­richt­li­chen Ver­fah­ren“). Da die Über­mitt­lung im Rah­men eines Ver­fah­rens
erfol­gen muss, muss zwi­schen der Daten­über­mitt­lung und dem kon­kre­ten Ver­fah­ren in der
betref­fen­den Situa­ti­on ein enger Zusam­men­hang bestehen. Die abs­trak­te Anwend­bar­keit einer
bestimm­ten Art von Ver­fah­ren wäre nicht aus­rei­chend.
Den Ver­ant­wort­li­chen und den Auf­trags­ver­ar­bei­tern muss bewusst sein, dass das natio­na­le Recht
auch soge­nann­te Ver­bots­ge­set­ze beinhal­ten kann, die die Über­mitt­lung per­so­nen­be­zo­ge­ner Daten
an aus­län­di­sche Gerich­te oder mög­li­cher­wei­se auch an ande­re aus­län­di­sche öffent­li­che Stel­len nicht
oder nur in beschränk­tem Umfang gestatten.

2.6 Zum Schutz lebens­wich­ti­ger Inter­es­sen der betrof­fe­nen Per­son oder ande­rer
Per­so­nen erfor­der­li­che Über­mitt­lung, wenn die betrof­fe­ne Per­son aus phy­si­schen
oder recht­li­chen Grün­den außer­stan­de ist, ihre Ein­wil­li­gung zu geben – Arti­kel 49
Absatz 1 Buch­sta­be f
Die Aus­nah­me­re­ge­lung gemäß Arti­kel 49 Absatz 1 Buch­sta­be f fin­det selbst­ver­ständ­lich dann
Anwen­dung, wenn Daten in einem medi­zi­ni­schen Not­fall über­mit­telt wer­den und wenn eine sol­che
Über­mitt­lung als für die not­wen­di­ge medi­zi­ni­sche Ver­sor­gung unmit­tel­bar erfor­der­lich erach­tet wird.
Bei­spiels­wei­se muss es recht­lich mög­lich sein, Daten (ein­schließ­lich bestimm­ter per­so­nen­be­zo­ge­ner
Daten) zu über­mit­teln, wenn die betrof­fe­ne Per­son wäh­rend eines Auf­ent­halts im EU-Aus­land
bewusst­los ist und drin­gend medi­zi­ni­sche Hil­fe benö­tigt und nur ein in der EU nie­der­ge­las­se­ner
Daten­ex­por­teur (z. B. der behan­deln­de Arzt) in der Lage ist, die­se Daten zu über­mit­teln. In die­sen
Fäl­len geht das Gesetz davon aus, dass die unmit­tel­bar bevor­ste­hen­de Gefahr eines schwe­ren
Scha­dens schwe­rer wiegt als die Daten­schutz­be­lan­ge.
Die Über­mitt­lung muss im Inter­es­se des Betrof­fe­nen oder einer ande­ren Per­son lie­gen, und die
medi­zi­ni­schen Daten müs­sen für eine wich­ti­ge Dia­gno­se erfor­der­lich sein. Die­se Aus­nah­me kann
daher nicht dafür her­an­ge­zo­gen wer­den, die Über­mitt­lung medi­zi­ni­scher Daten außer­halb der EU zu
recht­fer­ti­gen, wenn der Zweck der Über­mitt­lung nicht dar­in besteht, den kon­kre­ten Fall der
betrof­fe­nen Per­son oder einer ande­ren Per­son zu behan­deln, son­dern statt­des­sen bei­spiels­wei­se
dar­in, all­ge­mei­ne medi­zi­ni­sche For­schungs­tä­tig­kei­ten zu betrei­ben, deren Ergeb­nis­se erst zu einem
unbe­stimm­ten Zeit­punkt zu erwar­ten sind.
Laut der DSGVO ist die­se Aus­nah­me nicht nur auf die kör­per­li­che Unver­sehrt­heit einer Per­son
beschränkt, son­dern sieht etwa auch Spiel­raum für Fäl­le vor, in denen die geis­ti­ge Unver­sehrt­heit
einer Per­son geschützt wer­den muss. In sol­chen Fäl­len ist die betrof­fe­ne Per­son – hier aus
phy­si­schen oder aus recht­li­chen Grün­den – eben­falls außer­stan­de, in die Über­mitt­lung ihrer
per­so­nen­be­zo­ge­nen Daten ein­zu­wil­li­gen. Dar­über hin­aus muss die betrof­fe­ne Per­son, deren
per­so­nen­be­zo­ge­ne Daten Gegen­stand der Über­mitt­lung sind, aus kör­per­li­chen oder recht­li­chen
Grün­den nicht in der Lage sein, gera­de in die kon­kre­te Über­mitt­lung ein­zu­wil­li­gen.
Ist eine betrof­fe­ne Per­son aller­dings in der Lage, eine gül­ti­ge Ent­schei­dung zu tref­fen, und kann ihre
Ein­wil­li­gung ein­ge­holt wer­den, so kann die­se Aus­nah­me nicht in Anspruch genom­men wer­den.
Sind die per­so­nen­be­zo­ge­nen Daten bei­spiels­wei­se erfor­der­lich, um eine Zwangs­räu­mung zu
ver­hin­dern, wür­de dies — auch wenn das Woh­nen als ein lebens­wich­ti­ges Inter­es­se erach­tet wer­den
kann — nicht unter die­se Aus­nah­me fal­len, da die betrof­fe­ne Per­son in die Über­mitt­lung ihrer Daten
selbst ein­wil­li­gen kann.
Die Fähig­keit, eine rechts­wirk­sa­me Ent­schei­dung zu tref­fen, kann aus kör­per­li­chen, geis­ti­gen oder
recht­li­chen Grün­den beein­träch­tigt sein. So kann die recht­li­che Hand­lungs­un­fä­hig­keit — unbe­scha­det
etwa­iger natio­na­ler Rege­lun­gen zur Stell­ver­tre­tung — etwa bei Min­der­jäh­ri­gen bestehen. Die­se
recht­li­che Hand­lungs­un­fä­hig­keit muss von Fall zu Fall nach­ge­wie­sen wer­den, ent­we­der durch ein ärzt­li­ches Zeug­nis, wel­ches das geis­ti­ge Unver­mö­gen der betrof­fe­nen Per­son belegt, oder durch ein
behörd­li­ches Doku­ment, wel­ches die recht­li­che Situa­ti­on der betrof­fe­nen Per­son bestä­tigt.
Erfor­der­li­che Daten­über­mitt­lun­gen an eine inter­na­tio­na­le huma­ni­tä­re Hilfs­or­ga­ni­sa­ti­on zur
Durch­füh­rung einer Auf­ga­be im Rah­men der Gen­fer Kon­ven­ti­on oder im Ein­klang mit dem
huma­ni­tä­ren Völ­ker­recht, das für bewaff­ne­te Kon­flik­ten gilt, kön­nen eben­falls unter Arti­kel 49
Absatz 1 Buch­sta­be f fal­len (sie­he Erwä­gungs­grund 112). In sol­chen Fäl­len muss die betrof­fe­ne
Per­son eben­falls aus kör­per­li­chen oder recht­li­chen Grün­den außer­stan­de sein, ihre Ein­wil­li­gung zu
ertei­len.
Die Über­mitt­lung per­so­nen­be­zo­ge­ner Daten nach Natur­ka­ta­stro­phen und in Ver­bin­dung mit der
Wei­ter­lei­tung per­so­nen­be­zo­ge­ner Infor­ma­tio­nen an Ein­rich­tun­gen und Per­so­nen zu Ret­tungs- und
Ber­gungs­zwe­cken (etwa an Ver­wand­te der Kata­stro­phen­op­fer, Regie­rungs­stel­len und Not­fall­diens­te)
kann unter die­ser Aus­nah­me gerecht­fer­tigt sein. Uner­war­te­te Ereig­nis­se die­ser Art
(Über­schwem­mun­gen, Erd­be­ben, Wir­bel­stür­me usw.) kön­nen die drin­gen­de Über­mitt­lung
bestimm­ter per­so­nen­be­zo­ge­ner Daten recht­fer­ti­gen, wenn es bei­spiels­wei­se dar­um geht, die Opfer
zu loka­li­sie­ren oder ihren Zustand zu ermit­teln. In Situa­tio­nen die­ser Art wird davon aus­ge­gan­gen,
dass die betrof­fe­ne Per­son außer­stan­de ist, in die Über­mitt­lung ihrer Daten einzuwilligen.

2.7. Über­mitt­lun­gen aus einem öffent­li­chen Regis­ter – Arti­kel 49 Absatz 1 Buch­sta­be g
und Arti­kel 49 Absatz 2
Nach Arti­kel 49 Absatz 1 Buch­sta­be g und Arti­kel 49 Absatz 2 ist die Über­mitt­lung
per­so­nen­be­zo­ge­ner Daten aus Regis­tern unter bestimm­ten Umstän­den zuläs­sig. Ein Regis­ter ist
all­ge­mein defi­niert als „(schrift­li­che) Auf­zeich­nung, die regel­mä­ßi­ge Ein­trä­ge von Pos­ten oder
Anga­ben umfasst“ oder als „eine offi­zi­el­le Lis­te oder Auf­zeich­nung von Namen oder Pos­ten“
36, wobei
gemäß Arti­kel 49 ein Regis­ter ent­we­der in schrift­li­cher oder elek­tro­ni­scher Form vor­lie­gen kann.
Nach dem Uni­ons­recht oder dem Recht der Mit­glied­staa­ten muss das frag­li­che Regis­ter zur
Infor­ma­ti­on der Öffent­lich­keit bestimmt sein. Pri­va­te Regis­ter (für die pri­va­te Ein­rich­tun­gen
zustän­dig sind) lie­gen des­halb außer­halb des Anwen­dungs­be­reichs die­ser Aus­nah­me­re­ge­lung (etwa
pri­va­te Regis­ter zur Bewer­tung der Kre­dit­wür­dig­keit).
Die Ein­sicht­nah­me in das Regis­ter muss dabei mög­lich sein für
a) die all­ge­mei­ne Öffent­lich­keit oder
b) jede Per­son, die ein berech­tig­tes Inter­es­se nach­wei­sen kann.
Dazu kön­nen etwa Unter­neh­mens­re­gis­ter, Ver­bands­re­gis­ter, Straf­re­gis­ter, Grund­bü­cher oder
öffent­li­che Fahr­zeug­re­gis­ter gehö­ren.
Neben den all­ge­mei­nen Anfor­de­run­gen in Bezug auf die Ein­rich­tung der Regis­ter als sol­che dür­fen
die Über­mitt­lun­gen aus die­sen Regis­tern im Ein­zel­fall nur erfol­gen, falls und soweit die im
Uni­ons­recht oder im Recht der Mit­glied­staa­ten fest­ge­leg­ten Vor­aus­set­zun­gen für die Ein­sicht­nah­me
erfüllt wer­den (zu den all­ge­mei­nen Vor­aus­set­zun­gen sie­he Arti­kel 49 Absatz 1 Buch­sta­be g).
Ver­ant­wort­li­chen und Auf­trags­ver­ar­bei­tern, die Daten im Rah­men die­ser Aus­nah­me über­mit­teln
wol­len, muss bewusst sein, dass die Über­mitt­lung nicht die Gesamt­heit der per­so­nen­be­zo­ge­nen
Daten oder gan­ze Kate­go­rien per­so­nen­be­zo­ge­ner Daten, die im Regis­ter ent­hal­ten sind, umfas­sen darf (Arti­kel 49 Absatz 2). Bei Über­mitt­lun­gen aus einem auf­grund von Rechts­vor­schrif­ten
ein­ge­rich­te­ten Regis­ter und in Fäl­len, in denen das Regis­ter der Ein­sicht­nah­me durch Per­so­nen mit
berech­tig­tem Inter­es­se dient, darf die Über­mitt­lung nur auf Anfra­ge die­ser Per­so­nen oder nur dann
erfol­gen, wenn die­se Per­so­nen die Adres­sa­ten der Über­mitt­lung sind, wobei den Inter­es­sen und
Grund­rech­ten der betrof­fe­nen Per­so­nen Rech­nung zu tra­gen ist.37 Die Daten­ex­por­teu­re haben bei
der Beur­tei­lung, ob eine Über­mitt­lung ange­mes­sen ist, in jedem Ein­zel­fall die Inter­es­sen und Rech­te
der betrof­fe­nen Per­son zu berück­sich­ti­gen.
Jede wei­te­re Ver­wen­dung der per­so­nen­be­zo­ge­nen Daten aus Regis­tern der oben genann­ten Art darf
aus­schließ­lich unter Ein­hal­tung der gel­ten­den Daten­schutz­be­stim­mun­gen erfol­gen.
Auf Tätig­kei­ten von Behör­den in Aus­übung ihrer hoheit­li­chen Befug­nis­se ist die­se Aus­nah­me
eben­falls anwend­bar (Arti­kel 49 Absatz 3).

2.8. Zwin­gen­de berech­tig­te Inter­es­sen – Arti­kel 49 Absatz 1 Unter­ab­satz 2
Mit Arti­kel 49 Absatz 1 Unter­ab­satz 2 wird eine neue Aus­nah­me ein­ge­führt, die nicht in der frü­he­ren
Richt­li­nie ent­hal­ten war. Unter spe­zi­fi­schen, aus­drück­lich auf­ge­führ­ten Vor­aus­set­zun­gen kön­nen
per­so­nen­be­zo­ge­ne Daten über­mit­telt wer­den, wenn dies zur Wah­rung der zwin­gen­den berech­tig­ten
Inter­es­sen des Daten­ex­por­teurs erfor­der­lich ist.
Die­se Aus­nah­me wur­de vom Gesetz­ge­ber als „letz­tes Mit­tel“ vor­ge­se­hen, denn sie ist nur
anwend­bar, wenn „die Über­mitt­lung nicht auf eine Bestim­mung der Arti­kel 45
oder 46 — ein­schließ­lich der ver­bind­li­chen inter­nen Daten­schutz­vor­schrif­ten — gestützt wer­den könn­te
und kei­ne der Aus­nah­men für einen bestimm­ten Fall […] anwend­bar ist.“
38
Im Rah­men des mehr­stu­fi­gen Ansat­zes für die Prü­fung, ob bei Über­mitt­lun­gen eine
Aus­nah­me­re­ge­lung in Anspruch genom­men wer­den kann, ist vor einer etwa­igen Inan­spruch­nah­me
der Aus­nah­me nach Arti­kel 49 Absatz 1 Unter­ab­satz 2 zu prü­fen, ob auf eine der Grund­la­gen für
Daten­über­mitt­lun­gen nach Arti­kel 45 oder 46 oder auf eine der Aus­nah­men für bestimm­te Fäl­le nach
Arti­kel 49 Absatz 1 Unter­ab­satz 1 zurück­ge­grif­fen wer­den kann. Eine Über­mitt­lung unter Anwen­dung
die­ser Aus­nah­me ist gemäß Erwä­gungs­grund 113 nur in den ver­blei­ben­den Fäl­len zuläs­sig und hängt
von einer erheb­li­chen Zahl aus­drück­lich recht­lich vor­ge­schrie­be­ner Bedin­gun­gen ab. Im Ein­klang mit
dem in der DSGVO ver­an­ker­ten Grund­satz der Rechenschaftspflicht39 muss der Daten­ex­por­teur
des­halb nach­wei­sen kön­nen, dass es weder mög­lich war, die Daten­über­mitt­lung mit geeig­ne­ten
Garan­tien nach Arti­kel 46 zu flan­kie­ren noch eine der Aus­nah­men gemäß Arti­kel 49 Absatz 1
Unter­ab­satz 1 anzu­wen­den.
Dies bedeu­tet, dass der Daten­ex­por­teur unter Berück­sich­ti­gung der Umstän­de der
Daten­über­mitt­lung in die­ser Hin­sicht ernst­haf­te Bemü­hun­gen nach­wei­sen kön­nen muss. Im Ein­zel­fall
kann dazu etwa der Nach­weis gehö­ren, dass geprüft wur­de, ob die Daten­über­mitt­lung auf der
Grund­la­ge der aus­drück­li­chen Ein­wil­li­gung der betrof­fe­nen Per­son nach Arti­kel 49 Absatz 1
Buch­sta­be a durch­ge­führt wer­den kann. Indes­sen sind Umstän­de denk­bar, in denen es aus
prak­ti­schen Grün­den nicht mög­lich ist, die Über­mitt­lung auf eine ande­re Grund­la­ge zu stüt­zen. So
sind bestimm­te Arten hin­rei­chen­der Garan­tien nach Arti­kel 46 für klei­ne oder mitt­le­re Unter­neh­men
als Daten­ex­por­teu­re mög­li­cher­wei­se kei­ne rea­lis­ti­sche Option.40 Dies kann zum Bei­spiel auch dann der Fall sein, wenn der Daten­im­por­teur sich aus­drück­lich gewei­gert hat, einen
Daten­über­mitt­lungs­ver­trag auf der Grund­la­ge von Stan­dard­da­ten­schutz­klau­seln (Arti­kel 46 Absatz 2
Buch­sta­be c) abzu­schlie­ßen und kei­ne ande­re Opti­on zur Ver­fü­gung steht (im Ein­zel­fall auch nicht die
Wahl eines ande­ren „Daten­im­por­teurs“) – sie­he auch den nach­ste­hen­den Abschnitt über zwin­gen­de
berech­tig­te Inter­es­sen.
Zwin­gen­de berech­tig­te Inter­es­sen des Ver­ant­wort­li­chen
Die Aus­nah­me­re­ge­lung sieht vor, dass die Über­mitt­lung zur Wah­rung der zwin­gen­den berech­tig­ten
Inter­es­sen des Ver­ant­wort­li­chen erfor­der­lich sein muss und die Inter­es­sen oder Rech­te und
Frei­hei­ten der betrof­fe­nen Per­son nicht über­wie­gen dür­fen. Die Inter­es­sen eines
Auf­trags­ver­ar­bei­ters in der Rol­le als Daten­ex­por­teur oder die Inter­es­sen des Daten­im­por­teurs sind
dabei uner­heb­lich.
Dar­über hin­aus kom­men nur als „zwin­gend“ gel­ten­de Inter­es­sen in Betracht, wodurch der
Anwen­dungs­be­reich der Aus­nah­me deut­lich ein­ge­schränkt wird, da nicht alle denk­ba­ren
„berech­ti­gen Inter­es­sen“ nach Arti­kel 6 Absatz 1 Buch­sta­be f hier berück­sich­tigt wer­den kön­nen. Viel­mehr gilt hier eine gewis­se höhe­re Schwel­le: „Zwin­gend“ kön­nen nur berech­tig­te Inter­es­sen sein,
die für den Ver­ant­wort­li­chen von wesent­li­cher Bedeu­tung sind. Dies kann zum Bei­spiel dann der Fall
sein, wenn ein Ver­ant­wort­li­cher gezwun­gen ist, per­so­nen­be­zo­ge­ne Daten zu über­mit­teln, um sei­ne
Orga­ni­sa­ti­on oder sei­ne Sys­te­me vor einem unmit­tel­bar bevor­ste­hen­den, schwer­wie­gen­den Scha­den
oder vor einer emp­find­li­chen Stra­fe zu schüt­zen, die sein Geschäft erheb­lich beein­träch­ti­gen wür­de.
Nicht wie­der­holt
Arti­kel 49 Absatz 1 Unter­ab­satz 2 gilt aus­drück­lich nur für Über­mitt­lun­gen, die nicht wie­der­holt
erfolgen.41
Begrenz­te Zahl von betrof­fe­nen Per­so­nen
Dar­über hin­aus darf die Über­mitt­lung nur eine begrenz­te Zahl von betrof­fe­nen Per­so­nen betref­fen.
Eine abso­lu­te Ober­gren­ze ist inso­weit nicht fest­ge­legt, da sie von der jewei­li­gen Situa­ti­on abhängt,
jedoch muss die Zahl unter Berück­sich­ti­gung der Art der Über­mitt­lung ange­mes­sen klein sein.
In der Pra­xis hängt die Inter­pre­ta­ti­on des Begriffs „begrenz­te Zahl von betrof­fe­nen Per­so­nen“ vom
jewei­li­gen Ein­zel­fall ab. Muss der Ver­ant­wort­li­che bei­spiels­wei­se per­so­nen­be­zo­ge­ne Daten
über­mit­teln, um zum Schutz sei­nes Unter­neh­mens einen ein­ma­li­gen und erns­ten Sicher­heits­vor­fall
auf­zu­de­cken, wür­de sich die Fra­ge stel­len, die Daten wie vie­ler Beschäf­tig­ter der Ver­ant­wort­li­che
über­mit­teln muss, um sein zwin­gen­des berech­tig­tes Inter­es­se zu wah­ren.
Damit die­se Aus­nah­me in Anspruch genom­men wer­den kann, soll­te die Über­mitt­lung daher nicht die
Gesamt­heit der Beschäf­tig­ten des Ver­ant­wort­li­chen betref­fen, son­dern nur eine begrenz­te Zahl der
Beschäf­tig­ten.
Abwä­gung zwi­schen „zwin­gen­den berech­tig­ten Inter­es­sen des Ver­ant­wort­li­chen“ und den „Inter­es­sen
oder Rech­ten und Frei­hei­ten der betrof­fe­nen Per­son“ auf der Grund­la­ge einer Bewer­tung der
Umstän­de der Daten­über­mitt­lung und der Bereit­stel­lung geeig­ne­ter Garan­tien
Als zusätz­li­che Vor­aus­set­zung ist eine Abwä­gung zwi­schen dem (zwin­gen­den) berech­tig­ten Inter­es­se
des Daten­ex­por­teurs und den Inter­es­sen oder Rech­ten und Frei­hei­ten der betrof­fe­nen Per­son
vor­zu­neh­men. In die­sem Zusam­men­hang sieht das Gesetz aus­drück­lich vor, dass der Daten­ex­por­teur alle Umstän­de der Daten­über­mitt­lung prüft und auf der Grund­la­ge die­ser Prü­fung „geeig­ne­te
Garan­tien“ für den Schutz der über­mit­tel­ten Daten bie­tet. Die­se Anfor­de­rung hebt die beson­de­re
Rol­le her­vor, die Garan­tien spie­len kön­nen, um unan­ge­mes­se­ne Fol­gen der Daten­über­mitt­lung für
die betrof­fe­nen Per­so­nen abzu­mil­dern und auf die­se Wei­se das Rech­te- und Inter­es­sen­gleich­ge­wicht
zu beein­flus­sen, gege­be­nen­falls bis hin zu dem Punkt, bei dem die Inter­es­sen der betrof­fe­nen Per­son
gegen­über den Inter­es­sen des Ver­ant­wort­li­chen nicht mehr überwiegen.42
Was die zu berück­sich­ti­gen­den Inter­es­sen, Rech­te und Frei­hei­ten der betrof­fe­nen Per­son anbe­langt,
müs­sen die mög­li­chen nega­ti­ven Aus­wir­kun­gen, also alle Risi­ken, denen die betrof­fe­ne Per­son in
Bezug auf ihre (berech­tig­ten) Inter­es­sen jeder Art aus­ge­setzt ist, sorg­fäl­tig pro­gnos­ti­ziert und
abge­schätzt wer­den, und zwar anhand ihrer Ein­tritts­wahr­schein­lich­keit und Schwere.43 Hier­bei sind
ins­be­son­de­re mög­li­che Schä­den (Per­so­nen- und Sach­schä­den, aber auch imma­te­ri­el­le Schä­den wie
Ruf­schä­di­gung) zu berücksichtigen.44 Bei der Ein­schät­zung die­ser Risi­ken und mög­li­cher Garan­tien,
die unter die­sen Umstän­den mög­li­cher­wei­se als für die Wah­rung der Rech­te und Frei­hei­ten der
betrof­fe­nen Per­son „geeig­net“ gel­ten könn­ten, muss der Daten­ex­por­teur ins­be­son­de­re die Art der
Daten, den Zweck und die Dau­er der Ver­ar­bei­tung sowie die Situa­ti­on im Her­kunfts­land, in dem
betref­fen­den Dritt­land und ggf. im End­be­stim­mungs­land der Über­mitt­lung berücksichtigen.45
Dar­über hin­aus ist der Daten­ex­por­teur recht­lich ver­pflich­tet, zusätz­li­che Maß­nah­men als Garan­tien
zu ergrei­fen, um die ermit­tel­ten Risi­ken zu mini­mie­ren, die sich für die betrof­fe­ne Per­son aus der
Daten­über­mitt­lung ergeben.46 Da es sich hier­bei nach dem Geset­zes­wort­laut um eine zwin­gen­de
Vor­ga­be han­delt, ist davon aus­zu­ge­hen, dass die Inter­es­sen oder Rech­te und Frei­hei­ten der
betrof­fe­nen Per­son bei feh­len­den zusätz­li­chen Garan­tien auf jeden Fall gegen­über den Inter­es­sen
des Ver­ant­wort­li­chen an der Über­mitt­lung überwiegen.47 Was die Art die­ser Garan­tien anbe­langt,
kön­nen kei­ne all­ge­mei­nen Anfor­de­run­gen for­mu­liert wer­den, die in die­sem Zusam­men­hang auf alle
Fäl­le anwend­bar wären; viel­mehr hän­gen die Anfor­de­run­gen sehr stark von der kon­kre­ten
Daten­über­mitt­lung im Ein­zel­fall ab. Im Ein­zel­fall kön­nen sol­che Garan­tien etwa Maß­nah­men sein,
mit denen sicher­ge­stellt wird, dass die Daten nach der Über­mitt­lung so schnell wie mög­lich gelöscht
wer­den, oder mit denen die Zwe­cke, zu denen die Daten nach der Über­mitt­lung ver­ar­bei­tet wer­den, ein­ge­schränkt wer­den. Beson­de­res Augen­merk soll­te auch auf die Fra­ge gerich­tet wer­den, ob eine
Über­mitt­lung pseud­ony­mi­sier­ter oder ver­schlüs­sel­ter Daten ausreicht.48 Dar­über hin­aus soll­ten
tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men in Erwä­gung gezo­gen wer­den, mit denen sicher­ge­stellt
wer­den kann, dass die über­mit­tel­ten Daten nicht für ande­re als die aus­drück­lich vom
Daten­ex­por­teur vor­ge­se­he­nen Zwe­cke ver­wen­det wer­den kön­nen.
Benach­rich­ti­gung der Auf­sichts­be­hör­de
Die Infor­ma­ti­ons­pflicht gegen­über der Auf­sichts­be­hör­de bedeu­tet nicht, dass die Über­mitt­lung von
der Auf­sichts­be­hör­de geneh­migt wer­den müss­te; viel­mehr stellt sie eine zusätz­li­che Garan­tie dar,
denn die Auf­sichts­be­hör­de kann, wenn sie es für ange­bracht hält, auf die­se Wei­se über­prü­fen,
wel­che mög­li­chen Aus­wir­kun­gen die Daten­über­mitt­lung auf die Rech­te und Frei­hei­ten der
betrof­fe­nen Per­so­nen hat. Als Bei­trag zur Ein­hal­tung des Grund­sat­zes der Rechen­schafts­pflicht wird
dem Daten­ex­por­teur daher emp­foh­len, alle rele­van­ten Aspek­te der Daten­über­mitt­lung – z. B. das
eige­ne zwin­gen­de berech­tig­te Inter­es­se, die die­sem „gegen­über­ste­hen­den“ Inter­es­sen des
Betrof­fe­nen, die Art der über­mit­tel­ten Daten und den Zweck der Über­mitt­lung – auf­zu­zeich­nen.
Infor­ma­ti­on der betrof­fe­nen Per­son über die Über­mitt­lung und die zwin­gen­den berech­tig­ten
Inter­es­sen
Der Ver­ant­wort­li­che ist ver­pflich­tet, die betrof­fe­ne Per­son über die Über­mitt­lung und über sei­ne
zwin­gen­den berech­tig­ten Inter­es­sen zu infor­mie­ren. Die­se Infor­ma­ti­on muss zusätz­lich zu der nach
Arti­kel 13 und 14 der DSGVO vor­ge­schrie­be­nen Infor­ma­ti­on erteilt werden

Begrif­fe

Was heisst eigent­lich “gele­gent­lich”?

Gele­gent­li­che und nicht wie­der­hol­te Über­mitt­lun­gen
Der EDSA weist dar­auf hin, dass der Begriff „gele­gent­lich“ in Erwä­gungs­grund 111 und der Begriff
„nicht wie­der­holt“ im Zusam­men­hang mit der Aus­nah­me zur Wah­rung „zwin­gen­der berech­tig­ter
Inter­es­sen“ nach Arti­kel 49 Absatz 1 Unter­ab­satz 2 ver­wen­det wer­den. Die­se Begrif­fe deu­ten dar­auf
hin, dass sol­che Über­mitt­lun­gen zwar öfter als ein­mal, aber nicht regel­mä­ßig erfol­gen dür­fen und
sich außer­halb gewöhn­li­cher Abläu­fe zutra­gen, bei­spiels­wei­se unter zufäl­li­gen, unvor­her­ge­se­he­nen
Umstän­den und in belie­bi­gen Zeit­ab­stän­den. Eine Daten­über­mitt­lung etwa, die im Rah­men einer
dau­er­haf­ten Bezie­hung zwi­schen dem Daten­ex­por­teur und einem bestimm­ten Daten­im­por­teur
regel­mä­ßig erfolgt, ist grund­sätz­lich als sys­te­ma­tisch und wie­der­holt anzu­se­hen und kann des­halb
nicht als gele­gent­lich oder nicht wie­der­holt betrach­tet wer­den. Außer­dem gilt etwa eine
Über­mitt­lung im All­ge­mei­nen als nicht gele­gent­lich oder wie­der­holt, wenn der Daten­im­por­teur eine
gene­rel­le direk­te Zugriffs­mög­lich­keit auf eine Daten­bank hat (zum Bei­spiel über eine Schnitt­stel­le zu
einer IT-Anwen­dung).
Aus Erwä­gungs­grund 111 geht aus­drück­lich her­vor, dass die Aus­nah­men auf­grund eines „Ver­trags“
und die Aus­nah­me auf­grund von „Rechts­an­sprü­chen“ (Arti­kel 49 Absatz 1 Unter­ab­satz 1
Buch­sta­ben b, c und e) auf „gele­gent­li­che“ Über­mitt­lun­gen beschränkt sind, wohin­ge­gen bei den
Aus­nah­men auf­grund von „aus­drück­li­cher Ein­wil­li­gung“, „wich­ti­gen Grün­den des öffent­li­chen
Inter­es­ses“, „lebens­wich­ti­gen Inter­es­sen“ und der Über­mitt­lung aus einem „Regis­ter“ nach Arti­kel 49
Absatz 1 Unter­ab­satz 1 Buch­sta­ben a, d, f und g kei­ne sol­che Ein­schrän­kung gilt. Es wird somit
zwi­schen den ein­zel­nen Aus­nah­men dif­fe­ren­ziert.
Gleich­wohl ist anzu­mer­ken, dass auch die­je­ni­gen Aus­nah­men, die nicht aus­drück­lich auf
„gele­gent­li­che“ oder „nicht wie­der­hol­te“ Über­mitt­lun­gen beschränkt sind, so aus­zu­le­gen sind, dass
nicht gegen das Wesen einer Aus­nah­me­re­ge­lung ver­sto­ßen wird, näm­lich dass es sich dabei um eine
Aus­nah­me von der Regel han­delt, dass per­so­nen­be­zo­ge­ne Daten nur dann an ein Dritt­land
über­mit­telt wer­den dür­fen, wenn die­ses Dritt­land ein ange­mes­se­nes Daten­schutz­ni­veau bie­tet oder
alter­na­tiv dazu geeig­ne­te Garan­tien zur Anwen­dung gebracht werden.

Kri­te­ri­um der Erfor­der­lich­keit
Eine über­grei­fen­de Vor­aus­set­zung bei meh­re­ren Aus­nah­men lau­tet, dass die Daten­über­mitt­lung für
einen bestimm­ten Zweck „erfor­der­lich“ sein muss. Um eine mög­li­che Inan­spruch­nah­me der
Aus­nah­men nach Arti­kel 49 Absatz 1 Buch­sta­ben b, c, d, e und f zu beur­tei­len, soll­te daher das
Kri­te­ri­um der Erfor­der­lich­keit ange­wandt wer­den. Im Rah­men die­ses Kri­te­ri­ums muss der
Daten­ex­por­teur in der EU bewer­ten, ob eine Über­mitt­lung per­so­nen­be­zo­ge­ner Daten für den
bestimm­ten Zweck der beab­sich­tig­ten Aus­nah­me­re­ge­lung als erfor­der­lich erach­tet wer­den kann
oder nicht. Wei­te­re Hin­wei­se zur spe­zi­fi­schen Anwen­dung des Kri­te­ri­ums der Erfor­der­lich­keit auf die
betref­fen­den Aus­nah­men sind in den ent­spre­chen­den Abschnit­ten wei­ter unten enthalten.

Wei­te­re Schutzmaßnahmen

Anwen­dungs­fall 1: Daten­spei­che­rung zu Back­up- und ande­ren Zwe­cken, die nicht den Zugang
zu unver­schlüs­sel­ten Daten erfor­dern
79. Ein Daten­ex­por­teur nutzt einen Hos­ting-Anbie­ter in einem Dritt­land zur Spei­che­rung
per­so­nen­be­zo­ge­ner Daten, z. B. für Back­up-Zwe­cke.
Wenn
1. die per­so­nen­be­zo­ge­nen Daten vor der Über­mitt­lung mit einer leis­tungs­fä­hi­gen Metho­de
ver­schlüs­selt wer­den;
2. der Ver­schlüs­se­lungs­al­go­rith­mus und sei­ne Para­me­tri­sie­rung (z. B. ggf. Schlüs­sel­län­ge,
Betriebs­mo­dus) dem Stand der Tech­nik ent­spre­chen und – unter Berück­sich­ti­gung der zur
Ver­fü­gung ste­hen­den Res­sour­cen und tech­ni­schen Mög­lich­kei­ten (z. B. Rechen­leis­tung für Bru­te- Force-Angrif­fe) – Robust­heit gegen die von den Behör­den im Emp­fän­ger­land durch­ge­führ­te
Kryp­to­ana­ly­se bie­ten;
3. die Ver­schlüs­se­lungs­stär­ke den spe­zi­fi­schen Zeit­raum berück­sich­tigt, für den die Ver­trau­lich­keit
der ver­schlüs­sel­ten per­so­nen­be­zo­ge­nen Daten sicher­zu­stel­len ist;
4. der Ver­schlüs­se­lungs­al­go­rith­mus feh­ler­frei durch ord­nungs­ge­mäß gepfleg­te Soft­ware
imple­men­tiert ist, deren Kon­for­mi­tät mit der Spe­zi­fi­ka­ti­on des aus­ge­wähl­ten Algo­rith­mus z. B.
durch Zer­ti­fi­zie­rung bestä­tigt wur­de;
5. die Schlüs­sel zuver­läs­sig ver­wal­tet (erzeugt, ange­wandt, gespei­chert, falls rele­vant, mit der
Iden­ti­tät des vor­ge­se­he­nen Emp­fän­gers ver­knüpft sowie wider­ru­fen) wer­den und
6. die Kon­trol­le über die Schlüs­sel allein beim Daten­ex­por­teur oder bei ande­ren mit die­ser Auf­ga­be
betrau­ten Stel­len im EWR oder in einem Dritt­land, in einem Gebiet oder in einem oder meh­re­ren
Sek­to­ren eines Dritt­lands oder einer inter­na­tio­na­len Orga­ni­sa­ti­on liegt, wobei die Kom­mis­si­on
durch einen Ange­mes­sen­heits­be­schluss gemäß Arti­kel 45 DSGVO fest­ge­stellt hat, dass dort ein
ange­mes­se­nes Schutz­ni­veau gewähr­leis­tet ist;
stellt die vor­ge­nom­me­ne Ver­schlüs­se­lung nach Ansicht des EDSA eine effek­ti­ve zusätz­li­che
Maß­nah­me dar.

Anwen­dungs­fall 2: Über­mitt­lung pseud­ony­mi­sier­ter Daten
80. Ein Daten­ex­por­teur pseud­ony­mi­siert die von ihm gehal­te­nen Daten, bevor er sie zur Ana­ly­se ins
Dritt­land über­mit­telt, z. B. zu For­schungs­zwe­cken.
Wenn
1. der Daten­ex­por­teur die per­so­nen­be­zo­ge­nen Daten in sol­cher Wei­se über­mit­telt, dass die
per­so­nen­be­zo­ge­nen Daten ohne Hin­zu­zie­hung zusätz­li­cher Infor­ma­tio­nen weder einer

spe­zi­fi­schen betrof­fe­nen Per­son zuge­ord­net noch dazu ver­wen­det wer­den kön­nen, die betrof­fe­ne
Per­son in einer grö­ße­ren Grup­pe zu identifizieren69;
2. die zusätz­li­chen Infor­ma­tio­nen allein vom Daten­ex­por­teur und sepa­rat gehal­ten wer­den, und zwar
in einem Mit­glied­staat oder in einem Dritt­land, in einem Gebiet oder in einem oder meh­re­ren
bestimm­ten Sek­to­ren eines Dritt­lands oder bei einer inter­na­tio­na­len Orga­ni­sa­ti­on, wobei die
Kom­mis­si­on durch einen Ange­mes­sen­heits­be­schluss gemäß Arti­kel 45 DSGVO fest­ge­stellt hat,
dass dort ein ange­mes­se­nes Schutz­ni­veau gewähr­leis­tet ist;
3. die Offen­le­gung oder die uner­laub­te Ver­wen­dung der zusätz­li­chen Infor­ma­tio­nen durch geeig­ne­te
tech­ni­sche und orga­ni­sa­to­ri­sche Garan­tien ver­hin­dert wird und sicher­ge­stellt ist, dass die
Kon­trol­le über den Algo­rith­mus oder den Daten­spei­cher, der die Re-Iden­ti­fi­zie­rung anhand der
zusätz­li­chen Infor­ma­tio­nen ermög­licht, allein beim Daten­ex­por­teur liegt, und
4. der Ver­ant­wort­li­che durch gründ­li­che Ana­ly­se der betref­fen­den Daten, unter Berück­sich­ti­gung
sämt­li­cher Infor­ma­tio­nen, die den Behör­den im Emp­fän­ger­land zur Ver­fü­gung ste­hen mögen,
fest­ge­stellt hat, dass die pseud­ony­mi­sier­ten per­so­nen­be­zo­ge­nen Daten kei­ner iden­ti­fi­zier­ten oder
iden­ti­fi­zier­ba­ren natür­li­chen Per­son zuge­ord­net wer­den kön­nen, selbst wenn sie mit der­ar­ti­gen
Infor­ma­tio­nen abge­gli­chen wer­den soll­ten,
stellt die vor­ge­nom­me­ne Pseud­ony­mi­sie­rung nach Ansicht des EDSA eine effek­ti­ve zusätz­li­che
Maß­nah­me dar.
81. Es ist zu beach­ten, dass es häu­fig anhand von für die kör­per­li­che, phy­sio­lo­gi­sche, gene­ti­sche,
psy­chi­sche, wirt­schaft­li­che, kul­tu­rel­le oder sozia­le Iden­ti­tät spe­zi­fi­schen Fak­to­ren, dem Stand­ort oder
der Inter­ak­ti­on einer natür­li­chen Per­son mit Online-Diens­ten zu bestimm­ten Zeitpunkten70 mög­lich
sein dürf­te, die betref­fen­de Per­son zu iden­ti­fi­zie­ren, selbst wenn deren Name, Anschrift oder ande­re
kla­re Iden­ti­fi­ka­ti­ons­merk­ma­le nicht mit­ge­teilt wer­den.
82. Dies gilt ins­be­son­de­re, wenn die Daten die Nut­zung von Infor­ma­ti­ons­diens­ten betref­fen
(Zugriffs­zeit­punkt, Rei­hen­fol­ge der auf­ge­ru­fe­nen Sei­ten, Merk­ma­le des ver­wen­de­ten Geräts usw.). Es
kann durch­aus sein, dass der­ar­ti­ge Diens­te, wie auch der Impor­teur per­so­nen­be­zo­ge­ner Daten,
ver­pflich­tet sind, den Behör­den in ihrem Land Zugriff zu gewäh­ren; die Behör­den wer­den dann
wahr­schein­lich Daten dar­über besit­zen, wie die Zielperson(en) die betref­fen­den Infor­ma­ti­ons­diens­te
nut­zen.
83. Im Hin­blick dar­auf, dass eini­ge Infor­ma­ti­ons­diens­te ohne­hin ihrer Art wegen in öffent­li­cher Wei­se
genutzt wer­den bzw. dass Stel­len, die über erheb­li­che Res­sour­cen ver­fü­gen, sich die­se
Infor­ma­ti­ons­diens­te zunut­ze machen kön­nen, wer­den die Ver­ant­wort­li­chen beson­ders sorg­fäl­tig prü­fen müs­sen, ob die Behör­den in ihrem Land wahr­schein­lich Daten dar­über besit­zen, wie ihre
Ziel­per­so­nen Infor­ma­ti­ons­diens­te nutzen.

Anwen­dungs­fall 3: Ver­schlüs­sel­te Daten im Tran­sit durch Dritt­län­der
84. Ein Daten­ex­por­teur möch­te Daten an einen Bestim­mungs­ort über­mit­teln, für den gemäß Arti­kel 45
DSGVO aner­kannt ist, dass er ein ange­mes­se­nes Schutz­ni­veau bie­tet. Die Daten wer­den ledig­lich im
Tran­sit durch ein Dritt­land durch­ge­lei­tet.
Wenn
1. der Daten­ex­por­teur die per­so­nen­be­zo­ge­nen Daten an einen Daten­im­por­teur in einem Land
über­mit­telt, das ein ange­mes­se­nes Schutz­ni­veau bie­tet, die Daten über das Inter­net über­mit­telt
wer­den und die Daten unter Umstän­den geo­gra­fisch durch ein Dritt­land durch­ge­lei­tet wer­den, das
kein im Wesent­li­chen gleich­wer­ti­ges Schutz­ni­veau bie­tet,
2. eine Trans­port­ver­schlüs­se­lung ver­wen­det wird, für die sicher­ge­stellt ist, dass die ver­wen­de­ten
Ver­schlüs­se­lungs­pro­to­kol­le dem Stand der Tech­nik ent­spre­chen und effek­ti­ven Schutz gegen
akti­ve und pas­si­ve Angrif­fe mit den den Behör­den im Dritt­land zur Ver­fü­gung ste­hen­den
Res­sour­cen bie­ten,
3. die Ent­schlüs­se­lung nur außer­halb des betref­fen­den Dritt­lands mög­lich ist,
4. die an der Kom­mu­ni­ka­tio­nen Betei­lig­ten sich auf eine ver­trau­ens­wür­di­ge Zer­ti­fi­zie­rungs­stel­le oder
Infra­struk­tur für öffent­li­che Schlüs­sel eini­gen,
5. spe­zi­fi­sche und dem Stand der Tech­nik ent­spre­chen­de Schutz­vor­keh­run­gen gegen akti­ve und
pas­si­ve Angrif­fe auf für den Trans­port ver­schlüs­sel­te Daten getrof­fen wer­den,
6. per­so­nen­be­zo­ge­ne Daten auch in der Anwen­dungs­schicht mit dem Stand der Tech­nik
ent­spre­chen­den Ver­schlüs­se­lungs­me­tho­den End-to-End-ver­schlüs­selt wer­den, falls die Erfah­rung
gezeigt hat, dass die Trans­port­ver­schlüs­se­lung allein wegen Schwach­stel­len der ver­wen­de­ten
Infra­struk­tur oder Soft­ware kei­ne geeig­ne­te Sicher­heit bie­ten dürf­te,
7. der Ver­schlüs­se­lungs­al­go­rith­mus und sei­ne Para­me­tri­sie­rung (z. B. ggf. Schlüs­sel­län­ge,
Betriebs­mo­dus) dem Stand der Tech­nik ent­spre­chen und – unter Berück­sich­ti­gung der zur
Ver­fü­gung ste­hen­den Res­sour­cen und tech­ni­schen Mög­lich­kei­ten (z. B. Rechen­leis­tung für Bru­te- Force-Angrif­fe) – der von den Behör­den im Tran­sit­land durch­ge­führ­ten Kryp­to­ana­ly­se
wider­ste­hen;
8. die Ver­schlüs­se­lungs­stär­ke den spe­zi­fi­schen Zeit­raum berück­sich­tigt, für den die Ver­trau­lich­keit
der ver­schlüs­sel­ten per­so­nen­be­zo­ge­nen Daten sicher­zu­stel­len ist;
9. der Ver­schlüs­se­lungs­al­go­rith­mus feh­ler­frei durch ord­nungs­ge­mäß gepfleg­te Soft­ware
imple­men­tiert ist, deren Kon­for­mi­tät mit der Spe­zi­fi­ka­ti­on des aus­ge­wähl­ten Algo­rith­mus z. B.
durch Zer­ti­fi­zie­rung bestä­tigt wur­de;
10. aus­ge­schlos­sen wor­den ist, dass in der Hard­ware oder Soft­ware Hin­ter­tü­ren (Back­doors)
vor­han­den sind,
11. die Schlüs­sel zuver­läs­sig ver­wal­tet (erzeugt, ange­wandt, gespei­chert, falls rele­vant, mit der
Iden­ti­tät des vor­ge­se­he­nen Emp­fän­gers ver­knüpft sowie wider­ru­fen) wer­den und zwar vom
Daten­ex­por­teur oder von einer Stel­le, der der Daten­ex­por­teur ver­traut und die in einem Land
ansäs­sig ist, die ein im Wesent­li­chen gleich­wer­ti­ges Schutz­ni­veau bie­tet,
stellt die Trans­port­ver­schlüs­se­lung, erfor­der­li­chen­falls in Kom­bi­na­ti­on mit End-to-End- Ver­schlüs­se­lung, nach Ansicht des EDSA eine effek­ti­ve zusätz­li­che Maß­nah­me dar.

Anwen­dungs­fall 4: Geschütz­ter Emp­fän­ger
85. Ein Daten­ex­por­teur über­mit­telt per­so­nen­be­zo­ge­ne Daten an einen Daten­im­por­teur in einem
Dritt­land, der nach dem Recht des betref­fen­den Lan­des beson­de­ren Schutz genießt; dies geschieht
z. B. zu dem Zweck der gemein­sa­men ärzt­li­chen Behand­lung eines Pati­en­ten oder der gemein­sa­men
Erbrin­gung von Rechts­dienst­leis­tun­gen für einen Man­dan­ten.
Wenn
1. ein ansäs­si­ger Daten­im­por­teur nach dem Recht des Dritt­lands im Hin­blick auf Daten, die er für
einen bestimm­ten Zweck hält, von Zugrif­fen, die rechts­ver­let­zend sein könn­ten, aus­ge­nom­men ist
(z. B. wegen einer für den Daten­im­por­teur gel­ten­den beruf­li­chen Schwei­ge­pflicht),
2. die­se Aus­nah­me für sämt­li­che im Besitz des Daten­im­por­teurs befind­li­chen Infor­ma­tio­nen gilt, die
dazu ver­wen­det wer­den könn­ten, den Schutz gehei­mer Infor­ma­tio­nen zu umge­hen
(kryp­to­gra­fi­sche Schlüs­sel, Pass­wör­ter, sons­ti­ge Anmel­de­da­ten usw.),
3. der Daten­im­por­teur weder Dienst­leis­tun­gen eines Auf­trags­ver­ar­bei­ters in Anspruch nimmt, die
den Behör­den den Zugriff auf die Daten ermög­li­chen könn­ten, solan­ge sich die­se beim
Auf­trags­ver­ar­bei­ter befin­den, noch die Daten an eine ande­re Stel­le wei­ter­lei­tet, ohne dass dies
auf Grund­la­ge in Arti­kel 46 DSGVO vor­ge­se­he­ner Über­mitt­lungs­in­stru­men­te geschieht,
4. die per­so­nen­be­zo­ge­nen Daten vor der Über­mitt­lung ver­schlüs­selt wer­den, und zwar mit einer
Metho­de, die dem Stand der Tech­nik ent­spricht und die für den gesam­ten Zeit­raum, für den die
Daten zu schüt­zen sind, garan­tiert, dass ohne Kennt­nis des Ent­schlüs­se­lungs­schlüs­sels (End-to- End-Ver­schlüs­se­lung) kei­ne Ent­schlüs­se­lung mög­lich ist,
5. der Ent­schlüs­se­lungs­schlüs­sel sich im allei­ni­gen Gewahr­sam des Daten­im­por­teurs befin­det und
durch tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men, die dem Stand der Tech­nik ent­spre­chen,
ange­mes­sen dage­gen geschützt ist, unbe­fugt benutzt oder offen­ge­legt zu wer­den, und
6. der Daten­ex­por­teur sich zuver­läs­sig davon über­zeugt hat, dass der Ver­schlüs­se­lungs­schlüs­sel, den
er zu benut­zen beab­sich­tigt, zu dem vom Emp­fän­ger gehal­te­nen Ent­schlüs­se­lungs­schlüs­sel passt,
stellt die vor­ge­nom­me­ne Trans­port­ver­schlüs­se­lung nach Ansicht des EDSA eine effek­ti­ve zusätz­li­che
Maß­nah­me dar.

Anwen­dungs­fall 5: Auf­ge­teil­te Ver­ar­bei­tung oder Ver­ar­bei­tung durch meh­re­re Betei­lig­te
(Mul­ti-par­ty Pro­ces­sing)
86. Der Daten­ex­por­teur möch­te eine gemein­sa­me Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch
min­des­tens zwei unab­hän­gi­ge Auf­trags­ver­ar­bei­ter, die in ver­schie­de­nen Län­dern ansäs­sig sind, ohne
die­sen den Daten­in­halt offen­zu­le­gen. Vor der Über­mitt­lung wer­den die Daten so auf­ge­teilt, dass die
Daten, die jeder ein­zel­ne Auf­trags­ver­ar­bei­ter hat, nicht aus­rei­chen, die per­so­nen­be­zo­ge­nen Daten
ganz oder zum Teil zu rekon­stru­ie­ren. Der Daten­ex­por­teur erhält von jedem der Auf­trags­ver­ar­bei­ter
des­sen Ver­ar­bei­tungs­er­geb­nis und fügt deren Ergeb­nis­se zum End­ergeb­nis zusam­men, bei dem es sich
um per­so­nen­be­zo­ge­ne oder agg­re­gier­te Daten han­deln kann.
Wenn
1. ein Daten­ex­por­teur per­so­nen­be­zo­ge­ne Daten so auf­teilt, dass sie in min­des­tens zwei Daten­stü­cke
auf­ge­teilt sind, wobei die ein­zel­nen Daten­stü­cke ohne Ver­wen­dung zusätz­li­cher Infor­ma­tio­nen
nicht mehr inter­pre­tiert oder einer bestimm­ten betrof­fe­nen Per­son zuge­ord­net wer­den kön­nen;
2. jedes der Daten­stü­cke an einen geson­der­ten Auf­trags­ver­ar­bei­ter, der in einem ande­ren Land
ansäs­sig ist, über­mit­telt wird die Auf­trags­ver­ar­bei­ter die Mög­lich­keit haben, die Daten gemein­sam, z. B. unter Ver­wen­dung von
Secu­re Mul­ti-Par­ty Com­pu­ta­ti­on, zu ver­ar­bei­ten, wobei kei­nem von ihnen Infor­ma­tio­nen bekannt
wer­den, die sie nicht bereits vor der Ver­ar­bei­tung besa­ßen;
4. der für die gemein­sa­me Ver­ar­bei­tung ver­wen­de­te Algo­rith­mus Sicher­heit gegen akti­ve Angrei­fer
bie­tet;
5. es kei­ne Anzei­chen für eine Zusam­men­ar­beit der Behör­den in den Län­dern, in denen die ein­zel­nen
Auf­trags­ver­ar­bei­ter ansäs­sig sind, gibt, die es die­sen ermög­li­chen wür­de, sich den Zugang zu
sämt­li­chen Daten­sät­zen der von den Auf­trags­ver­ar­bei­tern gehal­te­nen per­so­nen­be­zo­ge­nen Daten
zu ver­schaf­fen, so dass sie den Inhalt der per­so­nen­be­zo­ge­nen Daten ent­schlüs­seln und nut­zen
könn­ten, um sie in einer Wei­se zu nut­zen, bei der der Wesens­ge­halt der Grund­rech­te und
Grund­frei­hei­ten der betrof­fe­nen Per­so­nen nicht geach­tet wäre. Auch die Behör­den der ein­zel­nen
Län­der dürf­ten nicht ermäch­tigt sein, auf per­so­nen­be­zo­ge­ne Daten zuzu­grei­fen, die von den
Auf­trags­ver­ar­bei­tern in den ver­schie­de­nen betrof­fe­nen Län­dern gehal­ten wer­den;
6. der Ver­ant­wort­li­che durch gründ­li­che Ana­ly­se der betref­fen­den Daten, unter Berück­sich­ti­gung
sämt­li­cher Infor­ma­tio­nen, die den Behör­den in den Emp­fän­ger­län­dern zur Ver­fü­gung ste­hen
mögen, fest­ge­stellt hat, dass die von ihm über­mit­tel­ten Daten­stü­cke kei­ner iden­ti­fi­zier­ten oder
iden­ti­fi­zier­ba­ren natür­li­chen Per­son zuge­ord­net wer­den kön­nen, selbst wenn sie mit der­ar­ti­gen
Infor­ma­tio­nen abge­gli­chen wer­den soll­ten;
stellt die auf­ge­teil­te Ver­ar­bei­tung nach Ansicht des EDSA eine effek­ti­ve zusätz­li­che Maß­nah­me dar.

Die nach­ste­hend beschrie­be­nen Maß­nah­men böten in bestimm­ten Situa­tio­nen kei­ne wirk­sa­me
Gewähr­leis­tung eines im Wesent­li­chen gleich­wer­ti­gen Schutz­ni­veaus für die in das Dritt­land
über­mit­tel­ten Daten. Sie kämen daher nicht als zusätz­li­che Maß­nah­men in Betracht.
Anwen­dungs­fall 6: Über­mitt­lung an Cloud-Ser­vice-Anbie­ter oder ande­re Ver­ar­bei­ter, die
Zugang zu unver­schlüs­sel­ten Daten benö­ti­gen
88. Ein Daten­ex­por­teur beauf­tragt einen Cloud-Ser­vice-Anbie­ter oder ande­ren Auf­trags­ver­ar­bei­ter mit
der Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten, die im Dritt­land nach den Anwei­sun­gen des
Daten­ex­por­teurs erfolgt.
Wenn
1. ein Ver­ant­wort­li­cher Daten an einen Cloud-Ser­vice-Anbie­ter oder sons­ti­gen Auf­trags­ver­ar­bei­ter
über­mit­telt;
2. der Cloud-Ser­vice-Anbie­ter oder sons­ti­ge Auf­trags­ver­ar­bei­ter Zugang zu den unver­schlüs­sel­ten
Daten benö­tigt, um die ihm über­tra­ge­ne Auf­ga­be aus­zu­füh­ren, und
3. die Behör­den im Emp­fän­ger­land mit Befug­nis­sen für den Zugriff auf die über­mit­tel­ten Daten
aus­ge­stat­tet sind, die über das, was in einer demo­kra­ti­schen Gesell­schaft eine not­wen­di­ge und
ver­hält­nis­mä­ßi­ge Maß­nah­me dar­stellt, hinausgehen71
, ist für den EDSA nach dem heu­ti­gen Stand der Tech­nik kei­ne wirk­sa­me tech­ni­sche Maß­nah­me
vor­stell­bar, die im Fal­le eines sol­chen Zugangs die Ver­let­zung der Rech­te betrof­fe­ner Per­so­nen
ver­hin­dern könn­te. Der EDSA schließt nicht aus, dass durch künf­ti­ge tech­ni­sche Ent­wick­lun­gen
Maß­nah­men mög­lich wer­den könn­ten, die die beab­sich­tig­ten Geschäfts­zwe­cke erfül­len, ohne dass
Zugang zu den unver­schlüs­sel­ten Daten benö­tigt wür­de.
89. In den vor­ge­nann­ten Sze­na­ri­en, in denen der Auf­trags­ver­ar­bei­ter für sei­ne Dienst­leis­tung
unver­schlüs­sel­te per­so­nen­be­zo­ge­ne Daten benö­tigt, stel­len Trans­port­ver­schlüs­se­lung und Data-at- Rest-Ver­schlüs­se­lung – selbst in der Kom­bi­na­ti­on – kei­ne zusätz­li­che Maß­nah­me dar, die ein im
Wesent­li­chen gleich­wer­ti­ges Schutz­ni­veau gewähr­leis­tet, wenn der Daten­im­por­teur im Besitz der
kryp­to­gra­fi­schen Schlüs­sel ist.

Die nach­ste­hend beschrie­be­nen Maß­nah­men böten in bestimm­ten Situa­tio­nen kei­ne wirk­sa­me
Gewähr­leis­tung eines im Wesent­li­chen gleich­wer­ti­gen Schutz­ni­veaus für die in das Dritt­land
über­mit­tel­ten Daten. Sie kämen daher nicht als zusätz­li­che Maß­nah­men in Betracht.
Anwen­dungs­fall 6: Über­mitt­lung an Cloud-Ser­vice-Anbie­ter oder ande­re Ver­ar­bei­ter, die
Zugang zu unver­schlüs­sel­ten Daten benö­ti­gen
88. Ein Daten­ex­por­teur beauf­tragt einen Cloud-Ser­vice-Anbie­ter oder ande­ren Auf­trags­ver­ar­bei­ter mit
der Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten, die im Dritt­land nach den Anwei­sun­gen des
Daten­ex­por­teurs erfolgt.
Wenn
1. ein Ver­ant­wort­li­cher Daten an einen Cloud-Ser­vice-Anbie­ter oder sons­ti­gen Auf­trags­ver­ar­bei­ter
über­mit­telt;
2. der Cloud-Ser­vice-Anbie­ter oder sons­ti­ge Auf­trags­ver­ar­bei­ter Zugang zu den unver­schlüs­sel­ten
Daten benö­tigt, um die ihm über­tra­ge­ne Auf­ga­be aus­zu­füh­ren, und
3. die Behör­den im Emp­fän­ger­land mit Befug­nis­sen für den Zugriff auf die über­mit­tel­ten Daten
aus­ge­stat­tet sind, die über das, was in einer demo­kra­ti­schen Gesell­schaft eine not­wen­di­ge und
ver­hält­nis­mä­ßi­ge Maß­nah­me dar­stellt, hinausgehen71
, ist für den EDSA nach dem heu­ti­gen Stand der Tech­nik kei­ne wirk­sa­me tech­ni­sche Maß­nah­me
vor­stell­bar, die im Fal­le eines sol­chen Zugangs die Ver­let­zung der Rech­te betrof­fe­ner Per­so­nen
ver­hin­dern könn­te. Der EDSA schließt nicht aus, dass durch künf­ti­ge tech­ni­sche Ent­wick­lun­gen
Maß­nah­men mög­lich wer­den könn­ten, die die beab­sich­tig­ten Geschäfts­zwe­cke erfül­len, ohne dass
Zugang zu den unver­schlüs­sel­ten Daten benö­tigt wür­de.
89. In den vor­ge­nann­ten Sze­na­ri­en, in denen der Auf­trags­ver­ar­bei­ter für sei­ne Dienst­leis­tung
unver­schlüs­sel­te per­so­nen­be­zo­ge­ne Daten benö­tigt, stel­len Trans­port­ver­schlüs­se­lung und Data-at- Rest-Ver­schlüs­se­lung – selbst in der Kom­bi­na­ti­on – kei­ne zusätz­li­che Maß­nah­me dar, die ein im
Wesent­li­chen gleich­wer­ti­ges Schutz­ni­veau gewähr­leis­tet, wenn der Daten­im­por­teur im Besitz der
kryp­to­gra­fi­schen Schlüs­sel ist.

Ver­trag­li­che Ver­pflich­tung zur Ver­wen­dung spe­zi­fi­scher tech­ni­scher Maß­nah­men
97. Je nach den jewei­li­gen Umstän­den der Über­mitt­lun­gen kann es sein, dass im Ver­trag vor­ge­se­hen
muss, dass die Über­mitt­lun­gen nur statt­fin­den kön­nen, wenn bestimm­te tech­ni­sche Maß­nah­men
ergrif­fen wor­den sind (vgl. dazu die obi­gen Erläu­te­run­gen zu tech­ni­schen Maß­nah­men).
98. Wirk­sam­keits­vor­aus­set­zun­gen:
- Die­se Klau­sel könn­te in den Fäl­len effek­tiv sein, in denen der Daten­ex­por­teur erkannt hat,
dass tech­ni­sche Maß­nah­men erfor­der­lich sind. Sie müss­te dann rechts­ver­bind­lich ver­ein­bart
wer­den, damit sicher­ge­stellt ist, dass sich der Daten­im­por­teur erfor­der­li­chen­falls dazu
ver­pflich­tet hat, die not­wen­di­gen tech­ni­schen Maß­nah­men zu ergreifen.

Trans­pa­renz­an­for­de­run­gen:
99. Der Daten­ex­por­teur könn­te dem Ver­trag Anhän­ge mit vom Daten­im­por­teur nach bes­ten Kräf­ten
bei­zu­brin­gen­den Infor­ma­tio­nen über den behörd­li­chen (auch nach­rich­ten­dienst­li­chen) Daten­zu­griff
im Bestim­mungs­land hin­zu­fü­gen, vor­aus­ge­setzt die Rechts­vor­schrif­ten ste­hen mit den
„Wesent­li­chen euro­päi­schen Garan­tien“ des EDSA in Ein­klang. Dies könn­te dem Daten­ex­por­teur
hel­fen, sei­ne Beur­tei­lung des Schutz­ni­veaus im Dritt­land zu doku­men­tie­ren, wozu er ver­pflich­tet ist.
100. Der Daten­im­por­teur könn­te z. B. ver­pflich­tet wer­den:
(1) die ein­schlä­gi­gen Geset­ze und Ver­ord­nun­gen des Bestim­mungs­lands auf­zu­füh­ren, denen
der Daten­im­por­teur oder sei­ne (Unter-)Auftragsverarbeiter sowie die über­mit­tel­ten Daten
unter­lie­gen und die den Behör­den den Zugriff auf die über­mit­tel­ten per­so­nen­be­zo­ge­nen
Daten ins­be­son­de­re zu nach­rich­ten­dienst­li­chen, Strafverfolgungs‑, Ver­wal­tungs- und
Auf­sichts­zwe­cken gestat­ten wür­den;
(2) falls es kei­ne Rechts­vor­schrif­ten gibt, die den behörd­li­chen Daten­zu­griff regeln,
Infor­ma­tio­nen und Sta­tis­ti­ken zu lie­fern, die auf der Erfah­rung des Daten­im­por­teurs oder auf
Berich­ten aus ver­schie­de­nen Quel­len (z. B. Part­ner, all­ge­mein zugäng­li­che Quel­len,
Gerichts­ent­schei­dun­gen und auf­sichts­be­hörd­li­che Ent­schei­dun­gen im betref­fen­den Land)
über den behörd­li­chen Zugriff auf per­so­nen­be­zo­ge­ne Daten der Art beru­hen, um die es bei
der betref­fen­den Daten­über­mitt­lung geht (d. h. in dem spe­zi­fi­schen regu­la­to­ri­schen Bereich;
für Unter­neh­men von der Art des Daten­im­por­teurs, usw.);
(3) anzu­ge­ben, wel­che Maß­nah­men (ggf.) ergrif­fen wer­den, um den Zugang auf die
über­mit­tel­ten Daten zu ver­hin­dern;
(4) hin­rei­chend detail­lier­te Anga­ben über alle behörd­li­chen Ersu­chen um Gewäh­rung des
Zugangs zu per­so­nen­be­zo­ge­nen Daten zu machen, die der Daten­im­por­teur in einem
bestimm­ten Zeit­raum erhal­ten hat77, ins­be­son­de­re in den oben unter (1) genann­ten
Berei­chen; mit Anga­ben zu den ihm zuge­gan­ge­nen Ersu­chen, den ange­for­der­ten Daten, der ersu­chen­den Behör­de und der Rechts­grund­la­ge für die Offen­le­gung sowie dazu, in wel­chem
Umfang der Daten­im­por­teur dem Ersu­chen nach­ge­kom­men ist;78
(5) anzu­ge­ben, ob und inwie­weit es dem Daten­im­por­teur recht­lich unter­sagt ist, die oben
unter (1) bis (5) auf­ge­führ­ten Anga­ben zu machen.
101. Die­se Infor­ma­tio­nen könn­ten mit einem klar geglie­der­ten Fra­ge­bo­gen erfasst wer­den, der vom
Daten­im­por­teur aus­zu­fül­len und zu unter­zeich­nen wäre, wobei der Daten­im­por­teur dar­über hin­aus
ver­trag­lich zu ver­pflich­ten wäre, Ver­än­de­run­gen bezüg­lich die­ser Anga­ben bin­nen einer bestimm­ten
Frist mit­zu­tei­len, so wie es z. B. in Due-Dili­gence-Ver­fah­ren üblich ist.
102. Wirk­sam­keits­vor­aus­set­zun­gen:
- Der Daten­im­por­teur muss dem Daten­ex­por­teur die­se Infor­ma­tio­nen, um deren Beschaf­fung
er sich nach bes­ten Kräf­ten bemü­hen muss, nach sei­nem bes­ten Wis­sen mit­tei­len können.79
- Die­se dem Daten­im­por­teur auf­er­leg­te Ver­pflich­tung soll sicher­stel­len, dass sich der
Daten­ex­por­teur der mit der Über­mitt­lung der Daten in ein Dritt­land ver­bun­de­nen Risi­ken
bewusst wird und bewusst bleibt. Sie ver­setzt den Daten­ex­por­teur in die Lage, vom
Ver­trags­ab­schluss abzu­se­hen oder, falls sich die Infor­ma­tio­nen nach Ver­trags­ab­schluss
ändern, sei­ne Ver­pflich­tung zur Aus­set­zung der Über­mitt­lung und/oder zum Rück­tritt vom
Ver­trag zu erfül­len, falls die Rechts­la­ge im Dritt­land, die im ver­wen­de­ten
Über­mitt­lungs­in­stru­ment in Arti­kel 46 DSGVO ent­hal­te­nen Garan­tien oder jeg­li­che
zusätz­li­chen Garan­tien, die ver­ein­bart wor­den sein mögen, nicht mehr ein dem Schutz­ni­veau
in der EU im Wesent­li­chen gleich­wer­ti­ges Schutz­ni­veau sicher­zu­stel­len ver­mö­gen. Die­se
Ver­pflich­tung kann jedoch weder eine Offen­le­gung per­so­nen­be­zo­ge­ner Daten durch den
Daten­im­por­teur recht­fer­ti­gen, noch Grund zu der Erwar­tung geben, dass es kei­ne wei­te­ren
Offen­le­gungs­er­su­chen mehr geben wird.**

Der Daten­ex­por­teur könn­te auch Klau­seln hin­zu­fü­gen, in denen der Daten­im­por­teur bestä­tigt,
(1) dass er nicht absicht­lich Hin­ter­tü­ren (back doors) oder Ähn­li­ches pro­gram­miert hat, was dazu
genutzt wer­den könn­te, auf das Sys­tem und/oder die per­so­nen­be­zo­ge­nen Daten zuzu­grei­fen;
(2) dass er nicht absicht­lich sei­ne Geschäfts­pro­zes­se so ein­ge­rich­tet oder geän­dert hat, dass der
Zugriff auf per­so­nen­be­zo­ge­ne Daten oder Sys­te­me mög­lich ist; und (3) dass der Daten­im­por­teur
auf­grund natio­na­len Rechts bzw. der Regie­rungs­po­li­tik weder ver­pflich­tet ist, Hin­ter­tü­ren (back
doors) zu schaf­fen oder auf­recht­zu­er­hal­ten, noch ver­pflich­tet ist, per­so­nen­be­zo­ge­ne Daten oder
Sys­te­me zugäng­lich zu machen oder den Ver­schlüs­se­lungs­schlüs­sels besit­zen oder her­aus­ge­ben zu
müssen.80
104. Wirk­sam­keits­vor­aus­set­zun­gen:
- Wenn Daten­im­por­teu­re auf­grund der Rechts­vor­schrif­ten oder der Regie­rungs­po­li­tik dar­an
gehin­dert sind, die­se Infor­ma­tio­nen mit­zu­tei­len, könn­te die­se Klau­sel unwirk­sam sein. Der­Da­ten­im­por­teur wird dann den Ver­trag nicht abschlie­ßen kön­nen oder er wird dem
Daten­ex­por­teur mit­tei­len müs­sen, dass er nicht wei­ter in der Lage ist, sei­ne ver­trag­li­chen
Ver­pflich­tun­gen zu erfüllen.81
- Der Ver­trag muss für den Fall, dass der Daten­im­por­teur nicht angibt, dass es Hin­ter­tü­ren
(back doors) oder ähn­li­che Pro­gramm­tei­le oder mani­pu­lier­te Geschäfts­pro­zes­se oder
Ver­pflich­tun­gen zu deren Imple­men­tie­rung gibt, oder dass er den Daten­ex­por­teur nicht
umge­hend ver­stän­digt, sobald ihm bekannt wird, dass sol­che vor­han­den sind, Ver­trags­stra­fen
und/oder für den Daten­ex­por­teur die Mög­lich­keit vor­se­hen, den Ver­trag kurz­fris­tig zu
kün­di­gen.

Der Daten­ex­por­teur könn­te sei­ne Befug­nis, die Daten­ver­ar­bei­tungs­ein­rich­tun­gen des
Daten­im­por­teurs vor Ort und/oder aus der Fer­ne Prüfungen82 oder Inspek­tio­nen zu unter­zie­hen,
ver­stär­ken, um zu über­prü­fen, ob Daten Behör­den gegen­über offen­ge­legt wur­den und, falls ja, zu
wel­chen Bedin­gun­gen (der Zugang darf nicht über das hin­aus­ge­hen, was in einer demo­kra­ti­schen
Gesell­schaft eine not­wen­di­ge und ver­hält­nis­mä­ßi­ge Maß­nah­me dar­stellt); dabei kom­men z. B. kur­ze
Ankün­di­gungs­fris­ten und Mecha­nis­men in Betracht, die ein schnel­les Han­deln der Prüf­gre­mi­en
gewähr­leis­ten und die Ent­schei­dungs­kom­pe­tenz des Daten­im­por­teurs bei der Aus­wahl der
Prüf­gre­mi­en stär­ken.
106. Wirk­sam­keits­vor­aus­set­zun­gen:
- Vol­le Wirk­sam­keit setzt vor­aus, dass der Prü­fungs­um­fang die recht­li­chen und tech­ni­schen
Aspek­te aller von den Auf­trags­ver­ar­bei­tern und Unter­auf­trags­ver­ar­bei­tern des
Daten­im­por­teurs durch­ge­führ­ten Ver­ar­bei­tun­gen der in das Dritt­land über­mit­tel­ten
per­so­nen­be­zo­ge­nen Daten umfasst. — Zugriffs­pro­to­kol­le und ähn­li­che Prüf­pfa­de soll­ten fäl­schungs­si­cher sein, damit die Prü­fer
Offen­le­gun­gen fest­stel­len kön­nen. Zugriffs­pro­to­kol­le und ähn­li­che Prüf­pfa­de soll­ten zwi­schen
Zugrif­fen im Rah­men des gewöhn­li­chen Geschäfts­be­triebs und Zugrif­fen, die auf Anord­nung
der Daten­of­fen­le­gung oder ent­spre­chen­de Ersu­chen hin erfol­gen, unterscheiden.

Auch wenn die ers­te Beur­tei­lung des Rechts und der Pra­xis im Dritt­land ergibt, dass die­ses für die
vom Daten­ex­por­teur über­mit­tel­ten Daten ein Schutz­ni­veau bie­tet, dass dem in der EU im
Wesent­li­chen gleich­wer­tig ist, könn­te der Daten­ex­por­teur den­noch dem Daten­im­por­teur wei­te­re
Ver­pflich­tun­gen auf­er­le­gen, etwa, dass die­ser den Daten­ex­por­teur umge­hend benach­rich­ti­gen
muss, wenn er sei­ne ver­trag­li­chen Ver­pflich­tun­gen – und damit das erfor­der­li­che „im Wesent­li­chen
gleich­wer­ti­ge Schutz­ni­veau“ – nicht mehr ein­hal­ten kann.83.

 

Grund dafür, dass Ver­pflich­tun­gen nicht mehr ein­ge­hal­ten wer­den kön­nen, kön­nen Ände­run­gen der
Rechts­vor­schrif­ten oder Pra­xis im Dritt­land sein.84 Die Klau­seln könn­ten spe­zi­fi­sche und strikt
ein­zu­hal­ten­de Fris­ten und Ver­fah­ren für die umge­hen­de Aus­set­zung der Daten­über­mitt­lung und/oder
den Rück­tritt vom Ver­trag sowie für die Rück­ga­be oder Löschung der emp­fan­ge­nen Daten durch den
Daten­im­por­teur vor­se­hen. Wenn der Daten­ex­por­teur den Über­blick über die ergan­ge­nen
Offen­le­gungs­er­su­chen, deren Gegen­stand und die Effek­ti­vi­tät der dage­gen getrof­fe­nen Maß­nah­men
behält, dürf­te er genü­gend Infor­ma­tio­nen haben, um sei­ne Pflicht zur Aus­set­zung oder Ein­stel­lung der
Über­mitt­lung und/oder zum Rück­tritt vom Ver­trag erfül­len zu kön­nen.
109. Wirk­sam­keits­vor­aus­set­zun­gen:
- Die Benach­rich­ti­gung muss erfolg­ten, bevor der Zugriff auf die Daten gewährt wird.
Andern­falls könn­ten die Rech­te der natür­li­chen Per­son zu dem Zeit­punkt, zu dem der
Daten­ex­por­teur die Benach­rich­ti­gung erhält, bereits ver­letzt wor­den sein (wenn näm­lich das
Ersu­chen auf Rechts­vor­schrif­ten des Dritt­lands beruht, die Ein­grif­fe gestat­ten, die über die
nach Uni­ons­recht zuläs­si­gen Ein­grif­fe hin­aus­ge­hen). Die Benach­rich­ti­gung könn­te aber immer
noch dazu die­nen, künf­ti­ge Ver­let­zun­gen zu ver­hin­dern und dem Daten­ex­por­teur die
Ein­hal­tung sei­ner Pflicht zur Aus­set­zung der Über­mitt­lung der per­so­nen­be­zo­ge­nen Daten in
das Dritt­land und/oder zum Rück­tritt vom Ver­trag zu ermög­li­chen. — Der Daten­im­por­teur muss alle recht­li­chen und poli­ti­schen Ent­wick­lun­gen über­wa­chen, die
dazu füh­ren könn­ten, dass er sei­ne Ver­pflich­tun­gen nicht mehr erfül­len kann; und er muss den
Daten­ex­por­teur unver­züg­lich über alle der­ar­ti­gen Ände­run­gen und Ent­wick­lun­gen
unter­rich­ten (falls mög­lich noch vor deren Inkraft­tre­ten), damit der Daten­ex­por­teur die
Mög­lich­keit hat, die Daten vom Daten­im­por­teur zurück­zu­er­lan­gen. — Die Klau­seln soll­ten für den Fall, dass eine bestimm­te, zwi­schen Daten­ex­por­teur und
Daten­im­por­teur ver­ein­bar­te Schwel­le erreicht wird, ein schnel­les Ver­fah­ren vor­se­hen, durch
das der Daten­ex­por­teur dem Daten­im­por­teur gestat­tet, die Daten umge­hend zu sichern oder
an den Daten­ex­por­teur zurück­zu­ge­ben oder, falls dies nicht mög­lich ist, die Daten zu löschen
oder sicher zu ver­schlüs­seln, ohne not­wen­di­ger­wei­se Anwei­sun­gen des Daten­ex­por­teurs
abwar­ten zu müs­sen. Der Daten­im­por­teur soll­te die­ses Ver­fah­ren gleich zu Beginn der
Daten­über­mitt­lung imple­men­tie­ren und es regel­mä­ßig tes­ten, um sicher­zu­stel­len, dass es
kurz­fris­tig ange­wen­det wer­den kann. — In wei­te­ren Klau­seln könn­te dem Daten­ex­por­teur die Befug­nis ein­ge­räumt wer­den, die
Ein­hal­tung die­ser Ver­pflich­tun­gen durch den Daten­im­por­teur durch Prü­fun­gen, Inspek­tio­nen
und ande­re Über­prü­fungs­maß­nah­men zu über­wa­chen und mit dem Daten­im­por­teur
dro­hen­den Ver­trags­stra­fen durch­zu­set­zen bzw. die Über­mitt­lung aus­zu­set­zen und/oder
frist­los vom Ver­trag zurückzutreten.

 

Soweit dies nach dem natio­na­len Recht des Dritt­lands gestat­tet ist, könn­te der Ver­trag die
Trans­pa­renz­pflich­ten des Daten­im­por­teurs ver­stär­ken, indem die­sem auf­er­legt wird, regel­mä­ßig
(z. B. min­des­tens alle 24 Stun­den) „War­rant Canary“-Erklärungen abzu­ge­ben. Die­se Erklä­run­gen sind
kryp­to­gra­fisch signier­te Mit­tei­lun­gen, mit denen der Daten­ex­por­teur infor­miert wird, dass dem
Daten­im­por­teur bis zu einem bestimm­ten Zeit­punkt (Datum und Uhr­zeit) kein Ersu­chen um
Offen­le­gung per­so­nen­be­zo­ge­ner Daten o. Ä. zuge­gan­gen ist. Wenn eine sol­che Erklä­rung dann
aus­bleibt, ist das für den Daten­ex­por­teur ein Hin­weis dar­auf, dass dem Daten­im­por­teur ein sol­ches
Ersu­chen zuge­gan­gen sein könn­te.
111. Wirk­sam­keits­vor­aus­set­zun­gen:
- Nach den Vor­schrif­ten im Dritt­land muss es dem Daten­im­por­teur gestat­tet sein, dem
Daten­ex­por­teur eine sol­che Benach­rich­ti­gung in pas­si­ver Form zukom­men zu las­sen. — Der Daten­ex­por­teur muss den Ein­gang der „Warrant-Canary“-Erklärungen auto­ma­tisch
über­wa­chen. — Der Daten­im­por­teur muss sicher­stel­len, dass sein pri­va­ter Schlüs­sel zum Signie­ren der
„Warrant-Canary“-Erklärung sicher ist und dass er nicht nach den Vor­schrif­ten im Dritt­land
gezwun­gen wer­den kann, fal­sche „Warrant-Canary“-Erklärungen abzu­ge­ben. Es könn­te
des­halb nütz­lich sein, wenn meh­re­re Signa­tu­ren ver­schie­de­ner Per­so­nen erfor­der­lich wären
und/oder wenn die „Warrant-Canary“-Erklärung von einer Per­son außer­halb des gericht­li­chen
Zustän­dig­keits­be­reichs des Dritt­lands abge­ge­ben würde.

der betrof­fe­nen Per­so­nen hät­ten nur begrenz­te Wir­kung, da die­se nur Scha­dens­er­satz für die nega­ti­ven Fol­gen der Daten­of­fen­le­gung for­dern könn­ten. — Der Daten­im­por­teur muss die Maß­nah­men, die er nach bes­ten Kräf­ten zur Erfül­lung die­ser Ver­pflich­tung ergrif­fen hat, doku­men­tie­ren und dem Daten­ex­por­teur nach­wei­sen können.

Ver­pflich­tun­gen zum Ergrei­fen bestimm­ter Maß­nah­men
112. Der Daten­im­por­teur könn­te sich ver­pflich­ten, die Recht­mä­ßig­keit jeg­li­cher Anord­nun­gen der
Daten­of­fen­le­gung nach dem Recht des Bestim­mungs­lands zu prü­fen, ins­be­son­de­re im Hin­blick
dar­auf, ob die Behör­de befugt ist, um Offen­le­gung zu ersu­chen, sowie gegen die Anord­nung
vor­zu­ge­hen, falls er zu dem Schluss gelangt, dass es nach dem Recht des Bestim­mungs­lands guten
Grund dafür gibt, sich zur Wehr zu set­zen. Wenn der Daten­im­por­teur gegen eine Anord­nung vor­geht,
soll­te er einst­wei­li­gen Rechts­schutz bean­tra­gen, damit die Anord­nung erst voll­zo­gen wer­den kann,
wenn das Gericht abschlie­ßend über die Sache ent­schie­den hat. Der Daten­im­por­teur könn­te sich
ver­pflich­ten, die per­so­nen­be­zo­ge­nen Daten nicht offen­zu­le­gen, solan­ge er nicht nach den
ein­schlä­gi­gen Ver­fah­rens­re­geln dazu ver­pflich­tet ist. Außer­dem könn­te sich der Daten­im­por­teur für
den Fall, dass er einer Anord­nung Fol­ge leis­ten muss, ver­pflich­ten, nur die Min­dest­men­ge an
Infor­ma­tio­nen mit­zu­tei­len, die – bei ange­mes­se­ner Aus­le­gung der Anord­nung – genügt.
113. Wirk­sam­keits­vor­aus­set­zun­gen:
- Die Rechts­ord­nung des Dritt­lands muss wirk­sa­men Rechts­schutz bie­ten, der ein Vor­ge­hen
gegen Anord­nun­gen der Daten­of­fen­le­gung ermög­licht. — Der zusätz­li­che Schutz, den die­se Klau­sel bie­tet, wird sich stets in Gren­zen hal­ten, da eine
Anord­nung der Daten­of­fen­le­gung nach der Rechts­ord­nung des Dritt­lands durch­aus
recht­mä­ßig sein könn­te; es kann aber sein, dass die betref­fen­de Rechts­ord­nung den
uni­ons­recht­li­chen Stan­dards nicht genügt. Die­se ver­trag­li­che Maß­nah­me kann des­halb
allen­falls ande­re zusätz­li­che Maß­nah­men ergän­zen. — Die gegen Anord­nun­gen gege­be­nen Rechts­be­hel­fe müs­sen nach dem Recht des Dritt­lands
auf­schie­ben­de Wir­kung (Sus­pen­siv­ef­fekt) haben. Andern­falls wäre es den Behör­den immer
noch mög­lich, auf die Daten natür­li­cher Per­so­nen zuzu­grei­fen, und alle spä­te­ren Rechts­be­hel­fe der betrof­fe­nen Per­so­nen hät­ten nur begrenz­te Wir­kung, da die­se nur Scha­dens­er­satz für die nega­ti­ven Fol­gen der Daten­of­fen­le­gung for­dern könn­ten. — Der Daten­im­por­teur muss die Maß­nah­men, die er nach bes­ten Kräf­ten zur Erfül­lung die­ser Ver­pflich­tung ergrif­fen hat, doku­men­tie­ren und dem Daten­ex­por­teur nach­wei­sen können.

Befug­nis der betrof­fe­nen Per­so­nen zur Aus­übung ihrer Rech­te
116. Der Ver­trag könn­te vor­se­hen, dass der Zugriff auf per­so­nen­be­zo­ge­ne Daten, die im gewöhn­li­chen
Geschäfts­gang (ein­schließ­lich in Sup­port­fäl­len) unver­schlüs­selt über­mit­telt wer­den, nur mit
aus­drück­li­cher oder impli­zi­ter Zustim­mung des Daten­ex­por­teurs und/oder der betrof­fe­nen Per­son
gestat­tet ist.
117. Wirk­sam­keits­vor­aus­set­zun­gen:
- Die­se Klau­sel könn­te in Situa­tio­nen effek­tiv sein, in denen Daten­im­por­teu­re von Behör­den
zur frei­wil­li­gen Zusam­men­ar­beit auf­ge­for­dert wer­den – wenn es sich also nicht um einen behörd­li­chen Zugriff han­delt, der ohne Wis­sen des Daten­im­por­teurs oder gegen des­sen Wil­len
erfolgt. — Zuwei­len mag es der betrof­fe­nen Per­son nicht mög­lich sein, sich gegen den Zugriff zur Wehr
zu set­zen oder eine Zustim­mung zu ertei­len, die allen uni­ons­recht­li­chen Anfor­de­run­gen genügt
(also eine frei­wil­lig für den bestimm­ten Fall, in infor­mier­ter Wei­se und unmiss­ver­ständ­lich
abge­ge­be­ne Wil­lens­be­kun­dung dar­stellt) (etwa im Fall von Arbeitnehmern)86
. — Natio­na­le Rechts­vor­schrif­ten oder Grund­sät­ze, die dem Daten­im­por­teur die Offen­le­gung der
Zugriffs­an­ord­nung unter­sa­gen, kön­nen dazu füh­ren, dass die­se Klau­sel wir­kungs­los ist, wenn
sie nicht um tech­ni­sche Metho­den ergänzt wird, die zur Daten­ent­schlüs­se­lung der Mit­wir­kung
des Daten­ex­por­teurs oder der betrof­fe­nen Per­son bedür­fen. Sol­che tech­ni­schen Maß­nah­men
zur Zugriffs­be­schrän­kung kön­nen ins­be­son­de­re dann in Betracht kom­men, wenn der Zugriff
nur für kon­kre­te Sup­port- oder Ser­vice­leis­tun­gen gewährt wird, die Daten selbst aber im EWR
gespei­chert sind.

Der Ver­trag könn­te den Daten­im­por­teur und/oder Daten­ex­por­teur ver­pflich­ten, die betrof­fe­ne
Per­son unver­züg­lich über im Dritt­land ergan­ge­ne behörd­li­che Ersu­chen oder Anord­nun­gen oder aber
dar­über, dass der Daten­im­por­teur sei­ne ver­trag­li­chen Ver­pflich­tun­gen nicht ein­hal­ten kann, zu
unter­rich­ten, damit die betrof­fe­ne Per­son Infor­ma­tio­nen ein­ho­len und einen wirk­sa­men
Rechts­be­helf ein­le­gen kann (indem sie z. B. bei der zustän­di­gen Auf­sichts­be­hör­de Beschwer­de
ein­legt oder beim zustän­di­gen Gericht Kla­ge erhebt und ihr Recht­schutz­in­ter­es­se bei den Gerich­ten
im Dritt­land gel­tend macht).
119. Wirk­sam­keits­vor­aus­set­zun­gen:
- Die Benach­rich­ti­gung könn­te die betrof­fe­ne Per­son war­nen, dass ihre Daten im Dritt­land
mög­li­cher­wei­se behörd­li­chen Zugrif­fen aus­ge­setzt sind. Die betrof­fe­ne Per­son könn­te
zusätz­li­che Infor­ma­tio­nen beim Daten­ex­por­teur anfor­dern und bei ihrer zustän­di­gen
Auf­sichts­be­hör­de Beschwer­de ein­le­gen. Die­se Klau­sel könn­te auch eini­gen der
Schwie­rig­kei­ten ent­ge­gen­wir­ken, die eine natür­li­che Per­son vor den Gerich­ten im Dritt­land
beim Nach­weis ihres Rechts­schutz­in­ter­es­ses (Kla­ge­be­fug­nis) bezüg­lich des behörd­li­chen
Zugriffs auf ihre Daten haben kann. — Es kann sein, dass es natio­na­le Rechts­vor­schrif­ten und Grund­sät­ze gibt, die der Unter­rich­tung
der betrof­fe­nen Per­son ent­ge­gen­ste­hen. Daten­ex­por­teur und Daten­im­por­teur könn­ten sich
den­noch ver­pflich­ten, die betrof­fe­ne Per­son zu unter­rich­ten, sobald die Beschrän­kun­gen zur
Daten­of­fen­le­gung auf­ge­ho­ben sind, sowie sich nach bes­ten Kräf­ten zu bemü­hen, einen
Ver­zicht auf das Offen­le­gungs­ver­bot zu erwir­ken. Zumin­dest soll­te der Daten­ex­por­teur oder
die zustän­di­ge Auf­sichts­be­hör­de die betrof­fe­ne Per­son dar­über unter­rich­ten kön­nen, dass die
Über­mitt­lung ihrer per­so­nen­be­zo­ge­nen Daten aus­ge­setzt oder been­det wur­de, weil der
Daten­im­por­teur sei­ne ver­trag­li­chen Ver­pflich­tun­gen wegen eines Zugriffs­er­su­chens nicht
mehr ein­hal­ten konnte.

Der Ver­trag könn­te den Daten­ex­por­teur und Daten­im­por­teur ver­pflich­ten, der betrof­fe­nen Per­son
zu hel­fen, ihre Rech­te im Dritt­land aus­zu­üben, etwa durch indi­vi­du­ell ver­ein­bar­te
Rechts­schutz­me­cha­nis­men und Rechts­be­ra­tung.
121. Wirk­sam­keits­vor­aus­set­zun­gen:
- Es kann sein, dass es natio­na­le Rechts­vor­schrif­ten und Grund­sät­ze gibt, die die Wirk­sam­keit
der indi­vi­du­ell ver­ein­bar­ten Rechts­schutz­me­cha­nis­men unter­gra­ben. — Rechts­be­ra­tung für die betrof­fe­ne Per­son könn­te nütz­lich sein, ins­be­son­de­re wenn man
bedenkt, wie kom­pli­ziert und kost­spie­lig es für die betrof­fe­ne Per­son sein kann, die
Rechts­ord­nung des Dritt­lands zu ver­ste­hen und im Aus­land den Rechts­weg zu beschrei­ten,
mög­li­cher­wei­se auch noch in einer frem­den Spra­che. Der zusätz­li­che Schutz, den die­se Klau­sel
bie­tet, wird sich jedoch immer in Gren­zen hal­ten, da es mit Hil­fe und Rechts­be­ra­tung für
betrof­fe­ne Per­so­nen allein nicht getan ist, wenn die Rechts­ord­nung des Dritt­lands kein
Schutz­ni­veau bie­tet, das dem in der EU gewähr­leis­te­ten Schutz­ni­veau im Wesent­li­chen
gleich­wer­tig ist. Die­se ver­trag­li­che Maß­nah­me kann des­halb allen­falls ande­re zusätz­li­che
Maß­nah­men ergän­zen.
Zusätz­li­che Maß­nah­men wären nur effek­tiv, wenn das Recht des Dritt­lands Recht­schutz vor sei­nen
natio­na­len Gerich­ten vor­sä­he oder wenn es einen indi­vi­du­ell ver­ein­bar­ten Rechts­schutz­me­cha­nis­mus
gäbe. Jeden­falls wäre dies, wenn es kei­nen Rechts­schutz­me­cha­nis­mus gibt, kei­ne wirk­sa­me zusätz­li­che
Maß­nah­me gegen Überwachungsmaßnahmen.

Orga­ni­sa­to­ri­sche Maß­nah­men
122. Bei den zusätz­li­chen orga­ni­sa­to­ri­schen Maß­nah­men kann es sich um inter­ne Stra­te­gien,
Orga­ni­sa­ti­ons­me­tho­den und Stan­dards han­deln, die die Ver­ant­wort­li­chen und Auf­trags­ver­ar­bei­ter bei
sich selbst anwen­den und den Daten­im­por­teu­ren in Dritt­län­dern auf­er­le­gen könn­ten. Die­se kön­nen
zu einem im gesam­ten Ver­ar­bei­tungs­zy­klus ein­heit­li­chen Schutz per­so­nen­be­zo­ge­ner Daten bei­tra­gen.
Orga­ni­sa­to­ri­sche Maß­nah­men kön­nen auch dazu bei­tra­gen, dass sich die Daten­ex­por­teu­re der Risi­ken
bezüg­lich des Daten­zu­griffs in Dritt­län­dern und ent­spre­chen­der Zugriffs­ver­su­che bes­ser bewusst sind
und bes­ser dar­auf reagie­ren kön­nen. Nur weil man eine oder meh­re­re die­ser Maß­nah­men aus­ge­wählt
und ange­wen­det hat, bedeu­tet das noch nicht unbe­dingt, dass sys­te­ma­tisch sicher­ge­stellt ist, dass die
vor­ge­se­he­ne Über­mitt­lung den uni­ons­recht­li­chen Anfor­de­run­gen (Gewähr­leis­tung eines im
Wesent­li­chen gleich­wer­ti­gen Schutz­ni­veaus) genügt. Je nach den beson­de­ren Umstän­den der
Über­mitt­lung und der durch­ge­führ­ten Beur­tei­lung der Rechts­la­ge im Dritt­land sind orga­ni­sa­to­ri­sche
Maß­nah­men zur Ergän­zung der ver­trag­li­chen und/oder tech­ni­schen Maß­nah­men erfor­der­lich, um
sicher­zu­stel­len, dass der Schutz der per­so­nen­be­zo­ge­nen Daten dem in der EU gewähr­leis­te­ten
Schutz­ni­veau im Wesent­li­chen gleich­wer­tig ist.
123. Wel­che Maß­nah­men die geeig­nets­ten sind, ist jeweils im Ein­zel­fall zu beur­tei­len, wobei zu beach­ten
ist, dass die Ver­ant­wort­li­chen und Auf­trags­ver­ar­bei­ter dem Grund­satz der Rechen­schafts­pflicht
genü­gen müs­sen. Nach­ste­hend hat der EDSA eini­ge Bei­spie­le für orga­ni­sa­to­ri­sche Maß­nah­men
auf­ge­führt, die Daten­ex­por­teu­re ergrei­fen kön­nen; dies ist jedoch kei­ne erschöp­fen­de Lis­te und auch
ande­re Maß­nah­men kön­nen durch­aus geeig­net sein:

 

Inter­ne Grund­sät­ze für den Rege­lungs­rah­men für Über­mitt­lun­gen (ins­be­son­de­re inner­halb von
Unter­neh­mens­grup­pen)
124. Auf­stel­lung ange­mes­se­ner inter­ner Grund­sät­ze mit kla­rer Zuwei­sung der Ver­ant­wort­lich­kei­ten für
Daten­über­mitt­lun­gen, Berichts­we­ge und Stan­dard­ar­beits­an­wei­sun­gen für den Fall ver­deck­ter oder
offi­zi­el­ler behörd­li­cher Ersu­chen um Daten­zu­griff. Ins­be­son­de­re wenn es sich um Über­mitt­lun­gen
inner­halb von Unter­neh­mens­grup­pen han­delt, kön­nen die­se Grund­sät­ze unter ande­rem vor­se­hen,
dass ein bestimm­tes Team bestellt wird. Die­ses Team, das im EWR ansäs­sig sein und aus Exper­ten
für IT, Daten­schutz und Daten­schutz­recht bestehen soll­te, soll­te für Ersu­chen zustän­dig sein, die sich
auf aus der EU über­mit­tel­te per­so­nen­be­zo­ge­ne Daten bezie­hen. In den Grund­sät­zen kön­nen die
Benach­rich­ti­gung der Rechts­ab­tei­lung und der Unter­neh­mens­lei­tung sowie des Daten­ex­por­teurs
über Ersu­chen, das Vor­ge­hen gegen unver­hält­nis­mä­ßi­ge oder rechts­wid­ri­ge Ersu­chen sowie die
trans­pa­ren­te Unter­rich­tung der betrof­fe­nen Per­so­nen gere­gelt wer­den.
125. Für die Mit­ar­bei­ter, die behörd­li­che Ersu­chen um Zugriff auf per­so­nen­be­zo­ge­ne Daten bear­bei­ten,
sind spe­zi­fi­sche Trai­nings­ver­fah­ren aus­zu­ar­bei­ten, die regel­mä­ßig zu aktua­li­sie­ren sind, um neu­en
Ent­wick­lun­gen in der Gesetz­ge­bung und Recht­spre­chung im Dritt­land wie auch im EWR Rech­nung zu
tra­gen. Die Trai­nings­ver­fah­ren soll­ten die uni­ons­recht­li­chen Anfor­de­run­gen an den behörd­li­chen
Zugriff auf per­so­nen­be­zo­ge­ne Daten umfas­sen, ins­be­son­de­re die Anfor­de­run­gen, die sich aus
Arti­kel 52 Absatz 1 der Char­ta der Grund­rech­te erge­ben. Das Per­so­nal ist für die Pro­ble­ma­tik zu
sen­si­bi­li­sie­ren, ins­be­son­de­re anhand prak­ti­scher Bei­spie­le für behörd­li­che Ersu­chen um Daten­zu­griff
und die Anwen­dung des sich aus Arti­kel 52 Absatz 1 der Char­ta der Grund­rech­te erge­ben­den
Stan­dards auf die Bei­spiels­fäl­le. Der­ar­ti­ges Trai­ning könn­te auch die beson­de­re Situa­ti­on des
Daten­im­por­teurs berück­sich­ti­gen, z. B. die Rechts­vor­schrif­ten und Ver­ord­nun­gen im Dritt­land, denen
der Daten­im­por­teur unter­liegt; das Trai­ning soll­te, wenn mög­lich, in Zusam­men­ar­beit mit dem
Daten­ex­por­teur aus­ge­ar­bei­tet wer­den.
126. Wirk­sam­keits­vor­aus­set­zun­gen:
- Die­se Grund­sät­ze kön­nen nur für die Fäl­le vor­ge­se­hen wer­den, in denen das Ersu­chen der
Behör­den im Dritt­land mit dem Uni­ons­recht ver­ein­bar ist.87 Ist das Ersu­chen nicht damit
ver­ein­bar, wür­den die­se Grund­sät­ze nicht genü­gen, ein gleich­wer­ti­ges Schutz­ni­veau für die
per­so­nen­be­zo­ge­nen Daten zu gewähr­leis­ten; die Über­mitt­lun­gen wären dann, wie oben
erläu­tert, ein­zu­stel­len oder es müss­ten geeig­ne­te zusätz­li­che Maß­nah­men ergrif­fen wer­den,
um den Zugriff zu verhindern.

Maß­nah­men in Bezug auf Trans­pa­renz und Rechen­schafts­pflicht
127. Doku­men­tie­rung und Auf­zeich­nung der von Behör­den gestell­ten Zugriffs­er­su­chen und deren
Beant­wor­tung, ein­schließ­lich der recht­li­chen Begrün­dung und Anga­ben zu den betei­lig­ten Stel­len
(z. B. ob Benach­rich­ti­gung des Daten­ex­por­teurs erfolgt ist, des­sen Erwi­de­rung, die von dem für
der­ar­ti­ge Ersu­chen zustän­di­gen Team vor­ge­nom­me­ne Beur­tei­lung usw.). Die­se Auf­zeich­nun­gen sind
dem Daten­ex­por­teur zur Ver­fü­gung zu stel­len, der sie wie­der­um auf Ver­lan­gen den betrof­fe­nen
Per­so­nen zur Ver­fü­gung stellt.
128. Wirk­sam­keits­vor­aus­set­zun­gen: — Es kann sein, dass es wegen der natio­na­len Rechts­vor­schrif­ten im Dritt­land nicht mög­lich ist,
Ersu­chen oder wesent­li­che Infor­ma­tio­nen dar­über offen­zu­le­gen; in einem sol­che Fall wäre
die­se Ver­fah­rens­wei­se wir­kungs­los. Der Daten­im­por­teur soll­te dem Daten­ex­por­teur ggf.
mit­tei­len, dass er die Doku­men­te und Auf­zeich­nun­gen nicht lie­fern kann, so dass der
Daten­ex­por­teur die Mög­lich­keit hat, die Über­mitt­lun­gen aus­zu­set­zen, falls die feh­len­de
Koope­ra­ti­ons­fä­hig­keit des Daten­im­por­teurs das Schutz­ni­veau beeinträchtigt.

Regel­mä­ßi­ge Ver­öf­fent­li­chung von Trans­pa­renz­be­rich­ten oder Zusam­men­fas­sun­gen bezüg­lich der
von staat­li­chen Stel­len gestell­ten Ersu­chen um Daten­zu­griff und deren Beant­wor­tung, soweit die
Ver­öf­fent­li­chung nach dem im Land gel­ten­den Recht gestat­tet ist.
130. Wirk­sam­keits­vor­aus­set­zun­gen:
- Die mit­ge­teil­ten Infor­ma­tio­nen soll­ten so rele­vant, klar und detail­liert wie mög­lich sein. Es
kann sein, dass die natio­na­len Rechts­vor­schrif­ten des Dritt­lands der Offen­le­gung detail­lier­ter
Infor­ma­tio­nen ent­ge­gen­ste­hen. Gege­be­nen­falls soll­te der Daten­im­por­teur sich nach bes­ten
Kräf­ten bemü­hen, sta­tis­ti­sche Anga­ben oder agg­re­gier­te Infor­ma­tio­nen ver­gleich­ba­rer Art zu
lie­fern.

Orga­ni­sa­ti­ons­me­tho­den und Maß­nah­men zur Daten­mi­ni­mie­rung
131. Bereits nach dem Grund­satz der Rechen­schafts­pflicht bestehen­de orga­ni­sa­to­ri­sche Anfor­de­run­gen,
etwa strik­ter und gra­nu­la­rer Daten­zu­griff sowie Geheim­hal­tungs­grund­sät­ze und bewähr­te
Ver­fah­ren, die auf einem strikt ein­zu­hal­ten­den „Need-to-know“-Grundsatz beru­hen, mit
Über­wa­chung durch regel­mä­ßi­ge Über­prü­fun­gen und Durch­set­zung durch Dis­zi­pli­nar­maß­nah­men – all die­se Maß­nah­men kön­nen auch im Zusam­men­hang mit Daten­über­mitt­lun­gen nütz­lich sein.
Dies­be­züg­lich ist auch die Daten­mi­ni­mie­rung in Betracht zu zie­hen, um mög­lichst wenig
per­so­nen­be­zo­ge­ne Daten der Gefahr unbe­fug­ter Zugrif­fe aus­zu­set­zen. In eini­gen Fäl­len ist die
Über­mitt­lung bestimm­ter Daten u. U. nicht unbe­dingt erfor­der­lich (z. B. im Fal­le des Fern­zu­griffs auf
EWR-Daten, etwa in Sup­port-Fäl­len, wenn anstatt des vol­len Zugriffs nur ein­ge­schränk­ter Zugriff
gewährt wird oder wenn eine Dienst­leis­tung ledig­lich die Über­mitt­lung eines Teils der Daten, nicht
der gesam­ten Daten­bank, erfor­dert).
132. Wirk­sam­keits­vor­aus­set­zun­gen:
- Es soll­ten regel­mä­ßi­ge Über­prü­fun­gen und stren­ge Dis­zi­pli­nar­maß­nah­men vor­ge­se­hen sein,
um die Ein­hal­tung der Maß­nah­men zur Daten­mi­ni­mie­rung auch im Zusam­men­hang mit
Daten­über­mitt­lun­gen zu über­wa­chen und durch­zu­set­zen. — Der Daten­ex­por­teur soll­te die in sei­nem Besitz befind­li­chen per­so­nen­be­zo­ge­nen Daten vor
der Über­mitt­lung dar­auf­hin unter­su­chen, wel­che Daten­be­stän­de für die Zwe­cke der
Über­mitt­lung nicht erfor­der­lich sind und des­halb nicht an den Daten­im­por­teur wei­ter­ge­ge­ben
wer­den. — Die Maß­nah­men zur Daten­mi­ni­mie­rung soll­ten mit tech­ni­schen Maß­nah­men ver­bun­den
wer­den, um sicher­zu­stel­len, dass die Daten kei­nem unbe­fug­ten Zugriff unter­lie­gen. So kann
z. B. durch „Secu­re Mul­ti­par­ty Computation“-Mechanismen und die Ver­tei­lung ver­schlüs­sel­ter
Daten­men­gen unter ver­schie­de­nen ver­trau­ens­wür­di­gen Stel­len schon durch die Tech­nik­ge­stal­tung ver­hin­dert wer­den, dass ein Zugriff von nur einer Sei­te zur Offen­le­gung
iden­ti­fi­zier­ba­rer Daten füh­ren würde

Ent­wick­lung bewähr­ter Ver­fah­ren für die ange­mes­se­ne und recht­zei­ti­ge Ein­be­zie­hung sowohl (ggf.)
des Daten­schutz­be­auf­trag­ten, dem Zugang zu den Infor­ma­tio­nen zu gewäh­ren ist, als auch der
Rechts­ab­tei­lung und Innen­re­vi­si­on in allen Ange­le­gen­hei­ten, die inter­na­tio­na­le Über­mitt­lun­gen
per­so­nen­be­zo­ge­ner Daten betref­fen.
134. Wirk­sam­keits­vor­aus­set­zun­gen:
- Der Daten­schutz­be­auf­trag­te (falls vor­han­den) sowie die Rechts­ab­tei­lung und die
Innen­re­vi­si­on, denen alle für die Über­mitt­lung rele­van­ten Infor­ma­tio­nen mit­zu­tei­len sind, sind
zur Not­wen­dig­keit der Über­mitt­lung und etwa­iger zusätz­li­cher Garan­tien zu kon­sul­tie­ren. — Zu den rele­van­ten Infor­ma­tio­nen zäh­len z. B. die Beur­tei­lung der Not­wen­dig­keit der
Über­mitt­lung der spe­zi­fi­schen per­so­nen­be­zo­ge­nen Daten, ein Über­blick über die
ein­schlä­gi­gen Geset­ze im Dritt­land sowie die Garan­tien, zu deren Imple­men­tie­rung sich der
Daten­im­por­teur ver­pflich­tet hat.

Annah­me von Nor­men und bewähr­ten Ver­fah­ren
135. Auf­stel­lung strik­ter Grund­sät­ze in Bezug auf Daten­si­cher­heit und Daten­schutz, auf Grund­la­ge
uni­ons­recht­li­cher Zer­ti­fi­zie­rung oder Ver­hal­tens­re­geln oder inter­na­tio­na­ler Nor­men (z. B. ISO- Nor­men) und bewähr­ter Ver­fah­ren (z. B. ENISA), unter gebo­te­ner Beach­tung des Stands der Tech­nik,
abge­stimmt auf das Risi­ko der ver­ar­bei­te­ten Daten­ka­te­go­rien und die Wahr­schein­lich­keit
behörd­li­cher Datenzugriffe

 

Annah­me und regel­mä­ßi­ge Über­prü­fung inter­ner Grund­sät­ze zur Beur­tei­lung der Eig­nung der
imple­men­tier­ten ergän­zen­den Maß­nah­men sowie erfor­der­li­chen­falls Iden­ti­fi­zie­rung und
Imple­men­tie­rung zusätz­li­cher oder alter­na­ti­ver Lösun­gen, um sicher­zu­stel­len, dass für die
über­mit­tel­ten per­so­nen­be­zo­ge­nen Daten ein dem uni­ons­recht­li­chen ver­gleich­ba­res Schutz­ni­veau
ein­ge­hal­ten wird. *** 137. Ver­pflich­tun­gen des Daten­im­por­teurs, von jeder Wei­ter­über­mitt­lung der per­so­nen­be­zo­ge­nen Daten,
sei es inner­halb des­sel­ben Lan­des oder in ande­re Dritt­län­der, abzu­se­hen oder lau­fen­de
Über­mitt­lun­gen aus­zu­set­zen, wenn im Dritt­land kein dem uni­ons­recht­li­chen ver­gleich­ba­res
Schutz­ni­veau ein­ge­hal­ten wer­den kann.8

 

 

Ver­pflich­tun­gen zum Ergrei­fen bestimm­ter Maß­nah­men
112. Der Daten­im­por­teur könn­te sich ver­pflich­ten, die Recht­mä­ßig­keit jeg­li­cher Anord­nun­gen der
Daten­of­fen­le­gung nach dem Recht des Bestim­mungs­lands zu prü­fen, ins­be­son­de­re im Hin­blick
dar­auf, ob die Behör­de befugt ist, um Offen­le­gung zu ersu­chen, sowie gegen die Anord­nung
vor­zu­ge­hen, falls er zu dem Schluss gelangt, dass es nach dem Recht des Bestim­mungs­lands guten
Grund dafür gibt, sich zur Wehr zu set­zen. Wenn der Daten­im­por­teur gegen eine Anord­nung vor­geht,
soll­te er einst­wei­li­gen Rechts­schutz bean­tra­gen, damit die Anord­nung erst voll­zo­gen wer­den kann,
wenn das Gericht abschlie­ßend über die Sache ent­schie­den hat. Der Daten­im­por­teur könn­te sich
ver­pflich­ten, die per­so­nen­be­zo­ge­nen Daten nicht offen­zu­le­gen, solan­ge er nicht nach den
ein­schlä­gi­gen Ver­fah­rens­re­geln dazu ver­pflich­tet ist. Außer­dem könn­te sich der Daten­im­por­teur für
den Fall, dass er einer Anord­nung Fol­ge leis­ten muss, ver­pflich­ten, nur die Min­dest­men­ge an
Infor­ma­tio­nen mit­zu­tei­len, die – bei ange­mes­se­ner Aus­le­gung der Anord­nung – genügt.
113. Wirk­sam­keits­vor­aus­set­zun­gen:
- Die Rechts­ord­nung des Dritt­lands muss wirk­sa­men Rechts­schutz bie­ten, der ein Vor­ge­hen
gegen Anord­nun­gen der Daten­of­fen­le­gung ermög­licht. — Der zusätz­li­che Schutz, den die­se Klau­sel bie­tet, wird sich stets in Gren­zen hal­ten, da eine
Anord­nung der Daten­of­fen­le­gung nach der Rechts­ord­nung des Dritt­lands durch­aus
recht­mä­ßig sein könn­te; es kann aber sein, dass die betref­fen­de Rechts­ord­nung den
uni­ons­recht­li­chen Stan­dards nicht genügt. Die­se ver­trag­li­che Maß­nah­me kann des­halb
allen­falls ande­re zusätz­li­che Maß­nah­men ergän­zen. — Die gegen Anord­nun­gen gege­be­nen Rechts­be­hel­fe müs­sen nach dem Recht des Dritt­lands
auf­schie­ben­de Wir­kung (Sus­pen­siv­ef­fekt) haben. Andern­falls wäre es den Behör­den immer
noch mög­lich, auf die Daten natür­li­cher Per­so­nen zuzu­grei­fen, und alle spä­te­ren Rechtsbehelfe

Zusätz­li­che Schutzmaßnahmen 

Ergibt die Ein­zel­fall­prü­fung, dass das Emp­fän­ger­dritt­land wegen der dor­ti­gen Sicher­heits­ge­set­ze kein gleich­wer­ti­ges Schutz­ni­veau wie in der EU bie­tet, muss dies vor einem Daten­trans­fer in das betref­fen­de Dritt­land kom­pen­siert wer­den. Hier­zu kön­nen Daten expor­tie­ren­de Unter­neh­men in der EU die fol­gen­den Schutz­maß­nah­men ergrei­fen, auch in Zusam­men­ar­beit mit dem Daten­im­por­teur im Drittland.

  • Ver­schlüs­se­lung: In tech­ni­scher Hin­sicht kann eine Ver­schlüs­se­lung als wirk­sa­me Schutz­maß­nah­me in Betracht kom­men. Die­se erhöht das Schutz­ni­veau, indem sie einen Zugriff Drit­ter auf die über­mit­tel­ten Daten aus­schließt oder zumin­dest erheb­lich erschwert. Damit Ver­schlüs­se­lung aber als wirk­sa­me Schutz­maß­nah­me gewer­tet wer­den kann, soll­ten die betei­lig­ten Unter­neh­men aber – soweit dies im Ein­zel­fall prak­ti­ka­bel ist – sicher­stel­len, dass der zur Ent­schlüs­se­lung not­wen­di­ge Schlüs­sel (Decryp­ti­on Key) sicher in der EU ver­bleibt. Andern­falls könn­ten Behör­den im Emp­fän­ger­dritt­land auch den Decryp­ti­on Key vom Daten­im­por­teur her­aus­ver­lan­gen und so auf die ver­schlüs­sel­ten Daten zugrei­fen. In der Pra­xis garan­tiert Ver­schlüs­se­lung jedoch kei­ne abso­lu­te Sicher­heit. Kryp­to­gra­fi­sche Ver­fah­ren, die heu­te als sicher gel­ten, könn­ten in Zukunft zu kna­cken sein. Zudem ist eine Ver­schlüs­se­lung von Daten auch tech­nisch nicht stets prak­ti­ka­bel. In den meis­ten Anwen­dungs­fäl­len sind die über­mit­tel­ten Daten nur wäh­rend der Über­tra­gungs­pha­se ver­schlüs­selt (soge­nann­te Trans­port­ver­schlüs­se­lung). Beim Emp­fän­ger lie­gen die Daten dann unver­schlüs­selt vor und sind damit poten­zi­ell staat­li­chen Zugrif­fen aus­ge­setzt. Wird eine soge­nann­te Ende-zu-Ende-Ver­schlüs­se­lung ein­ge­setzt, sind die Daten nicht nur wäh­rend der Über­tra­gung son­dern auch anschlie­ßend beim Dritt­land­emp­fän­ger sicher ver­schlüs­selt. Dies kommt bei­spiels­wei­se bei Chat- und ande­ren Kom­mu­ni­ka­ti­ons­diens­ten aber auch bei Hos­ting-Diens­ten in Betracht. In vie­len Fäl­len kann eine Ende-zu-Ende-Ver­schlüs­se­lung aber nicht ein­ge­setzt wer­den, weil dies den eigent­li­chen Zweck der Ver­ar­bei­tung beim Emp­fän­ger ver­ei­teln wür­de. Sol­len bei­spiels­wei­se über­mit­tel­te Daten in einer cloud­ba­sier­ten Soft­ware­an­wen­dung auf Ser­vern im Dritt­land ver­ar­bei­tet wer­den, schlie­ßen bereits tech­ni­sche Gesichts­punk­te eine sol­che Ver­schlüs­se­lung aus. Wäh­rend der Soft­ware­nut­zung müs­sen die ver­ar­bei­te­ten Daten näm­lich regel­mä­ßig unver­schlüs­selt vor­lie­gen. Zudem sind Ver­schlüs­se­lun­gen in der Pra­xis oft auf­wän­dig und mit Zusatz­auf­wand verbunden.

  • Soweit eine Ver­schlüs­se­lung aus tech­ni­schen Grün­den nicht mög­lich ist, oder den Zweck der Daten­ver­ar­bei­tung ver­ei­teln wür­de, soll­ten Unter­neh­men erwä­gen, die über­mit­tel­ten Daten zumin­dest zu pseud­ony­mi­sie­ren. Dabei soll­te geprüft wer­den, ob es im jewei­li­gen Fall gang­bar ist, dass der Pseud­ony­mi­sie­rungs­schlüs­sel wie­der­um im Land des Daten­ex­por­teurs in der EU ver­bleibt. Ein sol­ches Vor­ge­hen wäre etwa in Fäl­len denk­bar, in denen ein EU-Unter­neh­men inner­halb eines Kon­zerns Daten sei­ner Mit­ar­bei­ter zu Report­ing- und Ana­ly­se­zwe­cken an die Kon­zern­mut­ter­ge­sell­schaft in den USA übermittelt.

  • Die Stan­dard­ver­trags­klau­seln ent­hal­ten bereits Garan­tien, um die Daten im Dritt­land zu schüt­zen, z.B. die Ver­pflich­tung des Daten­im­por­teurs, dem Daten­ex­por­teur unver­züg­lich mit­zu­tei­len, wenn es ihm Ände­run­gen der Sicher­heits­ge­set­ze unmög­lich machen, sei­ne ver­trag­li­chen Pflich­ten zu erfül­len. Unter­neh­men ist nun aller­dings zu emp­feh­len, die Stan­dard­ver­trags­klau­seln um zusätz­li­che Ver­trags­klau­seln ergän­zen, um das Schutz­ni­veau anzu­he­ben. Die­se soll­ten den Daten­im­por­teur für den Fall einer behörd­li­chen Anfra­ge auf Offen­le­gung der über­mit­tel­ten Daten ver­pflich­ten, den Daten­ex­por­teur von der Anfra­ge in Kennt­nis zu set­zen und in die­se ein­zu­be­zie­hen, sowie unter Aus­schöp­fung der bestehen­den Rechts­schutz­mög­lich­kei­ten recht­lich gegen die Anfra­ge der öffent­li­chen Stel­le vor­zu­ge­hen, oder hier­bei zu unter­stüt­zen. Auch hier­zu kön­nen wir unse­ren Man­dan­ten ent­spre­chen­de Vor­la­gen zur Ver­fü­gung stellen.

  • Schließ­lich soll­ten Unter­neh­men eine Klau­sel in Stan­dard­ver­trags­klau­seln auf­neh­men, um Daten­trans­fers in die USA und ande­re risi­ko­be­haf­te­te Dritt­län­der „aus­fall­si­cher“ zu machen. Die­se soll­te vor­se­hen, dass sämt­li­che Daten­über­mitt­lun­gen sofort ein­zu­stel­len sind, falls die Stan­dard­ver­trags­klau­seln von einem Gericht für ungül­tig erklärt wer­den soll­ten. Zudem soll­te die Klau­sel eine Ver­pflich­tung des Daten­emp­fän­gers ent­hal­ten, dass die über­mit­tel­ten Daten gelöscht wer­den, sofern kei­ne ander­wei­ti­ge Schutz­mög­lich­keit besteht.

  • Daten­im­por­teu­re in den USA oder ande­ren Dritt­län­dern kön­nen Infor­ma­tio­nen über behörd­li­che Aus­kunfts­an­fra­gen in der Ver­gan­gen­heit zur Ver­fü­gung stel­len, etwa in Form von Sta­tis­ti­ken auf der Web­site oder ande­ren (agg­re­gier­ten) Infor­ma­tio­nen. Die­se soll­ten über­sicht­lich und ver­ständ­lich auf­zei­gen, wie häu­fig staat­li­che Behör­den den Daten­im­por­teur in der Ver­gan­gen­heit um Offen­le­gung von Daten ersucht haben, in wie vie­len die­ser Fäl­le der Daten­im­por­teur die ange­frag­ten Daten offen­ge­legt und wie häu­fig er das Aus­kunfts­er­su­chen erfolg­reich abge­wen­det hat. Mit­hil­fe die­ser Infor­ma­tio­nen kön­nen Daten expor­tie­ren­de Unter­neh­men und betrof­fe­ne Per­so­nen das Risi­ko abschät­zen, dass die über­mit­tel­ten Daten im Dritt­land tat­säch­lich einem staat­li­chen Zugriff aus­ge­setzt sind.

  • Unter­neh­men könn­ten bald Infor­ma­tio­nen über aus Sicht der Daten­schutz­be­hör­den wei­te­re sinn­vol­le zusätz­li­che Schutz­maß­nah­men erhal­ten. Der EDSA hat ange­kün­digt Leit­li­ni­en zu ver­öf­fent­li­chen, wor­in sol­che „zusätz­li­chen Maß­nah­men“ zum Schutz über­mit­tel­ter Daten bestehen kön­nen. Es bleibt abzu­war­ten, wann ob und in wel­chem Umfang künf­ti­ge Stel­lung­nah­men der Daten­schutz­be­hör­den kon­kre­te Hil­fe­stel­lun­gen ent­hal­ten, an denen sich Unter­neh­men ori­en­tie­ren kön­nen. In vie­len Fäl­len dürf­te es zweck­mä­ßig sein, zeit­nah ent­spre­chen­de Ver­tei­di­gungs­struk­tu­ren zur Recht­fer­ti­gung von Daten­über­mitt­lun­gen zu entwickeln.

Sor­gen Sie für ein soli­des Fundament!

Das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik hat mit dem IT-Grund­schutz eine her­vor­ra­gen­de und welt­weit ein­zig­ar­ti­ge Doku­men­ta­ti­on geschaf­fen, um den Stand der Tech­nik im Unter­neh­men zu eta­blie­ren. Zunächst erschlägt die Fül­le der Doku­men­ta­ti­on Unternehmen.

Mit etwas Übung oder unter Zuhil­fe­nah­me eines Exper­ten, der in die­sem Bereich schon diver­se Pro­jek­te umge­setzt hat, kann ein soli­des Fun­da­ment für die Sicher­heit der Ver­ar­bei­tung geschaf­fen wer­den. Die Maß­nah­men sind in den meis­ten Fäl­len sehr pra­xis­nah und gut umsetzbar. 

details-verzeichnis-der-verarbeitungstaetigkeiten

PFLICHT ZUR DOKU­MEN­TA­TI­ON FÜR JEDES UNTERNEHMEN

Daten­ex­por­teu­re müs­sen ihren Ent­schei­dungs­pro­zess gründ­lich doku­men­tie­ren (Rechen­schafts­pflicht, Art. 5 Abs. 2 DS-GVO). Die Daten­ex­por­teu­re sind dafür ver­ant­wort­lich, die kon­kre­te Beur­tei­lung im Zusam­men­hang mit der Über­mitt­lung, dem Recht des Dritt­lan­des und dem Über­tra­gungs­in­stru­ment, auf das sie sich stüt­zen, vorzunehmen.

Um aber dar­zu­stel­len, wie die Maß­nah­men kon­kret geplant und umge­setzt wor­den sind, müs­sen eben­falls in der Doku­men­ta­ti­on hin­ter­legt wer­den. Bei einer Prü­fung müs­sen Sie dar­stel­len kön­nen, dass die Sicher­heit der Ver­ar­bei­tung ange­mes­sen sind. Die Ange­mes­sen­heit also gegen­über der Grö­ße und Art des Unter­neh­mens und dem Risi­ko der Ver­ar­bei­tung aus Sicht der betrof­fe­nen Per­so­nen. Wei­ter­hin muss jede Maß­nah­me auch geeig­net sein, um die Daten zu schützen. 

Sor­gen Sie für ein soli­des Fundament!

Das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik hat mit dem IT-Grund­schutz eine her­vor­ra­gen­de und welt­weit ein­zig­ar­ti­ge Doku­men­ta­ti­on geschaf­fen, um den Stand der Tech­nik im Unter­neh­men zu eta­blie­ren. Zunächst erschlägt die Fül­le der Doku­men­ta­ti­on Unternehmen.

Mit etwas Übung oder unter Zuhil­fe­nah­me eines Exper­ten, der in die­sem Bereich schon diver­se Pro­jek­te umge­setzt hat, kann ein soli­des Fun­da­ment für die Sicher­heit der Ver­ar­bei­tung geschaf­fen wer­den. Die Maß­nah­men sind in den meis­ten Fäl­len sehr pra­xis­nah und gut umsetzbar. 

details-verzeichnis-der-verarbeitungstaetigkeiten

Kon­ti­nu­ier­li­che Verbesserung

Ver­bes­sern bedeu­tet vor­ran­gig Pro­ble­me lösen. Pro­ble­me lösen wie­der­um heißt, Ler­nen und Anpas­sung.  Das PDCA-Modell (Plan – Do – Check – Act) stellt die Ist-Situa­ti­on des Unter­nehmens per­ma­nent infra­ge und star­tet im Unter­neh­men einen wieder­kehrenden Regel­kreis zur Verbess­erung der Abläu­fe und Prozesse. 

Auch beim Sicher­heit der Ver­ar­bei­tung gibt es einen ste­ti­gen Ver­bes­se­rungs­pro­zess durch regel­mäßige Aktua­li­sie­run­gen und fes­te Ein­bin­dung im Gestal­tungs­pro­zess von Geschäftsprozessen.

Blei­ben SIe aktuell!

Erstel­len auch Sie einen Regel­kreis, damit Ihre eta­blier­ten tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men kor­rekt geplant und umge­setzt wer­den, den rich­ti­gen Detail­grad haben und aktu­ell gehal­ten wird.

Sie benö­ti­gen Unter­stüt­zung bei dem „Fun­da­ment des Datenschutzes“ ?

Plan

Fest­le­gung von Art, Umfang und Form der Sicherheitsmaßnahmen

Do

Umset­zung und Doku­men­ta­ti­on der Maß­nah­men, Pla­nung und Prio­ri­sie­rung offe­ner Themen 

Act

Aktua­li­sie­rung und Anpas­sung der tech­ni­schen und orga­ni­sa­to­ri­schen Maßnahmen

Check

Prü­fung auf Ange­mes­sen­heit, Wirk­sam­keit und dem Stand der Technik

Leis­tun­gen

Bei den meis­ten Geschäfts­pro­zes­sen wer­den per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet. Fin­den Sie hier mei­ne Dienst­leis­tun­gen, die ich Unter­neh­men auch in Buch­holz in der Nord­hei­de seit vie­len Jah­ren zur Ver­fü­gung stelle. 

Cle­ver sein – Dritt­land­trans­fer Effi­zi­ent und pra­xis­nah umsetzen

Ich unter­stüt­ze Sie bei der Erstel­lung Ihrer Risi­ko­be­wer­tung für Dritt­land­trans­fers. Nut­zen Sie mei­ne mehr­jäh­ri­ge Exper­ti­se, um zügig eine ers­te Doku­men­ta­ti­on zu erstel­len und Maß­nah­men umzu­set­zen, die ange­mes­sen und wirk­sam sind.

Buchen Sie ein ent­spre­chen­des Modul oder punk­tu­ell zur Unter­stüt­zung. Ich bie­te Ihnen die Doku­men­ta­ti­on in Ihrem Ziel­sys­tem. Nach mei­ner Erfah­rung ist die Inter­view­tech­nik die effi­zi­en­tes­te Metho­de, um zügig zu der ers­ten Ver­si­on zu kom­men.  Die Bera­tung kann bei Ihnen vor Ort oder per Video­kon­fe­renz erfol­gen. 

Als Daten­schutz­be­auf­trag­ter ist die Unter­stüt­zung bei der Daten­ver­ar­bei­tung mit einem  Dritt­land­trans­fers fes­ter Bestandteil.

Fra­gen zum The­ma Drittlandtransfer

Jedes Unter­nehmen, wel­ches per­so­nen­be­zo­ge­ne Daten in Dritt­län­der mit einem nied­ri­gen Daten­schutz­ni­veau über­mit­telt, unter­liegt zahl­rei­chen gesetz­li­che Pflich­ten. Da immer noch viel Unsi­cher­heit in die­sem The­ma besteht, fin­den Sie hier ein paar Ant­wor­ten auf die häu­figs­ten Fra­gen:

Eine Über­mitt­lung per­so­nen­be­zo­ge­ner Daten besteht, wenn per­so­nen­be­zo­ge­ne Daten an Unter­neh­men über­mit­telt wer­den, die außer­halb der EU Ihren Fir­men­sitz haben. Dabei spielt der Spei­cher­ort kei­ne Rol­le, wenn ein theo­re­ti­scher Zugriff auf die Daten erfol­gen kann.

Ein Trans­fer Impact Assess­ment ist eine Risi­ko­be­wer­tung für eine Daten­ver­ar­bei­tung mit Unter­neh­men, die Ihren Sitz in einem unsi­che­ren Dritt­land haben. Sie als Ver­ant­wort­li­cher müs­sen die Daten­ver­ar­bei­tung in allen Details beschrei­ben, die Risi­ken für die betrof­fe­nen Per­so­nen ana­ly­sie­ren und bewerten.

Im März 2022 hat­ten sich die USA und die EU auf ein neu­es Regel­werk für den Dritt­land­trans­fer geei­nigt. Aktu­ell gibt es aber noch kei­ne Details, wie das Abkom­men aus­se­hen wird.

In dem Abkom­men sol­len neue Regeln und Garan­tien für den Zugriff der US-Geheim­diens­te fest­ge­legt wer­den. Der Zugriff soll auf natio­na­le Sicher­heits­zie­le beschränkt wer­den und not­wen­dig und ver­hält­nis­mä­ßig sein. Ein unab­hän­gi­ger Rechts­schutz soll für die Beschwer­den von Euro­pä­ern ein­ge­rich­tet wer­den. Ob das Regel­werk einer Prü­fung des Euro­päi­schen Gerichts­hof stand­hal­ten wird, bleibt abzu­war­ten. Gegen Ende des Jah­res wird es hier bestimmt wei­te­re Infor­ma­tio­nen geben.

Es gibt kei­ne Über­gangs­frist für die Ent­schei­dung des Euro­päi­schen Gerichts­ho­fes (Gerichts­ur­teil). Sie müs­sen die recht­li­chen Anfor­de­run­gen und Hand­lungs­emp­feh­lun­gen für den inter­na­tio­na­len Daten­trans­fer in die USA und ande­re Dritt­län­der mit einem unsi­che­ren Daten­schutz­ni­veau basie­rend auf Stan­dard­ver­trags­klau­seln zeit­nah umsetzen.

Aktu­ell gibt es dazu noch kei­ne Buß­gel­der in Deutsch­land oder sons­ti­ge Unter­sa­gun­gen der Daten­ver­ar­bei­tun­gen. Auf­sichts­be­hör­den sind aber ver­pflich­tet wor­den, das Gerichts­ur­teil des EuGHs umzusetzen.

Der Ein­satz von Stan­dard­ver­trags­klau­seln ermög­li­chen Ihnen, per­so­nen­be­zo­ge­ne Daten in unsi­che­re Dritt­län­der zu über­mit­teln. Nach der Ent­schei­dung des EuGH ver­ab­schie­de­te die Euro­päi­sche Kom­mis­si­on am 4. Juni 2021 neue Stan­dard­ver­trags­klau­seln („Stan­dard Con­trac­tu­al Clau­ses“, SCCs). Unter­neh­men müs­sen ihre bestehen­den Ver­trä­ge für Daten­über­mitt­lun­gen in Dritt­län­der spä­tes­tens bis zum 27. Dezem­ber 2022 anpas­sen. Alten SCC ver­lie­ren dann ihre Wirksamkeit.

Sie neu­en SCCs sind modu­lar auf­ge­baut und ent­hal­ten neue Pflich­ten für Unter­neh­men. Die Modu­le rich­ten Sie nach der Art der Zusammenarbeit.

Modul 1: Über­mitt­lung von Ver­ant­wort­li­chen an Ver­ant­wort­li­che (C2C),

Modul 2: Über­mitt­lung von Ver­ant­wort­li­chen an Auf­trags­ver­ar­bei­ter (C2P),

Modul 3: Über­mitt­lung von Auf­trags­ver­ar­bei­tern an Auf­trags­ver­ar­bei­ter (P2P),

Modul 4: Über­mitt­lung von Auf­trags­ver­ar­bei­tern an Ver­ant­wort­li­che (P2C).

Je nach Art der Daten­ver­ar­bei­tung müs­sen die Inhal­te der SCCs fest­ge­legt werden. 

Bin­dung Cor­po­ra­te Rules (BCR) sind unter­neh­mens­in­ter­ne Rege­lun­gen, die den Umgang mit per­so­nen­be­zo­ge­nen Daten betref­fen und die ein ent­spre­chen­des Geneh­mi­gungs­ver­fah­ren durch­lau­fen haben. Auf­grund des erheb­li­chen Auf­wan­des und damit ver­bun­de­ne Kos­ten die­ser Maß­nah­me haben bis­lang nur weni­ge Unter­neh­men die­se Garan­tie im Einsatz.

Kon­takt

Buchen Sie ein kos­ten­frei­es Erst­ge­spräch und las­sen Sie uns über Ihre Dritt­land­über­mitt­lun­gen sprechen.

kontakt-niehoff-systemberatung

Aktu­el­le News zum The­ma Daten­schutz und Informationssicherheit

In die­sem Bereich fin­den Sie Nach­rich­ten und Hin­ter­grund­in­for­ma­tio­nen zum The­ma Daten­schutz und Infor­ma­ti­ons­si­cher­heit. Sie haben ein The­ma, was einen Bei­trag wert wäre? Mel­den Sie sich gerne.