Praxisnahe Umsetzung seit 2013

Ihr Experte für Datenschutz und Informationssicherheit

Drittlandtransfer

Drittlandtransfer: Können Sie diese 10 Fragen zum Datenschutz beantworten?

Internationaler Datenverkehr: Der Überblick

Einleitung

Wenn Sie personenbezogene Daten in andere Länder außerhalb der EU übermitteln, müssen sie sicherstellen, dass im Zielland ein angemessenes Datenschutzniveau vorliegt. In den letzten Monaten hat dies für erhebliche Unsicherheiten und Aufwänden geführt. Ein aktives Handeln ist notwendig, um die Anforderungen der DSGVO zu erfüllen.

Das Problem: Aktuell gibt es für Übermittlungen an Unternehmen in den USA keine wirklich gute Lösung für die Problematik. Denn Unternehmen, wie z. B. Amazon, Microsoft, Salesforce oder Google unterliegen den amerikanischen Gesetzen. US-Behörden haben weitreichende Möglichkeiten, um auf personenbezogene Daten zuzugreifen.

Wenn Sie sich mit dem Thema selbst auseinandersetzen wollen: Auf dieser Seite finden Sie Antworten auf (fast) alle Fragen rund um das Thema „Drittlandtransfer“.

Diese Informationen stellen keine Rechtsberatung dar, sondern geben Anregungen zur Umsetzung. Für eine passgenaue Umsetzung nehmen Sie gerne Kontakt auf.

Inhalte

Drittlandtransfer: Der Überblick

Eine Übermittlung von personenbezogenen Daten in ein Drittland ist schwer zu erfüllen. Prüfen Sie daher, ob die Datenverarbeitung nicht anders gestaltet werden kann.

Ist die Entscheidung bereits gefallen? Prüfen Sie dann, ob sie mit geeigneten und wirksamen Mitteln das Risiko für die betroffenen Personen reduzieren können. Überlegen Sie zum Beispiel, ob Sie den Umfang der Datenverarbeitung oder die Anzahl der Zugriffsberechtigten reduzieren können.

Setzen Sie bei Übermitt­lungen Verschlüs­selungs­methoden ein. Idealerweise sorgen Sie dafür, dass Sie die Schlüsselhoheit behalten oder der Zugriff der Schlüssel nur aus der EU erfolgen kann.

Datenüber­mittlungen in Dritt­länder können durch  unter­schiedliche Garantien datenschutz­konform gestaltet werden. Finden Sie hier einige davon.

Beachten Sie mögliche Sanktionen!

Was ist, wenn die Datenverarbeitung durch eine Aufsichtsbehörde Ihre Geschäftsprozesse untersagt oder Geldbußen auferlegt werden? Eine Übermittlung personenbezogener Daten ohne wirksame Schutzmaßnahmen für die betroffenen Personen stellt eine Ordnungswidrigkeit dar.

Die Höhe variiert sicherlich von Unternehmen und dem Risiko der Verarbeitung, aber Verfehlungen können schnell recht teuer werden (2% vom Vorjahres­umsatz oder 10.000.000 Euro, je nachdem was höher ist). Aber so weit wird es hoffentlich nicht kommen.

Denken Sie an die Folgeaufgaben!

Sie müssen bei Übermittlungen personenbezogener Daten in Drittländer eine Risikobewertung durchführen und regelmäßig wiederholen. 

10 Prüffragen für die Geschäftsleitung

Fragen Sie sich als Vertretung der Geschäftsleitung: Machen wir im Daten­schutz alles richtig? Dann stellen Sie Ihrem Personal oder dem Datenschutz­beauftragten die folgenden Fragen und lassen sich entsprechende Nachweise vorlegen.
compliance-im-datenschutz

Sie wollen in 4 Schritten eine Risikobewertung von Drittlandtransfers in Ihrem Unternehmen umsetzen? Finden Sie hier weitere Informationen.

Sie wünschen eine direkte Kontakt­aufnahme und haben Fragen zum Sicher­heit der Verar­beitung, die ggf. schnell beant­wortet werden können?

In 4 Schritten zur Umsetzung: Drittlandtransfer

Nachfolgend zeige ich Ihnen die 4 Schritte, wie Sie das Thema „Drittlandtransfer“ im Unternehmen umsetzen und aktuell halten können.

Schritt 1: Holen Sie einen Spezialisten an Bord – schneller geht es nicht.

Um sich diesem komplizierten Thema der DSGVO zu nähern, müssen Sie erst alle Datenverarbeitungen kennen, in denen personenbezogene Daten verarbeitet und in ein Drittland übermittelt werden.

Ein erster Ansatzpunkt ist natürlich das Verzeichnis der Verarbeitungstätigkeiten. Hier sollten Sie schon sämtliche Datenverarbeitungen einschl. einem Drittlandbezug dokumentiert haben. Wenn Sie noch keine vollständige Aufnahme Ihrer Geschäftsprozesse haben, sollten Sie damit anfangen. Dies schließt auch die Auftragsverarbeiter ein, die Sie ebenfalls einsetzen.

Diese Informationen müssen Sie auch kennen, weil Sie die Betroffenenrechte fachgerecht umsetzen müssen. Hier sind die Informationspflichten und das Auskunftsrecht der betroffenen Personen zu nennen, weil Sie dort Übermittlungen in Drittländer einschl. der eingesetzten Garantien aufgeführen müssen.

Beachten Sie das Risiko für die betroffenen Personen!

Die Anzahl der zu erstellenden Konzepte sind abhängig von der Komplexität der Verarbeitung und dem Risiko für die Rechte und Frei­heiten der betroffenen Personen. Das Wissen für die Erstellung einer fachge­recht erstellten Inventur und Dokumentation sollten Sie nicht ausschließlich durch interne Beschäftigte oder durch externe Dienst­leister ohne Unter­stützung erstellen. Diese Erfahrung ist neben­beruflich nur schwer zu erlangen.

Schritt 2: Ermitteln Sie die Garantien der Drittlandtransfers.

Im zweiten Schritt ermitteln Sie die Garantien der Datenverarbeitungen. Die DSGVO bietet diverse Garantien an, wie z. B. ein Angemessenheits­beschluss der EU-Kommission, Standard­vertrags­klausen oder verbind­liche interne Daten­schutz­vor­schriften. Es gibt auch noch zusätzliche Aus­nahmen, die Sie jedoch nur in besonderen Fällen verwendet können und eng auszulegen sind. Wenn Sie jetzt nur Frage­zeichen sehen, sollten Sie einen Spezialisten hinzuziehen.

Ziel der Garantien ist es, ein gleichwertiges Schutz­niveau im Zielland herzustellen. Es kann dazu erforderlich sein, dass Sie zusätz­liche Maßnahmen etablieren, um die Daten der betroffenen Personen angemessen und wirksam zu schützen.

Auch die eingesetzten Garantien und die zusätzlichen Schutzmaßnahmen sollten Sie dokumentieren. Sie nutzen ein internes Dokument­ations­system, z. B. ein internes Wikipedia, ein Dokumenten­management­system, Google Drive, eine NextCloud, ein Qualitäts­management­system, Microsoft Teams / SharePoint oder den klassischen Aktenordner? Verwenden Sie einen einheitlichen Aufbau der Dokumente, ein Versionsmanagement und eine Kommunikations- und Freigabeprozedur. Stellen Sie sicher, dass die beteiligten Fachabteilungen auf die Dokumente zugreifen können.

Kundenstimmen

Zufriedene Kunden empfehlen meine Dienstleistung weiter. Überzeugen Sie sich.

Interner DSB aus Hamburg

IT Grosshandel

Mit einer hohen datenschutz­rechtlichen, organisatorischen und sicherheits­relevanten Kompetenz hat Herr Niehoff unser Unter­nehmen schnell und mit außer­ordentlicher Unter­stützung bei der Umsetzung der DSGVO unterstützt. Das Coaching hat sich bezahlt gemacht.

Geschäftsführer aus Hamburg

Testexperten KLE GmbH

Wir hatten die Herausforderung, dass wir nach der Erstellung & Umsetzungen der DSGVO-Richtlinien eine ernsthafte Prüfung im Bereich der DSGVO brauchten. Herr Niehoff hat uns das Ganze sehr gut erläutert und super unterstützt. Wir möchten uns an dieser Stelle für die hervorragende Zusammenarbeit bedanken!

Chief Digital Officer aus Lüneburg

Öffentliche Verwaltung

Sie schaffen es, dieses Thema so interessant zu verpacken, dass ich trotzdem am Ende mit einem Lächeln aus den Meetings gehe.

Sekretariat

Rechtsanwaltskanzlei

Außerdem hat unsere Bearbeit­erin unserer Homepage Ihre Anweisungen sehr gelobt! Sie schreibt: „Kompliment an dieser Stelle an ihren Datenschutz­beauftragten, ich habe selten so fundierte Anweisungen bekommen, bei denen ich zu 100% mitgehe.“ Auch ich kann Ihnen an dieser Stelle mitteilen, dass sie mir sehr verständlich aufzeigen, was ich im Datenschutzdschungel nach und nach alles bearbeiten muss. Danke dafür! 😊

Fachkunde

Die Gestaltung einer datenschutz­konformen Organisation verbessert sofort die Sicher­heit Ihres Unter­nehmens. Lassen Sie uns deshalb jetzt über Ihre laufenden oder zukünftigen Pro­jekte sprechen und die Umsetz­ung unter Einhaltung aller datenschutzrechtlichen Bestimmungen planen.

Im Laufe der Jahre habe ich mir ein fundiertes Wissen im Bereich des Datenschutzes und der Informationssicherheit angeeignet. Eine permanente Weiterbildung ist für mich selbstverständlich. Ich halte meine Mandanten auf dem neuesten Stand.

fachkundenachweis-niehoff (Benutzerdefiniert)

Schritt 3: Führen Sie eine Risikobewertung durch.

Wenn Sie die Garantien pro Datenverarbeitung ausgewählt haben, müssen Sie eine Risikobewertung durchführen. Prüfen Sie, ob der Schutz der Daten effektiv und wirksam ist. Die betroffenen Personen müssen einen Schutz erhalten, der das gleiche Niveau wie in Europa hat. Die USA selbst besitzt aufgrund der Gesetze umfangreiche 

Andere Länder – andere Gesetze. Prüfen Sie, ob im Zielland gesetzliche Regelungen bestehen, die die Sicherheit Ihrer Datenverarbeitung gefährden. So bestehen in den USA diverse Gesetze, die es den US-Behörden erlauben, auf die Daten zuzugreifen. Dies geschieht auch unabhängig davon, in welchem Land die Daten gespeichert werden (z. B. in Europa). Berücksichtigten Sie dabei sämtliche beteiligten Parteien, die im Zuge der Datenverarbeitung einen Zugriff erhalten. Dafür müssen sie den gesamten Datenfluss einschließlicher aller Verantwortlichen, Auftragsverarbeiter und deren Unterauftragsverarbeiter kennen. 

Schauen Sie sich die Rechtsvorschriften der Länder an, die Einfluss auf Ihre Datenverarbeitung nehmen können. In den USA gelten z. B. die Section 702 des Foreign Intelligence Surveillance Act (FISA) oder die Executive Order333. Dabei spielen die Zwecke der Datenverarbeitung, die Empfängerkategorien, die Datenkategorien und die Art der Datenverarbeitung eine Rolle. Werden die Rechte der Betroffenen beeinträchtigt, wie z. B. Auskunft oder Löschung der Daten? Oder wird dieses Recht durch die Gesetze anderer Länder beeinträchtigt? Können staatliche Stellen auf die Daten der betroffenen Personen zugreifen und wird dies sogar in Transparenzberichten öffentlich gemacht? (Beispiel: Microsoft). Nehmen Sie Kontakt zu Ihrem Dienstleister auf, ob dieser Unterlagen für Sie bereithält. Weitere Informationen finden Sie hier, weitere führende Schritte werden hier erklärt.

Nachdem Sie Klarheit haben, wie die jeweilige Rechtslage in den Zielländern aussieht, müssen Sie prüfen, ob noch zusätzliche Maßnahmen etabliert werden können. Rein vertragliche Maßnahmen zwischen Ihnen und dem Unternehmen zum Schutz der Daten werden nicht ausreichen, da die Behörde nicht an diese Verträge gebunden sind. Sie müssen noch organisatorische und technische Maßnahmen hinzufügen. Idealerweise verwenden Sie Verschlüsselungstechnologien, die den Zugriff auf die Daten verhindern. Dazu ist es notwendig, dass die Schlüsselhoheit bei Ihnen selbst liegt und nicht bei dem Unternehmen, dass per Gesetz gezwungen werden kann, die Schlüssel den Behörden zur Verfügung zu stellen.

Dokumentieren Sie Ihre Risikobewertung

Nachdem Sie alle Aspekte der Datenverarbeitung inkl. den Gesetzen der Zielländer verstanden haben, müssen Sie die Risikobewertung aus Sicht der betroffenen Personen bewerten. Ob dies im Freitext oder in einer Matrix geschieht, ist nicht vorgegeben. Vorlagen für eine Risikobewertung finden Sie hier. Bei den Excel-Tabellen spielt die Eintrittswahrscheinlichkeit eine große Rolle. Lassen Sie folgende Punkte mit einfließen:

Schritt 4: Aktualisieren Sie Ihre Risikobewertungen regelmäßig.

Prüfen Sie Ihre Verarbeitungstätigkeiten, die Garantien für die Übermittlung und Ihre Risikobewertung regelmäßig. Legen Sie sich die Aufgabe auf Wiedervorlage. Bei Datenverarbeitungen hat sich eine jährliche Überprüfung der Unterlagen als sinnvoll erwiesen.

Sofern sich unterjährig Informationssysteme, interne und externe Beteiligte, Risiken oder Unternehmensziele, der Stand der Technik oder sonstige Rahmenbedingungen ändern, spricht auch nichts gegen eine unterjährige Aktualisierung.

Die gesamte Dokumentation hilft Ihnen, eine Handlungs- und Verteidigungsstrategie vorzubereiten, wenn Datenschutzaufsichtsbehörden ein Audit bei Ihnen durchführen (Siehe Fragenkatalog der Aufsichtsbehörde in Hamburg).

Die meisten Unternehmen, die ich betreue, sammeln jedoch Veränderungen während der Laufzeit und aktualisieren die Dokumente einmal im Jahr, um nicht zu häufig Anpassungen durchzuführen.

Arbeiten Sie weiter daran, bestehende Lösungen sicherer zu machen. Auch wenn die nicht bei allen Hard- und Softwarekomponenten möglich ist: Sie sollten nachweisen können, dass Sie sich Alternativen angeschaut haben und die Gründe für die Nichtverwendung dokumentieren.

Weitere Vorgehensweise beim Datenschutz

Sie benötigen Unterstützung beim Thema Drittlandtransfer? Melden Sie sich gerne.

Weitere Details zum Internationalen Datenverkehr
Allgemeines

Bei Übermittlungen von personenbezogenen Daten an Drittländer oder an internationale Organisationen sind besondere Vorschriften zu beachten.

Eine Übermittlung liegt in der Regel dann vor, wenn eine Stelle Daten an eine Stelle im Drittland oder an eine internationale Organisation sendet oder sie von dort abrufen lässt. Auch Datenzugriffe aus Stellen im Drittland etwa für Backups, Wartung und Servicefunktionen sind Übermittlungen.

Drittländer sind Staaten außerhalb des Europäischen Wirtschaftsraums, also außerhalb der Europäischen Union und außerhalb von Island, Liechtenstein und Norwegen.

Eine internationale Organisation ist eine völkerrechtliche Organisation und ihre nachgeordneten Stellen oder jede sonstige Einrichtung, die durch eine zwischen zwei oder mehr Ländern geschlossene Übereinkunft oder auf der Grundlage einer solchen Übereinkunft geschaffen wurde.

Die folgenden Informationen erläutern die Vorschriften der Datenschutz-Grundverordnung zur Datenübermittlung an Drittländer. Für NRW-Behörden, die Daten zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung verarbeiten (Richtlinie (EU) 2016/680, „JI-Richtlinie“), gelten dagegen die §§ 62 ff. Datenschutzgesetz Nordrhein-Westfalen.

Beachten Sie die Zwei-Stufen-Prüfung

Eine Übermittlung an Drittländer ist nur zulässig, wenn die Bedingungen für die Drittlandübermittlung und auch die sonstigen Bestimmungen der Datenschutz-Grundverordnung eingehalten werden (Art. 44 Datenschutz-Grundverordnung – DS-GVO). Es wird also in zwei Stufen geprüft:

1. Stufe: Werden die sonstigen Bestimmungen der DS-GVO eingehalten?

Dabei ist alles zu prüfen, was auch ohne Drittlandübermittlung zu prüfen ist – also die Rechtsgrundlage für die Übermittlung, aber auch alle anderen Regelungen beispielsweise zu Informations- und Rechenschaftspflichten oder zur Datenminimierung. Kapitel V der DS-GVO (Art. 44 ff. DS-GVO) enthält keine Rechtsgrundlage, die die Übermittlung selbst erlaubt.

2. Stufe: Werden die Bedingungen von Kapitel V der DS-GVO (Art. 44 ff. DS-GVO) eingehalten?

Dafür muss eines der verschiedenen „Instrumente“ genutzt werden, die die DS-GVO für Drittlandübermittlungen bereitstellt.

Angemessenheitsbeschluss (Art. 45 DS-GVO)

Eine Übermittlung ist zulässig, wenn die Europäische Kommission beschlossen hat, dass das Drittland ein angemessenes Schutzniveau bietet. Eine besondere Genehmigung für die Datenübermittlung ist dann nicht erforderlich. Mehr zum Angemessenheitsbeschluss.

Geeignete Garantien (Art. 46 DS-GVO)

Wenn es keinen Angemessenheitsbeschluss gibt, ist eine Übermittlung zulässig, wenn geeignete Garantien vorgesehen sind, um trotzdem ein angemessenes Schutzniveau zu gewährleisten. Dafür gibt es verschiedene Möglichkeiten, beispielsweise EU-Standarddatenschutzklauseln oder verbindliche interne Datenschutzvorschriften (BCR).

Bei allen Garantien nach Art. 46 DS-GVO müssen Datenexporteure zusätzliche Prüfungen anstellen und bei Bedarf ergänzende Maßnahmen treffen. Das hat der Europäische Gerichtshof in seiner Rechtsprechung klargestellt (Urteil C-311/18 vom 16.07.2020 – „Schrems II“). Mehr zu geeigneten Garantien und mehr zu zusätzlichen Prüfungen und ergänzenden Maßnahmen.

Ausnahmen für bestimmte Fälle (Art. 49 DS-GVO)

Wenn es weder einen Angemessenheitsbeschluss noch geeignete Garantien gibt, ist eine Datenübermittlung nur in den Ausnahmefällen zulässig, die Art. 49 DS-GVO regelt. Solche Fälle sind zum Beispiel eine Einwilligung, die Erforderlichkeit für bestimmte Vertragszwecke oder lebenswichtige Interessen. Allerdings können regelmäßige Übermittlungen nicht auf diese Ausnahmen gestützt werden. Mehr zu Ausnahmen für bestimmte Fälle.

Auch wenn eines der oben genannten Instrumente verwendet wird, ist eine Übermittlung unzulässig, wenn ein Gericht oder eine Verwaltungsbehörde eines Drittlands die Übermittlung verlangt, sich aber nicht auf eine internationale Übereinkunft wie etwa ein Rechtshilfeabkommen stützt (Art. 48 DS-GVO).

Angemessenheitsbeschluß

Die Europäische Kommission veröffentlicht die Angemessenheitsbeschlüsse nach Art. 45 Datenschutz-Grundverordnung (DS-GVO). Daraus ergibt sich, für welches Drittland aktuell ein Angemessenheitsbeschluss besteht. Nach unserem letzten Stand ist für die folgenden Länder ein angemessenes Datenschutzniveau festgestellt:

Sie möchten mehr erfahren, um mehr für die Sicherheit in Ihrem Unternehmen tun? Nehmen Sie gerne Kontakt auf.

EU-Standardvertragsklauseln

EU-Standarddatenschutzklauseln

Datenexporteure und Datenimporteure können die Standarddatenschutzklauseln der Europäischen Kommission vertraglich vereinbaren. Die Kommission gibt dafür unter der Bezeichnung Standardvertragsklauseln Regeln für verschiedene Situationen vor.

Standarddatenschutzklauseln, die von der Europäischen Kommission erlassen wurden, können die Grundlage für eine Datenübermittlung in Drittländer ohne angemessenes Datenschutzniveau sein, sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen (Art. 46 Abs. 1, Abs. 2 Buchstabe c DS-GVO). Die Kommission gibt dafür unter der Bezeichnung Standardvertragsklauseln Vertragsmuster für verschiedene Situationen vor. Diese Klauseln werden zwischen den Datenexporteuren im Europäischen Wirtschaftsraum und den Datenimporteuren in Drittstaaten vertraglich vereinbart. Die Genehmigung einer Aufsichtsbehörde ist nicht erforderlich.

Die Europäische Kommission hat im Juni 2021 neue Standardvertragsklauseln erlassen (Durchführungsbeschluss (EU) 2021/914 der Europäischen Kommission vom 04.06.2021 – Az. C(2021) 3972, ABl. EU Nr. L 199/31 vom 07.06.2021). Die Vertragsmuster finden sich im Anhang dieser Entscheidung.

Diese Klauseln sind nicht zu verwechseln mit den Standardvertragsklauseln für die Auftragsverarbeitung nach Art. 28 DS-GVO, die ebenfalls von der Europäischen Kommission erlassen wurden.

In den neuen Standardvertragsklauseln werden allgemeine Klauseln mit einem modularen Ansatz kombiniert. Zusätzlich zu den allgemeinen Klauseln sollen Verantwortliche und Auftragsverarbeiter das für ihre Situation geltende Modul auswählen. Die Module können für folgende Konstellationen verwendet werden:

  • Modul 1: Übermittlung von Verantwortlichen an Verantwortliche
  • Modul 2: Übermittlung von Verantwortlichen an Auftragsverarbeiter
  • Modul 3: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter
  • Modul 4: Übermittlung von Auftragsverarbeitern an Verantwortliche.

Die Klauseln werden von der jeweiligen datenexportierenden Stelle (Datenexporteur) mit der datenempfangenden Stelle (Datenimporteur) abgeschlossen. Es ist auch möglich, diese Verträge als Mehrparteienvertrag zu gestalten. Dabei ist allerdings besonders darauf zu achten, dass die konkreten Datenflüsse zwischen den Vertragsparteien klar beschrieben sind. Es muss für die Betroffenen transparent bleiben, an welche Stellen zu welchen Zwecken ihre Daten übermittelt werden. Stellen Datenexporteure Schwierigkeiten bei der entsprechenden Darstellung fest, ist ein solcher Mehrparteienvertrag aufgrund zu komplizierter Strukturen und Datenflüsse nicht geeignet.

Beachten Sie die Übergangsregelung

Alte Standardvertragsklauseln (vgl. Entscheidung 2001/497/EG oder Beschluss 2010/87/EU) dürfen für eine Übergangszeit bis zum 26.09.2021 für Neuverträge verwendet werden.
Bis spätestens 27.12.2022 müssen alle Verträge, die auf Grundlage der alten Standardvertragsklauseln abgeschlossen wurden, auf die neuen Standardvertragsklauseln umgestellt werden. Diese Übergangsfrist unterliegt der Einschränkung, dass die betroffenen Verarbeitungsvorgänge unverändert bleiben und die Anwendung dieser Klauseln gewährleistet, dass die Übermittlung personenbezogener Daten geeigneten Garantien unterliegt.

Verändern Sie die EU-Standardatenschutzklauseln nicht

Für EU-Standardvertragsklauseln ist keine besondere Genehmigung einer Aufsichtsbehörde erforderlich (Art. 46 Abs. 2 DS-GVO).
Wenn allerdings einzelne Klauseln individuell verändert oder Klauseln der einzelnen Verträge oder Module miteinander vermischt werden, entsteht grundsätzlich ein Individualvertrag, der gemäß Art. 46 Abs. 3 DS-GVO im Kohärenzverfahren auf EU-Ebene abgestimmt und durch die Aufsichtsbehörde genehmigt werden muss. Die LDI NRW hat bisher solche Verträge nicht genehmigt.

Ob im Einzelfall keine Genehmigungspflicht besteht, ist in Zweifelsfällen durch Rückfrage bei der zuständigen Aufsichtsbehörde zu klären.

Die neuen DSGVO-Standardvertragsklauseln

Bisher gab es drei Sets von Standardvertragsklauseln. Set I und II für die Konstellation EU-Controller (Verantwortlicher) to Non-EU Controller und ein drittes für die Konstellation EU-Controller to Non EU Processor (Auftragsverarbeiter). Nun gibt es anstatt drei Sets nur noch ein Klauselwerk, das von der EU-Kommission angenommen wurden:

Dies ist dadurch zu erklären, dass die Standardvertragsklauseln nun modular aufgebaut sind. In dem neuen Klauselwerk finden sich neben den zwei alten Konstellationen nun erstmals Module für die Datenübertragung Processor to Processor (Modul 3) und Processor to Controller (Modul 4). Daneben beinhalten die Standardvertragsklauseln z.B. umfassende Haftungsregeln und die Möglichkeit den Gerichtsstand und das anwendbare Recht festzulegen. Insgesamt ermöglichen die DSGVO-Standardvertragsklauseln Unternehmen so mehr Flexibilität. Diese sorgt aber auch dafür, dass der Abschluss von Standardvertragsklauseln für KMU künftig komplizierter wird. Hinzu kommt der Aufwand für die umfassenderen Dokumentationspflichten, die in die Standardvertragsklauseln Einzug gefunden haben.

Risikobasierter Ansatz in den Standardvertragsklauseln?

Außerdem wurden die Anforderungen des Schrems II Urteil in die Standardvertragsklauseln (Module 14 und 15) aufgenommen. So wird etwa die, schon vom EDSA nach dem Schrems II Urteil von Unternehmen geforderte, dokumentierte Risikoeinschätzung („Transfer Impact Assessment”) verbindlich geregelt. Dabei müssen die Parteien beispielsweise versichern, keinen Grund zu der Annahme zu haben, dass die für die Verarbeitung personenbezogener Daten durch den Datenimporteur geltenden Rechtsvorschriften und Gepflogenheiten den Datenimporteur an der Erfüllung seiner Pflichten gemäß der Standardvertragsklauseln hindern.

Bei der Zusicherung sollen u.a. insbesondere relevante Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes (einschließlich solcher, die die Offenlegung von Daten gegenüber Behörden vorschreiben oder den Zugang von Behörden zu diesen Daten gestatten) sowie geltende Beschränkungen und Garantien hinreichend berücksichtigt werden. In der Fußnote heißt es dazu:

Zur Ermittlung der Auswirkungen derartiger Rechtsvorschriften und Gepflogenheiten auf die Einhaltung dieser Klauseln können in die Gesamtbeurteilung verschiedene Elemente einfließen. Diese Elemente können einschlägige und dokumentierte praktische Erfahrungen im Hinblick darauf umfassen, ob es bereits früher Ersuchen um Offenlegung seitens Behörden gab, die einen hinreichend repräsentativen Zeitrahmen abdecken, oder ob es solche Ersuchen nicht gab. […] Sofern anhand dieser praktischen Erfahrungen der Schluss gezogen wird, dass dem Datenimporteur die Einhaltung dieser Klauseln nicht unmöglich ist, muss dies durch weitere relevante objektive Elemente untermauert werden.

Verfechter eines risikobasierten Ansatzes für die Übermittlung von personenbezogenen Daten in Drittländer stützen ihre Argumentation insbesondere auf den Umstand, dass in die Bewertung der Auswirkungen von gesetzlichen Offenlegungspflichten nun auch subjektive praktische Erfahrungen ausdrücklich einfließen sollen. Diese Formulierung der EU-Kommission in den Standardvertragsklauseln könnte tatsächlich zu einem Schrems III führen, welches man eigentlich unbedingt vermeiden wollte. Denn noyb kündigte im Rahmen der Konsultation zu den neuen Standardvertragsklauseln (S. 2) bereits an:

This wording seems to interpreted by some controllers and processors as meaning that even when there are third country laws that violate the GDPR this can be ignored when these laws were not used, or not used enough by a third country government. In essence this would lead to a “law or practice” approach […] [which was] rejected by the CJEU. […] noyb will closely monitor the developments regarding this point and take appropriate legal steps should the Commission adopt such an approach and controllers actually rely on this approach.

Maßnahmen zur Ergänzung

Wie bei allen Garantien nach Art. 46 DS-GVO müssen Datenexporteure zusätzliche Prüfungen anstellen und bei Bedarf zusätzliche Maßnahmen treffen.

Auch bei Verwendung der neuen EU-Standardvertragsklauseln ist dies erforderlich, denn die Europäische Kommission ist in ihrem Beschluss unter anderem auf die „Schrems II“-Entscheidung des Europäischen Gerichtshofs (EuGH) eingegangen: Die Klauseln regeln diese Anforderungen, die sich aus der Rechtsprechung des EuGH ergeben, nun ausdrücklich (Klausel 14). Die Europäische Kommission und der Europäische Datenschutzausschuss haben die neuen Standardvertragsklauseln und die Empfehlungen 01/2020 bewusst aufeinander abgestimmt.

Datenexporteure, die Garantien gemäß Art. 46 DS-GVO nutzen, müssen zusätzliche Prüfungen anstellen und bei Bedarf ergänzende Maßnahmen treffen. Das hat der Europäische Gerichtshof in seinem „Schrems II“-Urteil (C-311/18 vom 16.07.2020) klargestellt. Dies betrifft zum Beispiel die häufig verwendeten Standarddatenschutzklauseln (Standardvertragsklauseln), aber auch alle anderen Instrumente des Art. 46 DS-GVO, zum Beispiel verbindliche interne Datenschutzklauseln (BCR).

Die folgenden Schritte erleichtern die Prüfung:

1. Schritt: Die Datenübermittlungen kennen

Um welche Datenübermittlung geht es? (Was, wozu, wohin?)

2. Schritt: Auswahl der eingesetzten Übermittlungsinstrumente

Welches Instrument gemäß Art. 46 DS-GVO wird für die Übermittlung genutzt?

3. Schritt: Beurteilung der Wirksamkeit des ausgewählten Übermittlungsinstruments gemäß Artikel 46 DSGVO im Hinblick auf die Gesamtumstände der Übermittlung

Ist dieses Instrument im Drittland effektiv?

Dazu muss geprüft werden, ob Umstände im Drittland verhindern, dass das genutzte Instrument umfassend wirksam ist. Das ist besonders dann der Fall, wenn im Drittland staatliche Zugriffe zu befürchten sind, die durch das Instrument nicht verhindert werden können, und dies mit dem europäischen Rechtsrahmen nicht vereinbar sind. Wenn das so ist, ist weiter zu prüfen:

4. Schritt: Zusätzliche Maßnahmen ergreifen

Können ergänzende Maßnahmen die Defizite beseitigen?

Wenn das nicht so ist, darf die Übermittlung so nicht stattfinden.

Wenn es solche Maßnahmen gibt: Geeignete Maßnahmen implementieren.

5. Schritt: Verfahrensschritte nach Ermittlung effektiver zusätzlicher Maßnahmen

Der fünfte Schritt ist die Einleitung aller förmlichen Verfahrensschritte, die ggf. für die zusätzliche Maßnahme erforderlich sind, je nachdem, welches der in Artikel 46 DSGVO genannten Übermittlungsinstrumente der Datenexporteur auswählt.

6. Schritt: Neubewertung in angemessenen Abständen

Der Grundsatz der Rechenschaftspflicht erfordert ständige Wachsamkeit hinsichtlich des Schutzniveaus für die personenbezogenen Daten.

  • Niedriges Risikolevel: Ergibt die vorgenommene Bewertung insgesamt ein niedriges Risikolevel, können sich Unternehmen darauf beschränken, die Risikobewertung einschließlich zusätzlich getroffener Schutzmaßnahmen zu dokumentieren. Auch wenn eine Datenschutzaufsichtsbehörde später zu einer abweichenden Bewertung gelangen sollte, werden Unternehmen auf der Basis einer soliden Risikobewertung und belastbarer zusätzlicher Schutzmaßnahmen im Regelfall gute Chancen auf eine erfolgreiche Verteidigung haben.
  • Einstellen des Datentransfers bei erhöhtes Risikolevel: Führt die Risikobewertung zu einem erhöhten Risikolevel, das sich auch durch zusätzliche Schutzmaßnahmen nicht ausgleichen lässt, können Unternehmen erwägen, die betreffende Datenübermittlung (vorerst) einzustellen. Dieses Vorgehen, sofern es denn praktikabel ist, reduziert das rechtliche Risiko auf ein Minimum.
  • Fortführung des Datentransfers bei erhöhtem Risikolevel: Entscheidet sich das Unternehmen dafür, den Datentransfer dennoch fortzuführen, verlangt der EDSA eine entsprechende Benachrichtigung der zuständigen Datenschutzaufsichtsbehörde.
  • Meldung bei der Datenschutzaufsichtsbehörde: Teilt das Unternehmen den beabsichtigten (potenziell rechtswidrigen) Datentransfer mit, so wird die zuständige Datenschutzaufsichtsbehörde wahrscheinlich eine Untersagungsverfügung erlassen. Hiergegen könnten Unternehmen zwar anschließend im Wege der verwaltungsgerichtlichen Klage und unter Umständen im einstweiligen Rechtsschutz vorgehen. Dabei kann es ein wichtiges Argument vor Gericht sein, dass der EuGH mit dem Schrems II-Urteil die Möglichkeit gehabt hat, Datenübermittlungen in die USA auf Basis von Standardvertragsklauseln für stets unzulässig zu erklären, dies aber nicht explizit getan hat. Selbst wenn dieses Vorgehen nicht erfolgreich sein sollte, bleibt das Risiko begrenzt. Allerdings dürften die Erfolgsaussichten vor Gericht mäßig sein, wenn das Unternehmen zuvor mitgeteilt hat, dass es selbst das Schutzniveau in Bezug auf die übermittelten Daten für unzureichend hält. Daher dürfte es in solchen Fällen zweckmäßig sein, „vorsorglich“ die Datenschutzaufsichtsbehörde zu unterrichten und die Position zu vertreten, dass die geplanten Schutzmaßnahmen ausreichend seien.
  • Keine Meldung bei der Datenschutzaufsichtsbehörde: Ohne eine entsprechende Meldung sind Unternehmen der Gefahr ausgesetzt, dass die zuständige Datenschutzaufsichtsbehörde im Entdeckungsfall die Datenübermittlung untersagt und darüber hinaus ein – unter Umständen hohes – Bußgeld verhängt. Wenn die Datenschutzaufsichtsbehörden der Ansicht sind, dass Datentransfers gestützt auf Standardvertragsklauseln nicht rechtmäßig sind, sollen sie laut EuGH zum Einschreiten verpflichtet sein. Bei dieser Handlungsvariante steht dem Vorteil des fortgesetzten Datentransfers ein erhöhtes Bußgeldrisiko gegenüber.

Der Europäische Datenschutzausschuss (EDSA) gibt Empfehlungen, wie eine Übermittlung personenbezogener Daten in Drittländer unter Berücksichtigung der Rechtsprechung des Europäischen Gerichtshofs rechtssicher gestaltet werden kann.

Die Empfehlungen unterstützen die Verantwortlichen und Auftragsverarbeiter, die als Datenexporteure tätig sind, bei ihrer Pflicht, geeignete ergänzende Maßnahmen aufzufinden und umzusetzen. Dazu enthalten die Empfehlungen

• Prüfschritte,

• Beispiele für zusätzliche Maßnahmen und

• Bedingungen für die Wirksamkeit von zusätzlichen Maßnahmen.

Die „Empfehlungen zu ergänzenden Maßnahmen für Übertragungsinstrumente zur Gewährleistung des EU-Schutzniveaus für personenbezogene Daten in endgültiger Fassung (Version 2.0) wurden nach einer öffentlichen Konsultation überarbeitet. Sie liegen noch nicht auf Deutsch vor (Stand Juni 2021).

Eine Roadmap in englischer Sprache informiert über die Schritte einer zulässigen Datenübermittlung.

Außerdem gibt der EDSA dazugehörige Empfehlungen zu den wesentlichen europäischen Garantien in Bezug auf Überwachungsmaßnahmen. Diese helfen Datenexporteuren festzustellen, wie der Rechtsrahmen im Drittland, der den Zugang von Behörden zu Daten für Überwachungszwecke regelt, die Verpflichtungen des Übertragungsinstruments nach Artikel 46 DS-GVO berührt.

Verbindliche interne Datenschutzvorschriften (BCR)

Unternehmensgruppen oder Gruppen von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, können verbindliche interne Datenschutzvorschriften nutzen, die von einer Datenschutzaufsichtsbehörde genehmigt sind.

Verbindliche interne Datenschutzvorschriften oder „Binding Corporate Rules“ (BCR) können die Grundlage für eine Datenübermittlung in Drittländer ohne angemessenes Datenschutzniveau sein, sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen (Art. 46 Abs. 1, Abs. 2 Buchstabe b) DS-GVO). Die BCR müssen dafür von einer zuständigen Aufsichtsbehörde genehmigt sein. Konkrete Übermittlungen, für die die BCR gelten, müssen dann nicht genehmigt werden (Art. 46 Abs. 2 DS-GVO).

BCR betreffen Unternehmensgruppen oder Gruppen von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben. Eine Unternehmensgruppe ist eine Gruppe, die aus einem herrschenden Unternehmen und von diesem abhängigen Unternehmen besteht (Art. 4 Nr. 19 DS-GVO). Die erforderlichen Mindestinhalte für BCR sind in Art. 47 DS-GVO geregelt.

 

Die BCR können in zwei Typen eingesetzt werden:

1. Vorschriften für Verantwortliche: Controller BCR (BCR-C)

Diese Vorschriften dienen der Datenübermittlung durch Verantwortliche, die in einem Mitgliedstaat des Europäischen Wirtschaftsraums (EWR) niedergelassen sind, an andere Verantwortliche oder Auftragsverarbeiter außerhalb des EWR. Dabei sind die beteiligten Unternehmen Teil einer Gruppe.
Dieses Instrument kommt in Frage für Unternehmensgruppen oder Gruppen von Unternehmen, in denen ein regelmäßiger Austausch personenbezogener Daten erfolgt. Die Unternehmen erarbeiten ein Regelwerk, welches Datenschutzgarantien für die Personen schafft, deren Daten im Konzern verarbeitet werden. Dieses Regelwerk kann sich auch auf bestimmte Bereiche beschränken, zum Beispiel auf die Verarbeitung von Personaldaten innerhalb eines Konzernverbundes. Es bietet dann nur für diese Bereiche geeignete Garantien gemäß Art. 46 DS-GVO.

2. Vorschriften für Auftragsverarbeiter: Processor BCR (BCR-P)

Der Fokus dieser Regelungen liegt auf Weiterübermittlungen solcher Daten, die von einem Verantwortlichen, der kein Mitglied der Gruppe ist, erhalten werden und anschließend von den Mitgliedern der Gruppe als Auftragsverarbeiter und/oder Unterauftragsverarbeiter verarbeitet werden. Denkbar ist dies etwa im Zusammenhang mit der Auslagerung von IT-Dienstleistungen. Insgesamt können diese Vorschriften auch als BCR für Daten Dritter bezeichnet werden.

 

Genehehmigungsverfahren

Für die Antragstellung bei der LDI NRW haben wir Empfehlungen. Siehe dazu unten.

Das vom Europäischen Datenschutzausschuss bestätigte Arbeitspapier WP263 rev.01 (ehemals WP107) erläutert das Koordinierungsverfahren der europäischen Datenschutzaufsichtsbehörden für die Genehmigung von BCR. Dieses Verfahren besteht aus den folgenden Schritten:

1. Bestimmung der EWR-Federführung

Zuerst muss die federführende Aufsichtsbehörde identifiziert werden (BCR Lead SA). Die Antragsteller*innen stellen den Antrag bei der Behörde, die ihrer Meinung nach federführend ist. Maßgeblich sind die in Ziffer 1.2 WP263 rev.01 festgelegten Kriterien.

Die Behörde, die den Antrag erhalten hat, überprüft die Angaben, um unter Einbindung der anderen Aufsichtsbehörden die EWR-Federführung zu bestimmen (vgl. Ziff. 2.1 WP263 rev.01).

2. Prüfung der Unterlagen und Kooperationsverfahren

Sobald die Federführung feststeht, beginnt die Prüfung der Unterlagen durch die BCR Lead SA. Hierzu müssen Antragsteller*innen die folgenden Dokumente einreichen:

  • Vollständig ausgefülltes Antragsformular WP264 bzw. WP265 (Part 1 und Part 2)
  • Checkliste für den entsprechenden BCR-Typ: 
    • Prüftabelle für die notwendigen Inhalte von BCR-C (WP256 rev.01)
    • Prüftabelle für die notwendigen Inhalte von BCR-P (WP257 rev.01)
  • BCR
  • Begleitende Dokumente, falls vorhanden.

Auf die Prüfung der BCR Lead SA folgt die Prüfung durch maximal zwei weitere EWR-Aufsichtsbehörden als Co-Prüfer (sog. Co-Reviewer, vgl. Ziff. 2.2 WP263). Sobald die Prüfung durch die Co-Reviewer beendet ist, erhalten alle EWR-Aufsichtsbehörden Gelegenheit zur Stellungnahme im Rahmen des Kooperationsverfahrens. Anmerkungen der Aufsichtsbehörden, einschließlich von Verbesserungsvorschlägen und Änderungswünschen, teilt die BCR Lead SA den Antragsteller*innen bei allen genannten Schritten mit. Die Antragsteller*innen haben dann die Gelegenheit, die BCR anzupassen.

3. Kohärenzverfahren (Art. 63 DS-GVO)

Ergebnis des Kooperationsverfahrens ist in der Regel eine konsolidierte Fassung der BCR-Unterlagen, die die Antragsteller*innen angepasst haben und die die Aufsichtsbehörden als grundsätzlich genehmigungsfähig einschätzen. Vor der Genehmigung muss die BCR Lead SA im Rahmen des formellen Kohärenzverfahrens eine Stellungnahme des Europäischen Datenschutzausschusses nach Art. 64 Abs. 1 Buchstabe f DS-GVO beantragen (vgl. Ziff. 2.5 WP263).

Gemäß Art. 64 Abs. 5 Buchstabe b DS-GVO werden die Stellungnahmen des EDSA veröffentlicht.

 

Der Europäische Datenschutzausschuss stellt eine Übersicht über die genehmigten BCR und die nationalen Genehmigungsentscheidungen zur Verfügung.

Bereits vor der DS-GVO genehmigte BCR behalten ihre Gültigkeit (Art. 46 Abs. 5 Satz 1 DS-GVO). BCR-Inhaber*innen mussten sie aber an die DS-GVO anpassen. Die federführende Aufsichtsbehörde sollte darüber im Rahmen der jährlichen Änderungsmeldungen informiert werden.

Infolge des Brexit kann die Aufsichtsbehörde im Vereinigten Königreich (ICO) im BCR-Genehmigungsverfahren nach Art. 47 DS-GVO nicht mehr als BCR Lead SA agieren.

BCR-Inhaber*innen und BCR-Antragsteller*innen, die bisher ICO als BCR Lead SA bestimmt hatten, müssen daher eine neue Aufsichtsbehörde im EWR als BCR Lead SA identifizieren. Für eine eventuell erforderliche Überarbeitung bereits genehmigter BCR bzw. der Antragsunterlagen kann die vom Europäischen Datenschutzausschuss veröffentlichte Prüftabelle herangezogen werden.

Empfehlungen:

Es empfiehlt sich, schon vor der Antragstellung Kontakt mit der zuständigen Aufsichtsbehörde aufzunehmen, um Fragen zu Eignung, Zuständigkeit und Verfahren zu klären.

Antragsteller*innen, die die LDI NRW als BCR Lead SA identifiziert haben und ein BCR-Genehmigungsverfahren durchführen wollen, sollen im ersten Verfahrensschritt die folgenden Unterlagen einreichen:

  • Part 1 des Antragsformulars für den entsprechenden BCR-Typ 
    • Antragsformular für BCR-C (WP 264)
    • Antragsformular für BCR-P (WP 265)
  • Aussagekräftiges Organigramm der Gruppe
  • Liste der Gruppeneinheiten, die an den BCR teilnehmen, samt Kontaktdaten (vgl. letzter Spiegelstrich unter Ziff. 2 von Part 1 WP264 bzw. WP265). Aus den Angaben sollte sich die jeweilige Rechtsform der Einheiten ergeben.
  • Informationen zu den vorgesehenen Datenflüssen

Alle Unterlagen sollten auf Englisch eingereicht werden, da in dieser Sprache die Zusammenarbeit mit den EWR-Aufsichtsbehörden erfolgt. Damit können zeit- und kostenaufwendige Übersetzungen im Genehmigungsprozess vermieden werden. Eine deutsche Übersetzung muss der LDI NRW zwar vorgelegt werden. Dies ist aber erst erforderlich, wenn das Kohärenzverfahren abgeschlossen ist und die (nationale) Genehmigungsentscheidung ansteht.

Zur Vermeidung von Verzögerungen empfehlen wir Antragsteller*innen, in das Genehmigungsverfahren erst dann einzusteigen, wenn sämtliche erforderlichen Unterlagen ausgefüllt bzw. finalisiert sind. Hierzu zählen die Antragsformulare, die Prüftabellen sowie insbesondere die BCR.

Beachten Sie die Übergangsregelung

Verändern Sie die EU-Standardatenschutzklauseln nicht

Für EU-Standardvertragsklauseln ist keine besondere Genehmigung einer Aufsichtsbehörde erforderlich (Art. 46 Abs. 2 DS-GVO).
Wenn allerdings einzelne Klauseln individuell verändert oder Klauseln der einzelnen Verträge oder Module miteinander vermischt werden, entsteht grundsätzlich ein Individualvertrag, der gemäß Art. 46 Abs. 3 DS-GVO im Kohärenzverfahren auf EU-Ebene abgestimmt und durch die Aufsichtsbehörde genehmigt werden muss. Die LDI NRW hat bisher solche Verträge nicht genehmigt.

Ob im Einzelfall keine Genehmigungspflicht besteht, ist in Zweifelsfällen durch Rückfrage bei der zuständigen Aufsichtsbehörde zu klären.

Ausnahmefälle

Wenn es weder einen Angemessenheitsbeschluss noch geeignete Garantien gibt, ist eine Datenübermittlung nur in den Ausnahmefällen zulässig, die Art. 49 DS-GVO regelt.

EINSCHRÄNKUNGEN FÜR BESTIMMTE KATEGORIEN

Zunächst muss nach Art. 49 Abs. 5 DS-GVO – für den Fall, dass kein Angemessenheitsbeschluss existiert – geprüft werden, ob im Unionsrecht oder im Recht der Mitgliedstaaten Beschränkungen für Übermittlungen bestimmter Kategorien von personenbezogenen Daten an Drittländer aus wichtigen Gründen des öffentlichen Interesses vorgesehen sind. Existieren solche Beschränkungen, dürfen die betroffenen Kategorien an personenbezogenen Daten auch nicht unter den Voraussetzungen des Art. 49 DS-GVO an Drittländer übermittelt werden.

Zum Beispiel ist für Sozialdaten eine Beschränkung in § 77 Abs. 3 Zehntes Buch Sozialgesetzbuch geregelt.

AUSNAHMEN

Die Übermittlung ist unter einer der folgenden Bedingungen zulässig (Art. 49 Abs. 1 DS-GVO). Eine behördliche Genehmigung oder Unterrichtung ist dafür nicht erforderlich. Diese Bedingungen sind allerdings restriktiv auszulegende Sonderregeln.

a) Einwilligung

Die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde. Dabei reichen die Informationen zur Einwilligung auf der 1. Stufe nicht aus. 

b) Vertrag mit der betroffenen Person

Die Übermittlung ist für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich.

c) Vertrag im Interesse der betroffenen Person

Die Übermittlung ist zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einer anderen natürlichen oder juristischen Person geschlossenen Vertrags erforderlich.

d) Wichtige Gründe des öffentlichen Interesses

Die Übermittlung ist aus wichtigen Gründen des öffentlichen Interesses notwendig.

e) Rechtsansprüche

Die Übermittlung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich.

f) Lebenswichtige Interessen

Die Übermittlung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder anderer Personen erforderlich, sofern die betroffene Person aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben.

g) Register

Die Übermittlung erfolgt aus einem Register, das gemäß dem Recht der Union oder der Mitgliedstaaten zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offensteht, aber nur soweit die im Recht der Union oder der Mitgliedstaaten festgelegten Voraussetzungen für die Einsichtnahme im Einzelfall gegeben sind.

Einzelfall

Sollten auch die Voraussetzungen des Art. 49 Abs. 1 Buchstabe a bis g nicht erfüllt sein, darf eine Übermittlung nach Art. 49 Abs. 1 Unterabsatz 2 DS-GVO nur dann erfolgen, wenn die Übermittlung

  • nicht wiederholt erfolgt,
  • nur eine begrenzte Zahl von betroffenen Personen betrifft,
  • für die Wahrung der zwingenden berechtigten Interessen des Verantwortlichen erforderlich ist,
  • sofern die Interessen oder die Rechte und Freiheiten der betroffenen Person nicht überwiegen, und
  • der Verantwortliche alle Umstände der Datenübermittlung beurteilt und auf der Grundlage dieser Beurteilung angemessene Garantien in Bezug auf den Schutz personenbezogener Daten vorgesehen hat

Diese Punkte müssen alle zugleich erfüllt sein. Die Beurteilung sowie die angemessenen Garantien müssen in das Verzeichnis von Verarbeitungstätigkeiten aufgenommen werden (Art. 49 Abs. 6 DS-GVO). Zudem muss der Verantwortliche die Aufsichtsbehörde von der Übermittlung in Kenntnis setzen und die betroffenen Personen über die Übermittlung und seine zwingenden berechtigten Interessen unterrichten.

AUSLEGUNG

Die Tatbestände des Art. 49 Abs. 1 DS-GVO sind restriktiv auszulegen. Sie dürfen nicht zu einer Aushöhlung des Persönlichkeitsrechtsschutzes bei Datenübermittlungen ins Ausland führen.

Einwilligung

2.1 Die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich
eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger
Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne
geeignete Garantien unterrichtet wurde – Artikel 49 Absatz 1 Buchstabe a

Die allgemeinen Voraussetzungen für die Gültigkeit einer Einwilligung sind in Artikel 4 Absatz 1110
und Artikel 7 der DSGVO11 festgelegt. In einem gesonderten, vom EDSA gebilligten Dokument bietet
die G29 eine Orientierungshilfe zu diesen allgemeinen Voraussetzungen.12 Diese Voraussetzungen
gelten auch für die Einwilligung im Sinne des Artikel 49 Absatz 1 Buchstabe a. Für die Anerkennung
der Einwilligung als rechtswirksame Grundlage für Datenübermittlungen an Drittländer und an
internationale Organisationen gemäß Artikel 49 Absatz 1 Buchstabe a sind allerdings spezifische
zusätzliche Elemente erforderlich, die im vorliegenden Dokument erläutert werden.
Abschnitt 1 der vorliegenden Leitlinien ist daher in Verbindung mit den vom EDSA gebilligten
Leitlinien der G29 zur Einwilligung zu sehen, in denen die allgemeinen Voraussetzungen und Kriterien
für die Einwilligung gemäß der DSGVO eingehender analysiert werden.13 Darüber hinaus sei darauf
hingewiesen, dass sich Behörden nach Artikel 49 Absatz 3 bei der Ausübung ihrer hoheitlichen
Befugnisse nicht auf diese Ausnahme stützen dürfen.
Nach Artikel 49 Absatz 1 Buchstabe a darf eine Übermittlung personenbezogener Daten an
Drittländer oder an eine internationale Organisation ohne Vorliegen eines
Angemessenheitsbeschlusses nach Artikel 45 Absatz 3 oder geeigneter Garantien nach Artikel 46,
einschließlich verbindlicher interner Datenschutzvorschriften, nur dann erfolgen, wenn „die
betroffene Person […] in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt [hat],
nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne
Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde“.
2.1.1 Die Einwilligung muss ausdrücklich sein
Nach Artikel 4 Absatz 11 der DSGVO sollte eine Einwilligung freiwillig für den bestimmten Fall, in
informierter Weise und unmissverständlich abgegeben werden. In Bezug auf die letztgenannte
Voraussetzung sieht Artikel 49 Absatz 1 Buchstabe a eine strengere Bedingung vor: Er erfordert eine
„ausdrückliche“ Einwilligung. Im Unterschied zu Artikel 26 Absatz 1 Buchstabe a der Richtlinie
95/46/EG, der lediglich eine „unmissverständliche“ Einwilligung vorsah, handelt es sich hier um eine
neue Anforderung. Die DSGVO erfordert eine ausdrückliche Einwilligung in Fällen, in denen
möglicherweise besondere Datenschutzrisiken bestehen und daher ein hohes Maß an individueller
Kontrolle über die personenbezogene Daten erforderlich ist, wie es bei der Verarbeitung von
besonderen Kategorien personenbezogener Daten (Artikel 9 Absatz 2 Buchstabe a) und bei automatisierten Entscheidungen (Artikel 22 Absatz 2 Buchstabe c) der Fall ist. Solche besonderen
Risiken bestehen auch im Zusammenhang mit internationalen Datenübermittlungen.
Weitere Orientierungshilfen zur Anforderung der ausdrücklichen Einwilligung sowie zu den übrigen
Anforderungen für die Anerkennung der Gültigkeit der Einwilligung finden sich in den vom EDSA
gebilligten Leitlinien der G29 zur Einwilligung.

2.1.2 Die Einwilligung muss für den bestimmten Fall der betreffenden Datenübermittlung
bzw. Reihe von Datenübermittlungen erteilt werden
Eine Voraussetzung für die Rechtswirksamkeit der Einwilligung ist, dass sie für den bestimmten Fall
erteilt werden muss. Um eine gültige Grundlage im Sinne von Artikel 49 Absatz 1 Buchstabe a für die
Datenübermittlung darzustellen, muss die Einwilligung somit speziell für die bestimmte
Datenübermittlung oder Reihe von Datenübermittlungen erteilt werden.
Mit dem Element „für den bestimmten Fall“ in der Definition von „Einwilligung“ soll ein gewisses
Maß an Kontrolle und Transparenz für die betroffene Person erreicht werden. Dieses Element ist
auch eng an die Forderung geknüpft, dass die Einwilligung in Kenntnis der Sachlage zu erfolgen hat. Da sich die Einwilligung auf einen bestimmten Fall beziehen muss, ist es bisweilen zum Zeitpunkt der
Datenerhebung nicht möglich, die vorherige Einwilligung des Betroffenen für eine spätere
Übermittlung einzuholen: Wenn beispielsweise der Zeitpunkt und die genauen Umstände der
Übermittlung beim Ersuchen um die Einwilligung nicht bekannt sind, können die Auswirkungen für
den Betroffenen nicht beurteilt werden. Zu nennen wäre hier das Beispiel eines in der EU ansässigen
Unternehmens, das Kundendaten für einen bestimmten Zweck (Lieferung von Waren) erhebt, ohne
zu diesem Zeitpunkt eine Datenübermittlung an einen Dritten außerhalb der EU zu erwägen. Einige
Jahre später wird dieses Unternehmen allerdings von einem nicht in der EU ansässigen Unternehmen
übernommen, das die personenbezogenen Daten seiner Kunden an ein anderes Unternehmen
außerhalb der EU übermitteln will. Damit diese Übermittlung auf der Grundlage des
Ausnahmetatbestandes der Einwilligung zulässig ist, sollte die betroffene Person ihre Einwilligung zu
der konkreten Übermittlung zu dem Zeitpunkt erteilen, an dem die Übermittlung vorgesehen ist. Die
Einwilligung zum Zeitpunkt der Datenerhebung durch das in der EU ansässige Unternehmen zu
Lieferwecken ist daher nicht ausreichend, um die Inanspruchnahme dieser Ausnahme für eine zu
einem späteren Zeitpunkt geplante Übermittlung personenbezogener Daten in das EU-Ausland zu
begründen.
Der Datenexporteur ist daher verpflichtet, eine Einwilligung für den bestimmten Fall einzuholen,
bevor die Übermittlung tatsächlich vorgenommen wird, selbst wenn die Einholung erst nach
Erhebung der Daten erfolgt. Darüber hinaus ist diese Anforderung mit dem Erfordernis verbunden,
dass die Einwilligung in Kenntnis der Sachlage zu erfolgen hat. Das Einholen einer Einwilligung der
betroffenen Person für den bestimmten Fall vor der Übermittlung und zum Zeitpunkt der Erhebung
der personenbezogenen Daten ist möglich, solange der Betroffene über diese Übermittlung
informiert wird und sich die Umstände der Übermittlung nicht ändern, nachdem der Betroffene seine
Einwilligung erteilt hat. Der Datenexporteur muss folglich sicherstellen, dass auch die im
nachstehenden Abschnitt 1.3 genannten Anforderungen erfüllt werden.

 

2.1.3 Die Einwilligung muss in Kenntnis der Sachlage erfolgen15, insbesondere was die
möglichen Risiken der Übermittlung betrifft
Diese Voraussetzung ist von besonderer Bedeutung, da sie die allgemeine Anforderung der
Einwilligung in Kenntnis der Sachlage, die für jede Einwilligung gilt und in Artikel 4 Absatz 11
festgelegt ist, bekräftigt und näher spezifiziert.16 Die Anforderung der Einwilligungserteilung in
Kenntnis der Sachlage erfordert bei der Einwilligung als Rechtsgrundlage für eine Datenübermittlung
im Sinne von Artikel 6 Absatz 1 Buchstabe a, dass die betroffene Person in angemessener Weise und
im Voraus über die spezifischen Umstände der Übermittlung (d. h. Identität des Verantwortlichen,
Zweck der Übermittlung, Art von Daten, Recht zum Widerruf der Einwilligung, Identität oder
Kategorien der Empfänger) informiert wird.17
Zusätzlich zu dieser allgemeinen Anforderung der Einwilligung in Kenntnis der Sachlage erfordert die
Einwilligung als Grundlage für die Übermittlung von personenbezogenen Daten an ein Drittland im
Sinne des Artikel 49 Absatz 1 Buchstabe a, dass die betroffenen Personen auch über die spezifischen
Risiken informiert werden, die sich aus der Tatsache ergeben, dass ihre Daten in ein Land übermittelt
werden, das keinen angemessenen Schutz bietet, und dass auch keine geeigneten Garantien zum
Schutz der Daten zur Anwendung gebracht werden. Die Erteilung dieser Informationen ist von
wesentlicher Bedeutung, damit die betroffene Person ihre Einwilligung in voller Kenntnis der
konkreten Umstände der Übermittlung erteilen kann. Werden diese Informationen nicht zur
Verfügung gestellt, kommt die Ausnahmeregelung daher nicht zur Anwendung. Die Informationen, die den betroffenen Personen erteilt werden, damit sie in die Übermittlung ihrer
personenbezogenen Daten an Drittparteien in Drittländern einwilligen können, müssen auch
umfassende Angaben dazu enthalten, wer die Empfänger oder die Kategorien der Empfänger der
Daten sind, in welche Länder die personenbezogenen Daten übermittelt werden, dass Grundlage für
die Übermittlung die Einwilligung ist und dass das Drittland, an das die Daten übermittelt werden,
kein angemessenes Datenschutzniveau auf der Grundlage eines Beschlusses der Europäischen
Kommission bietet.18 Wie bereits dargelegt, muss aus den Informationen zudem hervorgehen, welche möglichen Risiken sich für die betroffenen Personen aus der Tatsache ergeben, dass das
Drittland kein angemessenes Schutzniveau bietet und dass keine geeigneten Garantien vorliegen. Eine solche Erklärung, die im Übrigen standardisiert sein kann, sollte beispielsweise die Information
enthalten, dass es in dem Drittland möglicherweise keine Aufsichtsbehörde gibt und/oder keine
Datenverarbeitungsgrundsätze bestehen und/oder dass den betroffenen Personen in dem Drittland
möglicherweise keine Datenschutzrechte zustehen.
In dem konkreten Fall, in dem eine Übermittlung nach Erhebung der personenbezogenen Daten bei
der betroffenen Person erfolgt, sollte der Datenexporteur die betroffene Person über die
Übermittlung und die damit verbundenen Risiken informieren, bevor die Übermittlung stattfindet,
damit die betroffene Person ausdrücklich in die „vorgeschlagene“ Übermittlung einwilligen kann.
Wie in der vorstehenden Analyse dargelegt, ist die Hürde für die Anwendbarkeit der Einwilligung als
Ausnahmetatbestand für Datenübermittlungen in Drittländer in der DSGVO hoch gesetzt. Diese hohe
Hürde in Verbindung mit der Tatsache, dass die von einer betroffenen Person erteilte Einwilligung

jederzeit widerrufen werden kann, bedeutet, dass die Einwilligung wohl nicht als geeignete
langfristige Lösung für die Übermittlung in Drittländer angesehen werden kann.

Kriterium der Erforderlichkeit
Eine übergreifende Voraussetzung bei mehreren Ausnahmen lautet, dass die Datenübermittlung für
einen bestimmten Zweck „erforderlich“ sein muss. Um eine mögliche Inanspruchnahme der
Ausnahmen nach Artikel 49 Absatz 1 Buchstaben b, c, d, e und f zu beurteilen, sollte daher das
Kriterium der Erforderlichkeit angewandt werden. Im Rahmen dieses Kriteriums muss der
Datenexporteur in der EU bewerten, ob eine Übermittlung personenbezogener Daten für den
bestimmten Zweck der beabsichtigten Ausnahmeregelung als erforderlich erachtet werden kann
oder nicht. Weitere Hinweise zur spezifischen Anwendung des Kriteriums der Erforderlichkeit auf die
betreffenden Ausnahmen sind in den entsprechenden Abschnitten weiter unten enthalten.

Vertrag

2.2. Für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem
Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag
der betroffenen Person erforderliche Übermittlung – Artikel 49 Absatz 1 Buchstabe b
Gemäß Erwägungsgrund 111 sind Datenübermittlungen auf der Grundlage dieser Ausnahme zulässig, „wenn die Übermittlung gelegentlich erfolgt und im Rahmen eines Vertrags […] erforderlich ist“.19
Die Ausnahmetatbestände, die an die Erfüllung eines Vertrags anknüpfen, mögen zwar potentiell
eher breit gefasst erscheinen, sie sind jedoch durch die Kriterien der „Erforderlichkeit“ und der
„Gelegentlichkeit“ der Übermittlungen beschränkt.
Erforderlichkeit der Datenübermittlung
Durch das Kriterium der Erforderlichkeit20 wird die Zahl der Fälle, in denen Artikel 49 Absatz 1
Buchstabe b in Anspruch genommen werden kann, eingeschränkt.21 Dabei wird ein enger und
erheblicher Zusammenhang zwischen der Datenübermittlung und den Zwecken des Vertrags
vorausgesetzt. Diese Ausnahme kann beispielsweise nicht zur Anwendung kommen, wenn ein Konzern aus
geschäftlichen Gründen die Lohn- und die Personalabteilung für die gesamte Belegschaft in einem
Drittland zentralisiert hat, da es keinen unmittelbaren und objektiven Zusammenhang zwischen der
Erfüllung des Arbeitsvertrags und einer solchen Übermittlung gibt.22 Andere Grundlagen für die
Übermittlung nach Kapitel V, wie Standardvertragsklauseln oder verbindliche interne
Datenschutzvorschriften, könnten sich jedoch für eine solche Übermittlung als geeignet erweisen. Die Übermittlung personenbezogener Kundendaten durch Reisebüros an Hotels oder andere
Geschäftspartner, die im Rahmen der Organisation des Aufenthalts der Kunden im Ausland beteiligt
werden, kann hingegen als für die Zwecke des Vertrags zwischen dem Reisebüro und dem Kunden
erforderlich erachtet werden, da in diesem Fall eine hinreichend enge und hinreichende Verbindung
zwischen der Datenübermittlung und den Zwecken des Vertrags (Organisation der Reise des Kunden)
besteht.
Diese Ausnahme kann allerdings nicht auf die Übermittlung zusätzlicher Informationen angewandt
werden, die nicht für die Erfüllung des Vertrags bzw. die Durchführung vorvertraglicher Maßnahmen
auf Antrag der betroffenen Person23 erforderlich sind. Für die Übermittlung zusätzlicher Daten wären
deshalb andere Instrumente erforderlich.

 

Gelegentliche Übermittlungen
Personenbezogene Daten dürfen im Rahmen dieser Ausnahmeregelung nur übermittelt werden,
wenn die Übermittlung gelegentlich erfolgt.24 Ob eine Reihe von Datenübermittlungen oder eine
Datenübermittlung „gelegentlich“ oder „nicht gelegentlich“ erfolgt, ist im Einzelfall zu beurteilen.
Eine Übermittlung kann beispielsweise als gelegentlich erachtet werden, wenn die
personenbezogenen Daten eines Vertriebsleiters, der im Rahmen seines Arbeitsvertrags zu
verschiedenen Kunden in Drittländern reist, an diese Kunden gesendet werden, damit die Treffen
organisiert werden können. Darüber hinaus könnte eine Übermittlung auch als gelegentlich erachtet
werden, wenn eine Bank mit Sitz in der EU personenbezogene Daten an eine Bank in einem Drittland
übermittelt, um den Zahlungsauftrag eines Kunden auszuführen, solange diese Übermittlung nicht im
Rahmen eines dauerhaften Kooperationsverhältnisses zwischen zwei Banken erfolgt.
Als nicht „gelegentlich“ müssen hingegen etwa Übermittlungen gelten, bei denen ein multinationales
Unternehmen Schulungen in einem Schulungszentrum in einem Drittland organisiert und
systematisch die personenbezogenen Daten der an der Schulung teilnehmenden Mitarbeiter
übermittelt (beispielsweise Daten wie der Name und die Funktionsbezeichnung, aber auch
Informationen über Ernährungsbedürfnisse und Mobilitätseinschränkungen). Regelmäßige
Datenübermittlungen im Rahmen einer dauerhaften Beziehung sind als systematisch und wiederholt
anzusehen und gehen damit über einen „gelegentlichen“ Charakter hinaus. In einem solchen Fall
können daher viele im Rahmen einer Geschäftsbeziehung erfolgende Datenübermittlungen nicht auf
Artikel 49 Absatz 1 Buchstabe b gestützt werden.
Gemäß Artikel 49 Absatz 1 Unterabsatz 3 gilt diese Ausnahme nicht für Tätigkeiten, die Behörden in
Ausübung ihrer hoheitlichen Befugnisse durchführen

 

Erforderlichkeit

2.3 Erforderliche Übermittlung für den Abschluss oder die Erfüllung eines im Interesse
der betroffenen Person von dem Verantwortlichen mit einer anderen natürlichen oder
juristischen Person geschlossenen Vertrags – Artikel 49 Absatz 1 Buchstabe c
Diese Bestimmung ist notwendigerweise ähnlich wie Artikel 49 Absatz 1 Buchstabe b auszulegen,
nämlich dahingehend, dass eine Datenübermittlung in ein Drittland oder an eine internationale
Organisation ohne Vorliegen eines Angemessenheitsbeschlusses nach Artikel 45 Absatz 3 oder
geeigneter Garantien nach Artikel 46 nur dann unter die Ausnahme von Artikel 49 Absatz 1
Buchstabe c fallen kann, wenn sie als „zum Abschluss oder zur Erfüllung eines im Interesse der
betroffenen Person von dem Verantwortlichen mit einer anderen natürlichen oder juristischen Person
geschlossenen Vertrags erforderlich“ erachtet werden kann. Neben der Anforderung der Erforderlichkeit dürfen die Datenübermittlungen gemäß
Erwägungsgrund 111 außerdem nur dann erfolgen, „wenn die Übermittlung gelegentlich erfolgt und
im Rahmen eines Vertrags […] erforderlich ist“. Neben dem Kriterium der Erforderlichkeit dürfen
personenbezogene Daten also auch hier nur dann gemäß dieser Ausnahme übermittelt werden,
wenn die Übermittlung gelegentlich erfolgt. Erforderlichkeit der Datenübermittlung und Abschluss des Vertrags im Interesse der betroffenen
Person
24 Zur allgemeinen Definition des Begriffs „gelegentlich“ siehe Seite 4.
12
Lagert eine Organisation bestimmte Tätigkeiten wie ihre Lohn- und Gehaltsabrechnung zu
Geschäftszwecken an Dienstleister außerhalb der EU aus, stellt diese Ausnahme keine Grundlage für
Datenübermittlungen zu diesen Zwecken dar, da kein enger und erheblicher Zusammenhang
zwischen der Übermittlung und einem im Interesse der betroffenen Person abgeschlossenen Vertrag
festgestellt werden kann, selbst wenn Endzweck der Übermittlung die Abrechnung und Auszahlung
des Lohns bzw. Gehalts des Beschäftigten ist.25 Andere in Kapitel V vorgesehene Verfahren wie
Standardvertragsklauseln oder verbindliche interne Datenschutzvorschriften stellen möglicherweise
eine geeignetere Grundlage für Übermittlungen dieser Art dar.
Gelegentliche Übermittlungen
Ferner dürfen personenbezogene Daten im Rahmen dieser Ausnahmeregelung nur übermittelt
werden, wenn die Übermittlung gelegentlich erfolgt, wie es auch bei der Ausnahme nach Artikel 49
Absatz 1 Buchstabe b der Fall ist. Zur Beurteilung des gelegentlichen Charakters einer solchen
Übermittlung sollte daher dasselbe Kriterium angewandt werden.26
Gemäß Artikel 49 Absatz 1 Unterabsatz 3 gilt diese Ausnahme außerdem nicht für Tätigkeiten, die
Behörden in Ausübung ihrer hoheitlichen Befugnisse durchführen.27

2.4 Erforderlichkeit der Übermittlung aus wichtigen Gründen des öffentlichen
Interesses – Artikel 49 Absatz 1 Buchstabe d
Diese Ausnahmeregelung, die üblicherweise als „Ausnahme aus wichtigen Gründen des öffentlichen
Interesses“ bezeichnet wird, ähnelt sehr der Regelung in Artikel 26 Absatz 1 Buchstabe d der
Richtlinie 95/46/EC28
, wonach eine Übermittlung nur erfolgen darf, wenn sie für die Wahrung eines
wichtigen öffentlichen Interesses erforderlich oder rechtlich vorgeschrieben ist.
Gemäß Artikel 49 Absatz 4 können nur öffentliche Interessen, die im Unionsrecht oder im Recht des
Mitgliedstaats, dem der Verantwortliche unterliegt, anerkannt sind, zur Anwendung dieser
Ausnahmeregelung führen.
Für die Anwendung dieser Ausnahme reicht es allerdings nicht aus, dass die Datenübermittlung
(beispielsweise von einer Behörde eines Drittstaates) für Zwecke von Ermittlungen angefordert wird,
die einem öffentlichen Interesse eines Drittlands dienen, das im abstrakten Sinn auch im Unionsrecht
bzw. im Recht des Mitgliedstaats existiert. Ersucht eine Behörde eines Drittstaates beispielsweise um
eine Datenübermittlung für Ermittlungen mit dem Zweck der Terrorismusbekämpfung, reicht der
Umstand, dass auf Unions- oder Mitgliedstaatsebene ebenfalls Rechtsvorschriften existieren, die der
Terrorismusbekämpfung dienen, für sich gesehen nicht aus, um Artikel 49 Absatz 1 Buchstabe d auf
eine solche Übermittlung anzuwenden. Wie von der G29, der Vorgängerin des EDSA, in früheren
Stellungnahmen29 betont, ist die Ausnahme vielmehr nur dann anwendbar, wenn sich auch aus dem
Unionsrecht oder dem Recht des Mitgliedstaats, dem der Verantwortliche unterliegt, ergibt, dass
derartige Datenübermittlungen zum Zwecke der Wahrung wichtiger öffentlicher Interessen zulässig
sind, was auch den Grundsatz der Gegenseitigkeit der internationalen Zusammenarbeit
miteinschließt. Das Vorliegen eines internationalen Abkommens oder einer internationalen
Übereinkunft, welche(s) ein bestimmtes Ziel anerkennt und zur Förderung dieses Ziels eine internationale Zusammenarbeit vorsieht, kann ein Hinweis auf das Vorliegen eines öffentlichen
Interesses nach Artikel 49 Absatz 1 Buchstabe d sein, wenn die EU oder die Mitgliedstaaten zu den
Unterzeichnern dieses Abkommens bzw. dieser Übereinkunft gehören.
Artikel 49 Absatz 1 Buchstabe d richtet sich zwar hauptsächlich an Behörden, doch können auch
private Stellen den Artikel grundsätzlich in Anspruch nehmen. Einige der in Erwägungsgrund 112
genannten Beispiele unterstützen diese Ansicht, denn sie beziehen sich sowohl auf Übermittlungen
durch Behörden als auch durch private Stellen30
. Maßgebliche Voraussetzung für die Anwendbarkeit dieser Ausnahme ist somit, ob ein wichtiges
öffentliches Interesse vorliegt oder nicht. Die Art der Stelle (öffentliche, private oder internationale
Organisation), die die Daten übermittelt und/oder erhält, ist hingegen nicht entscheidend. Laut den Erwägungsgründen 111 und 112 ist diese Ausnahme nicht auf „gelegentliche“
Datenübermittlungen beschränkt31. Das bedeutet jedoch nicht, dass die Ausnahmeregelung des
Artikel 49 Absatz 1 Buchstabe d auf Übermittlungen Anwendung finden kann, die in großem Umfang
und systematisch erfolgen. Es gilt vielmehr, den allgemeinen Grundsatz zu beachten, dass die
Ausnahmen nach Artikel 49 in der Praxis nicht zur „Regel“ werden dürfen, sondern spezifischen
Situationen vorzubehalten sind, und dass jeder Datenexporteur sicherstellen muss, dass das strenge
Kriterium der Erforderlichkeit bei den Übermittlungen eingehalten wird.32
Für Übermittlungen, die im Rahmen üblicher Geschäftsabläufe oder der üblichen Geschäftspraxis
erfolgen, möchte der EDSA allen Datenexporteuren (und insbesondere Behörden33) nahelegen, sich
hierbei nicht auf die Ausnahme nach Artikel 49 Absatz 1 Buchstabe d zu berufen, sondern diesen
Übermittlungen geeignete Garantien nach Artikel 46 zu Grunde zu legen

2.5 Erforderlichkeit der Übermittlung zur Geltendmachung, Ausübung oder
Verteidigung von Rechtsansprüchen – Artikel 49 Absatz 1 Buchstabe e
Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
Gemäß Artikel 49 Absatz 1 Buchstabe e darf die Übermittlung erfolgen, wenn „die Übermittlung […]
zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich [ist]“. Laut
Erwägungsgrund 111 sollten Datenübermittlungen zulässig sein, wenn die Übermittlung
„gelegentlich erfolgt und im Rahmen eines Vertrags oder zur Geltendmachung von Rechtsansprüchen,
sei es vor Gericht oder auf dem Verwaltungswege oder in außergerichtlichen Verfahren, wozu auch
Verfahren vor Regulierungsbehörden zählen, erforderlich ist.“ Dies schließt verschiedene Tätigkeiten
ein, etwa strafrechtliche oder behördlichen Ermittlungen in einem Drittland (z. B. in Bereichen wie
Kartellrecht, Korruptionsbekämpfung, Insidergeschäften oder ähnlichen Fällen), bei denen die
Ausnahmeregelung angewandt werden kann, wenn die Übermittlung der Selbstverteidigung dient
oder mit dem Zweck der Erlangung einer Minderung oder einer Freistellung von einer rechtlich
vorgesehenen Geldstrafe erfolgt, zum Beispiel bei kartellrechtlichen Ermittlungen. Auch
Datenübermittlungen zum Zweck eines förmlichen vorprozessualen Ermittlungsverfahrens (sog. pre- trial discovery) bei zivilrechtlichen Streitigkeiten können unter diese Ausnahme fallen. Darübe hinaus können auch Maßnahmen des Datenexporteurs zur Einleitung eines Verfahrens in einem
Drittland darunter fallen, beispielsweise die Einleitung eines Rechtsstreits oder ein Antrag auf
Genehmigung einer Fusion. Die Ausnahmeregelung kann hingegen nicht mit dem bloßen Argument
in Anspruch genommen werden, dass die Möglichkeit künftiger gerichtlicher Auseinandersetzungen
oder eines künftigen förmlichen Verfahrens besteht. Auf Tätigkeiten von Behörden in Ausübung ihrer hoheitlichen Befugnisse kann diese Ausnahme Erforderlichkeit der Datenübermittlung
Im vorliegenden Fall darf eine Datenübermittlung nur erfolgen, wenn sie zur Geltendmachung,
Ausübung oder Verteidigung des fraglichen Rechtsanspruchs erforderlich ist. Das Kriterium der
Erforderlichkeit setzt einen engen und erheblichen Zusammenhang zwischen den betreffenden
Daten und der Geltendmachung, Ausübung oder Verteidigung von Rechten im konkreten Fall
voraus.34 Ein bloßes Interesse von Behörden eines Drittstaates als solches genügt hingegen nicht,
ebenso wenig der Wunsch, von Behörden eines Drittstaates ein mögliches „Entgegenkommen“ zu
gewinnen.
Zwar mag es für einen Datenexporteur verlockend sein, auf Anfrage oder zur Einleitung eines
Verfahrens sämtliche möglicherweise relevanten personenbezogenen Daten zu übermitteln, doch
würde dies dieser Ausnahmeregelung bzw. der DSGVO generell zuwiderlaufen, welche (in dem
Grundsatz der Datenminimierung) betonen, dass personenbezogene Daten den Zwecken, zu denen
sie verarbeitet werden, angemessen und erheblich sowie auf das für die Zwecke ihrer Verarbeitung
notwendige Maß beschränkt sein müssen.
In Bezug auf gerichtliche Verfahren hat die G29 als Vorgängerin des EDSA hinsichtlich der Frage, ob
personenbezogene Daten übermittelt werden dürfen, bereits einen mehrstufigen Ansatz unter
Berücksichtigung des genannten Verarbeitungsgrundsatzes erarbeitet. Als erster Schritt sollte
sorgfältig abgewogen werden, ob anonymisierte Daten im Einzelfall ausreichen würden. Ist das nicht
der Fall, könnte geprüft werden, ob eine Übermittlung pseudonymisierter Daten infrage kommt. Ist
die Übermittlung personenbezogener Daten an ein Drittland erforderlich, sollte vor der Übermittlung
geprüft werden, ob die Daten für die fragliche Angelegenheit erheblich sind – damit nur solche
personenbezogenen Daten übermittelt und offengelegt werden, die tatsächlich erforderlich sind. Gelegentliche Übermittlung Übermittlungen dieser Art sollten nur erfolgen, wenn sie gelegentlich sind. Hinweise dazu, wie
gelegentliche Übermittlungen definiert sind, sind im entsprechenden Abschnitt über „gelegentliche“
und „nicht wiederholte“ Übermittlungen enthalten.35 Datenexporteure müssen diesbezüglich jeden
Einzelfall sorgfältig 
anwendbar sein (Artikel 49 Absatz 3).
Die Kombination der Begriffe „Rechtsanspruch“ und „Verfahren“ bedeutet, dass das betreffende
Verfahren auf einer Rechtsgrundlage beruhen muss, wozu auch ein förmliches, rechtlich geregeltes
Verfahren gehört. Eine Beschränkung auf gerichtliche oder Verwaltungsverfahren besteht allerdings
nicht („oder in außergerichtlichen Verfahren“). Da die Übermittlung im Rahmen eines Verfahrens
erfolgen muss, muss zwischen der Datenübermittlung und dem konkreten Verfahren in der
betreffenden Situation ein enger Zusammenhang bestehen. Die abstrakte Anwendbarkeit einer
bestimmten Art von Verfahren wäre nicht ausreichend.
Den Verantwortlichen und den Auftragsverarbeitern muss bewusst sein, dass das nationale Recht
auch sogenannte Verbotsgesetze beinhalten kann, die die Übermittlung personenbezogener Daten
an ausländische Gerichte oder möglicherweise auch an andere ausländische öffentliche Stellen nicht
oder nur in beschränktem Umfang gestatten.

2.6 Zum Schutz lebenswichtiger Interessen der betroffenen Person oder anderer
Personen erforderliche Übermittlung, wenn die betroffene Person aus physischen
oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben – Artikel 49
Absatz 1 Buchstabe f
Die Ausnahmeregelung gemäß Artikel 49 Absatz 1 Buchstabe f findet selbstverständlich dann
Anwendung, wenn Daten in einem medizinischen Notfall übermittelt werden und wenn eine solche
Übermittlung als für die notwendige medizinische Versorgung unmittelbar erforderlich erachtet wird.
Beispielsweise muss es rechtlich möglich sein, Daten (einschließlich bestimmter personenbezogener
Daten) zu übermitteln, wenn die betroffene Person während eines Aufenthalts im EU-Ausland
bewusstlos ist und dringend medizinische Hilfe benötigt und nur ein in der EU niedergelassener
Datenexporteur (z. B. der behandelnde Arzt) in der Lage ist, diese Daten zu übermitteln. In diesen
Fällen geht das Gesetz davon aus, dass die unmittelbar bevorstehende Gefahr eines schweren
Schadens schwerer wiegt als die Datenschutzbelange.
Die Übermittlung muss im Interesse des Betroffenen oder einer anderen Person liegen, und die
medizinischen Daten müssen für eine wichtige Diagnose erforderlich sein. Diese Ausnahme kann
daher nicht dafür herangezogen werden, die Übermittlung medizinischer Daten außerhalb der EU zu
rechtfertigen, wenn der Zweck der Übermittlung nicht darin besteht, den konkreten Fall der
betroffenen Person oder einer anderen Person zu behandeln, sondern stattdessen beispielsweise
darin, allgemeine medizinische Forschungstätigkeiten zu betreiben, deren Ergebnisse erst zu einem
unbestimmten Zeitpunkt zu erwarten sind.
Laut der DSGVO ist diese Ausnahme nicht nur auf die körperliche Unversehrtheit einer Person
beschränkt, sondern sieht etwa auch Spielraum für Fälle vor, in denen die geistige Unversehrtheit
einer Person geschützt werden muss. In solchen Fällen ist die betroffene Person – hier aus
physischen oder aus rechtlichen Gründen – ebenfalls außerstande, in die Übermittlung ihrer
personenbezogenen Daten einzuwilligen. Darüber hinaus muss die betroffene Person, deren
personenbezogene Daten Gegenstand der Übermittlung sind, aus körperlichen oder rechtlichen
Gründen nicht in der Lage sein, gerade in die konkrete Übermittlung einzuwilligen.
Ist eine betroffene Person allerdings in der Lage, eine gültige Entscheidung zu treffen, und kann ihre
Einwilligung eingeholt werden, so kann diese Ausnahme nicht in Anspruch genommen werden.
Sind die personenbezogenen Daten beispielsweise erforderlich, um eine Zwangsräumung zu
verhindern, würde dies – auch wenn das Wohnen als ein lebenswichtiges Interesse erachtet werden
kann – nicht unter diese Ausnahme fallen, da die betroffene Person in die Übermittlung ihrer Daten
selbst einwilligen kann.
Die Fähigkeit, eine rechtswirksame Entscheidung zu treffen, kann aus körperlichen, geistigen oder
rechtlichen Gründen beeinträchtigt sein. So kann die rechtliche Handlungsunfähigkeit – unbeschadet
etwaiger nationaler Regelungen zur Stellvertretung – etwa bei Minderjährigen bestehen. Diese
rechtliche Handlungsunfähigkeit muss von Fall zu Fall nachgewiesen werden, entweder durch ein ärztliches Zeugnis, welches das geistige Unvermögen der betroffenen Person belegt, oder durch ein
behördliches Dokument, welches die rechtliche Situation der betroffenen Person bestätigt.
Erforderliche Datenübermittlungen an eine internationale humanitäre Hilfsorganisation zur
Durchführung einer Aufgabe im Rahmen der Genfer Konvention oder im Einklang mit dem
humanitären Völkerrecht, das für bewaffnete Konflikten gilt, können ebenfalls unter Artikel 49
Absatz 1 Buchstabe f fallen (siehe Erwägungsgrund 112). In solchen Fällen muss die betroffene
Person ebenfalls aus körperlichen oder rechtlichen Gründen außerstande sein, ihre Einwilligung zu
erteilen.
Die Übermittlung personenbezogener Daten nach Naturkatastrophen und in Verbindung mit der
Weiterleitung personenbezogener Informationen an Einrichtungen und Personen zu Rettungs- und
Bergungszwecken (etwa an Verwandte der Katastrophenopfer, Regierungsstellen und Notfalldienste)
kann unter dieser Ausnahme gerechtfertigt sein. Unerwartete Ereignisse dieser Art
(Überschwemmungen, Erdbeben, Wirbelstürme usw.) können die dringende Übermittlung
bestimmter personenbezogener Daten rechtfertigen, wenn es beispielsweise darum geht, die Opfer
zu lokalisieren oder ihren Zustand zu ermitteln. In Situationen dieser Art wird davon ausgegangen,
dass die betroffene Person außerstande ist, in die Übermittlung ihrer Daten einzuwilligen.

2.7. Übermittlungen aus einem öffentlichen Register – Artikel 49 Absatz 1 Buchstabe g
und Artikel 49 Absatz 2
Nach Artikel 49 Absatz 1 Buchstabe g und Artikel 49 Absatz 2 ist die Übermittlung
personenbezogener Daten aus Registern unter bestimmten Umständen zulässig. Ein Register ist
allgemein definiert als „(schriftliche) Aufzeichnung, die regelmäßige Einträge von Posten oder
Angaben umfasst“ oder als „eine offizielle Liste oder Aufzeichnung von Namen oder Posten“
36, wobei
gemäß Artikel 49 ein Register entweder in schriftlicher oder elektronischer Form vorliegen kann.
Nach dem Unionsrecht oder dem Recht der Mitgliedstaaten muss das fragliche Register zur
Information der Öffentlichkeit bestimmt sein. Private Register (für die private Einrichtungen
zuständig sind) liegen deshalb außerhalb des Anwendungsbereichs dieser Ausnahmeregelung (etwa
private Register zur Bewertung der Kreditwürdigkeit).
Die Einsichtnahme in das Register muss dabei möglich sein für
a) die allgemeine Öffentlichkeit oder
b) jede Person, die ein berechtigtes Interesse nachweisen kann.
Dazu können etwa Unternehmensregister, Verbandsregister, Strafregister, Grundbücher oder
öffentliche Fahrzeugregister gehören.
Neben den allgemeinen Anforderungen in Bezug auf die Einrichtung der Register als solche dürfen
die Übermittlungen aus diesen Registern im Einzelfall nur erfolgen, falls und soweit die im
Unionsrecht oder im Recht der Mitgliedstaaten festgelegten Voraussetzungen für die Einsichtnahme
erfüllt werden (zu den allgemeinen Voraussetzungen siehe Artikel 49 Absatz 1 Buchstabe g).
Verantwortlichen und Auftragsverarbeitern, die Daten im Rahmen dieser Ausnahme übermitteln
wollen, muss bewusst sein, dass die Übermittlung nicht die Gesamtheit der personenbezogenen
Daten oder ganze Kategorien personenbezogener Daten, die im Register enthalten sind, umfassen darf (Artikel 49 Absatz 2). Bei Übermittlungen aus einem aufgrund von Rechtsvorschriften
eingerichteten Register und in Fällen, in denen das Register der Einsichtnahme durch Personen mit
berechtigtem Interesse dient, darf die Übermittlung nur auf Anfrage dieser Personen oder nur dann
erfolgen, wenn diese Personen die Adressaten der Übermittlung sind, wobei den Interessen und
Grundrechten der betroffenen Personen Rechnung zu tragen ist.37 Die Datenexporteure haben bei
der Beurteilung, ob eine Übermittlung angemessen ist, in jedem Einzelfall die Interessen und Rechte
der betroffenen Person zu berücksichtigen.
Jede weitere Verwendung der personenbezogenen Daten aus Registern der oben genannten Art darf
ausschließlich unter Einhaltung der geltenden Datenschutzbestimmungen erfolgen.
Auf Tätigkeiten von Behörden in Ausübung ihrer hoheitlichen Befugnisse ist diese Ausnahme
ebenfalls anwendbar (Artikel 49 Absatz 3).

2.8. Zwingende berechtigte Interessen – Artikel 49 Absatz 1 Unterabsatz 2
Mit Artikel 49 Absatz 1 Unterabsatz 2 wird eine neue Ausnahme eingeführt, die nicht in der früheren
Richtlinie enthalten war. Unter spezifischen, ausdrücklich aufgeführten Voraussetzungen können
personenbezogene Daten übermittelt werden, wenn dies zur Wahrung der zwingenden berechtigten
Interessen des Datenexporteurs erforderlich ist.
Diese Ausnahme wurde vom Gesetzgeber als „letztes Mittel“ vorgesehen, denn sie ist nur
anwendbar, wenn „die Übermittlung nicht auf eine Bestimmung der Artikel 45
oder 46 – einschließlich der verbindlichen internen Datenschutzvorschriften – gestützt werden könnte
und keine der Ausnahmen für einen bestimmten Fall […] anwendbar ist.“
38
Im Rahmen des mehrstufigen Ansatzes für die Prüfung, ob bei Übermittlungen eine
Ausnahmeregelung in Anspruch genommen werden kann, ist vor einer etwaigen Inanspruchnahme
der Ausnahme nach Artikel 49 Absatz 1 Unterabsatz 2 zu prüfen, ob auf eine der Grundlagen für
Datenübermittlungen nach Artikel 45 oder 46 oder auf eine der Ausnahmen für bestimmte Fälle nach
Artikel 49 Absatz 1 Unterabsatz 1 zurückgegriffen werden kann. Eine Übermittlung unter Anwendung
dieser Ausnahme ist gemäß Erwägungsgrund 113 nur in den verbleibenden Fällen zulässig und hängt
von einer erheblichen Zahl ausdrücklich rechtlich vorgeschriebener Bedingungen ab. Im Einklang mit
dem in der DSGVO verankerten Grundsatz der Rechenschaftspflicht39 muss der Datenexporteur
deshalb nachweisen können, dass es weder möglich war, die Datenübermittlung mit geeigneten
Garantien nach Artikel 46 zu flankieren noch eine der Ausnahmen gemäß Artikel 49 Absatz 1
Unterabsatz 1 anzuwenden.
Dies bedeutet, dass der Datenexporteur unter Berücksichtigung der Umstände der
Datenübermittlung in dieser Hinsicht ernsthafte Bemühungen nachweisen können muss. Im Einzelfall
kann dazu etwa der Nachweis gehören, dass geprüft wurde, ob die Datenübermittlung auf der
Grundlage der ausdrücklichen Einwilligung der betroffenen Person nach Artikel 49 Absatz 1
Buchstabe a durchgeführt werden kann. Indessen sind Umstände denkbar, in denen es aus
praktischen Gründen nicht möglich ist, die Übermittlung auf eine andere Grundlage zu stützen. So
sind bestimmte Arten hinreichender Garantien nach Artikel 46 für kleine oder mittlere Unternehmen
als Datenexporteure möglicherweise keine realistische Option.40 Dies kann zum Beispiel auch dann der Fall sein, wenn der Datenimporteur sich ausdrücklich geweigert hat, einen
Datenübermittlungsvertrag auf der Grundlage von Standarddatenschutzklauseln (Artikel 46 Absatz 2
Buchstabe c) abzuschließen und keine andere Option zur Verfügung steht (im Einzelfall auch nicht die
Wahl eines anderen „Datenimporteurs“) – siehe auch den nachstehenden Abschnitt über zwingende
berechtigte Interessen.
Zwingende berechtigte Interessen des Verantwortlichen
Die Ausnahmeregelung sieht vor, dass die Übermittlung zur Wahrung der zwingenden berechtigten
Interessen des Verantwortlichen erforderlich sein muss und die Interessen oder Rechte und
Freiheiten der betroffenen Person nicht überwiegen dürfen. Die Interessen eines
Auftragsverarbeiters in der Rolle als Datenexporteur oder die Interessen des Datenimporteurs sind
dabei unerheblich.
Darüber hinaus kommen nur als „zwingend“ geltende Interessen in Betracht, wodurch der
Anwendungsbereich der Ausnahme deutlich eingeschränkt wird, da nicht alle denkbaren
„berechtigen Interessen“ nach Artikel 6 Absatz 1 Buchstabe f hier berücksichtigt werden können. Vielmehr gilt hier eine gewisse höhere Schwelle: „Zwingend“ können nur berechtigte Interessen sein,
die für den Verantwortlichen von wesentlicher Bedeutung sind. Dies kann zum Beispiel dann der Fall
sein, wenn ein Verantwortlicher gezwungen ist, personenbezogene Daten zu übermitteln, um seine
Organisation oder seine Systeme vor einem unmittelbar bevorstehenden, schwerwiegenden Schaden
oder vor einer empfindlichen Strafe zu schützen, die sein Geschäft erheblich beeinträchtigen würde.
Nicht wiederholt
Artikel 49 Absatz 1 Unterabsatz 2 gilt ausdrücklich nur für Übermittlungen, die nicht wiederholt
erfolgen.41
Begrenzte Zahl von betroffenen Personen
Darüber hinaus darf die Übermittlung nur eine begrenzte Zahl von betroffenen Personen betreffen.
Eine absolute Obergrenze ist insoweit nicht festgelegt, da sie von der jeweiligen Situation abhängt,
jedoch muss die Zahl unter Berücksichtigung der Art der Übermittlung angemessen klein sein.
In der Praxis hängt die Interpretation des Begriffs „begrenzte Zahl von betroffenen Personen“ vom
jeweiligen Einzelfall ab. Muss der Verantwortliche beispielsweise personenbezogene Daten
übermitteln, um zum Schutz seines Unternehmens einen einmaligen und ernsten Sicherheitsvorfall
aufzudecken, würde sich die Frage stellen, die Daten wie vieler Beschäftigter der Verantwortliche
übermitteln muss, um sein zwingendes berechtigtes Interesse zu wahren.
Damit diese Ausnahme in Anspruch genommen werden kann, sollte die Übermittlung daher nicht die
Gesamtheit der Beschäftigten des Verantwortlichen betreffen, sondern nur eine begrenzte Zahl der
Beschäftigten.
Abwägung zwischen „zwingenden berechtigten Interessen des Verantwortlichen“ und den „Interessen
oder Rechten und Freiheiten der betroffenen Person“ auf der Grundlage einer Bewertung der
Umstände der Datenübermittlung und der Bereitstellung geeigneter Garantien
Als zusätzliche Voraussetzung ist eine Abwägung zwischen dem (zwingenden) berechtigten Interesse
des Datenexporteurs und den Interessen oder Rechten und Freiheiten der betroffenen Person
vorzunehmen. In diesem Zusammenhang sieht das Gesetz ausdrücklich vor, dass der Datenexporteur alle Umstände der Datenübermittlung prüft und auf der Grundlage dieser Prüfung „geeignete
Garantien“ für den Schutz der übermittelten Daten bietet. Diese Anforderung hebt die besondere
Rolle hervor, die Garantien spielen können, um unangemessene Folgen der Datenübermittlung für
die betroffenen Personen abzumildern und auf diese Weise das Rechte- und Interessengleichgewicht
zu beeinflussen, gegebenenfalls bis hin zu dem Punkt, bei dem die Interessen der betroffenen Person
gegenüber den Interessen des Verantwortlichen nicht mehr überwiegen.42
Was die zu berücksichtigenden Interessen, Rechte und Freiheiten der betroffenen Person anbelangt,
müssen die möglichen negativen Auswirkungen, also alle Risiken, denen die betroffene Person in
Bezug auf ihre (berechtigten) Interessen jeder Art ausgesetzt ist, sorgfältig prognostiziert und
abgeschätzt werden, und zwar anhand ihrer Eintrittswahrscheinlichkeit und Schwere.43 Hierbei sind
insbesondere mögliche Schäden (Personen- und Sachschäden, aber auch immaterielle Schäden wie
Rufschädigung) zu berücksichtigen.44 Bei der Einschätzung dieser Risiken und möglicher Garantien,
die unter diesen Umständen möglicherweise als für die Wahrung der Rechte und Freiheiten der
betroffenen Person „geeignet“ gelten könnten, muss der Datenexporteur insbesondere die Art der
Daten, den Zweck und die Dauer der Verarbeitung sowie die Situation im Herkunftsland, in dem
betreffenden Drittland und ggf. im Endbestimmungsland der Übermittlung berücksichtigen.45
Darüber hinaus ist der Datenexporteur rechtlich verpflichtet, zusätzliche Maßnahmen als Garantien
zu ergreifen, um die ermittelten Risiken zu minimieren, die sich für die betroffene Person aus der
Datenübermittlung ergeben.46 Da es sich hierbei nach dem Gesetzeswortlaut um eine zwingende
Vorgabe handelt, ist davon auszugehen, dass die Interessen oder Rechte und Freiheiten der
betroffenen Person bei fehlenden zusätzlichen Garantien auf jeden Fall gegenüber den Interessen
des Verantwortlichen an der Übermittlung überwiegen.47 Was die Art dieser Garantien anbelangt,
können keine allgemeinen Anforderungen formuliert werden, die in diesem Zusammenhang auf alle
Fälle anwendbar wären; vielmehr hängen die Anforderungen sehr stark von der konkreten
Datenübermittlung im Einzelfall ab. Im Einzelfall können solche Garantien etwa Maßnahmen sein,
mit denen sichergestellt wird, dass die Daten nach der Übermittlung so schnell wie möglich gelöscht
werden, oder mit denen die Zwecke, zu denen die Daten nach der Übermittlung verarbeitet werden, eingeschränkt werden. Besonderes Augenmerk sollte auch auf die Frage gerichtet werden, ob eine
Übermittlung pseudonymisierter oder verschlüsselter Daten ausreicht.48 Darüber hinaus sollten
technische und organisatorische Maßnahmen in Erwägung gezogen werden, mit denen sichergestellt
werden kann, dass die übermittelten Daten nicht für andere als die ausdrücklich vom
Datenexporteur vorgesehenen Zwecke verwendet werden können.
Benachrichtigung der Aufsichtsbehörde
Die Informationspflicht gegenüber der Aufsichtsbehörde bedeutet nicht, dass die Übermittlung von
der Aufsichtsbehörde genehmigt werden müsste; vielmehr stellt sie eine zusätzliche Garantie dar,
denn die Aufsichtsbehörde kann, wenn sie es für angebracht hält, auf diese Weise überprüfen,
welche möglichen Auswirkungen die Datenübermittlung auf die Rechte und Freiheiten der
betroffenen Personen hat. Als Beitrag zur Einhaltung des Grundsatzes der Rechenschaftspflicht wird
dem Datenexporteur daher empfohlen, alle relevanten Aspekte der Datenübermittlung – z. B. das
eigene zwingende berechtigte Interesse, die diesem „gegenüberstehenden“ Interessen des
Betroffenen, die Art der übermittelten Daten und den Zweck der Übermittlung – aufzuzeichnen.
Information der betroffenen Person über die Übermittlung und die zwingenden berechtigten
Interessen
Der Verantwortliche ist verpflichtet, die betroffene Person über die Übermittlung und über seine
zwingenden berechtigten Interessen zu informieren. Diese Information muss zusätzlich zu der nach
Artikel 13 und 14 der DSGVO vorgeschriebenen Information erteilt werden

Begriffe

Was heisst eigentlich „gelegentlich“?

Gelegentliche und nicht wiederholte Übermittlungen
Der EDSA weist darauf hin, dass der Begriff „gelegentlich“ in Erwägungsgrund 111 und der Begriff
„nicht wiederholt“ im Zusammenhang mit der Ausnahme zur Wahrung „zwingender berechtigter
Interessen“ nach Artikel 49 Absatz 1 Unterabsatz 2 verwendet werden. Diese Begriffe deuten darauf
hin, dass solche Übermittlungen zwar öfter als einmal, aber nicht regelmäßig erfolgen dürfen und
sich außerhalb gewöhnlicher Abläufe zutragen, beispielsweise unter zufälligen, unvorhergesehenen
Umständen und in beliebigen Zeitabständen. Eine Datenübermittlung etwa, die im Rahmen einer
dauerhaften Beziehung zwischen dem Datenexporteur und einem bestimmten Datenimporteur
regelmäßig erfolgt, ist grundsätzlich als systematisch und wiederholt anzusehen und kann deshalb
nicht als gelegentlich oder nicht wiederholt betrachtet werden. Außerdem gilt etwa eine
Übermittlung im Allgemeinen als nicht gelegentlich oder wiederholt, wenn der Datenimporteur eine
generelle direkte Zugriffsmöglichkeit auf eine Datenbank hat (zum Beispiel über eine Schnittstelle zu
einer IT-Anwendung).
Aus Erwägungsgrund 111 geht ausdrücklich hervor, dass die Ausnahmen aufgrund eines „Vertrags“
und die Ausnahme aufgrund von „Rechtsansprüchen“ (Artikel 49 Absatz 1 Unterabsatz 1
Buchstaben b, c und e) auf „gelegentliche“ Übermittlungen beschränkt sind, wohingegen bei den
Ausnahmen aufgrund von „ausdrücklicher Einwilligung“, „wichtigen Gründen des öffentlichen
Interesses“, „lebenswichtigen Interessen“ und der Übermittlung aus einem „Register“ nach Artikel 49
Absatz 1 Unterabsatz 1 Buchstaben a, d, f und g keine solche Einschränkung gilt. Es wird somit
zwischen den einzelnen Ausnahmen differenziert.
Gleichwohl ist anzumerken, dass auch diejenigen Ausnahmen, die nicht ausdrücklich auf
„gelegentliche“ oder „nicht wiederholte“ Übermittlungen beschränkt sind, so auszulegen sind, dass
nicht gegen das Wesen einer Ausnahmeregelung verstoßen wird, nämlich dass es sich dabei um eine
Ausnahme von der Regel handelt, dass personenbezogene Daten nur dann an ein Drittland
übermittelt werden dürfen, wenn dieses Drittland ein angemessenes Datenschutzniveau bietet oder
alternativ dazu geeignete Garantien zur Anwendung gebracht werden.

Kriterium der Erforderlichkeit
Eine übergreifende Voraussetzung bei mehreren Ausnahmen lautet, dass die Datenübermittlung für
einen bestimmten Zweck „erforderlich“ sein muss. Um eine mögliche Inanspruchnahme der
Ausnahmen nach Artikel 49 Absatz 1 Buchstaben b, c, d, e und f zu beurteilen, sollte daher das
Kriterium der Erforderlichkeit angewandt werden. Im Rahmen dieses Kriteriums muss der
Datenexporteur in der EU bewerten, ob eine Übermittlung personenbezogener Daten für den
bestimmten Zweck der beabsichtigten Ausnahmeregelung als erforderlich erachtet werden kann
oder nicht. Weitere Hinweise zur spezifischen Anwendung des Kriteriums der Erforderlichkeit auf die
betreffenden Ausnahmen sind in den entsprechenden Abschnitten weiter unten enthalten.

Weitere Schutzmaßnahmen

Anwendungsfall 1: Datenspeicherung zu Backup- und anderen Zwecken, die nicht den Zugang
zu unverschlüsselten Daten erfordern
79. Ein Datenexporteur nutzt einen Hosting-Anbieter in einem Drittland zur Speicherung
personenbezogener Daten, z. B. für Backup-Zwecke.
Wenn
1. die personenbezogenen Daten vor der Übermittlung mit einer leistungsfähigen Methode
verschlüsselt werden;
2. der Verschlüsselungsalgorithmus und seine Parametrisierung (z. B. ggf. Schlüssellänge,
Betriebsmodus) dem Stand der Technik entsprechen und – unter Berücksichtigung der zur
Verfügung stehenden Ressourcen und technischen Möglichkeiten (z. B. Rechenleistung für Brute- Force-Angriffe) – Robustheit gegen die von den Behörden im Empfängerland durchgeführte
Kryptoanalyse bieten;
3. die Verschlüsselungsstärke den spezifischen Zeitraum berücksichtigt, für den die Vertraulichkeit
der verschlüsselten personenbezogenen Daten sicherzustellen ist;
4. der Verschlüsselungsalgorithmus fehlerfrei durch ordnungsgemäß gepflegte Software
implementiert ist, deren Konformität mit der Spezifikation des ausgewählten Algorithmus z. B.
durch Zertifizierung bestätigt wurde;
5. die Schlüssel zuverlässig verwaltet (erzeugt, angewandt, gespeichert, falls relevant, mit der
Identität des vorgesehenen Empfängers verknüpft sowie widerrufen) werden und
6. die Kontrolle über die Schlüssel allein beim Datenexporteur oder bei anderen mit dieser Aufgabe
betrauten Stellen im EWR oder in einem Drittland, in einem Gebiet oder in einem oder mehreren
Sektoren eines Drittlands oder einer internationalen Organisation liegt, wobei die Kommission
durch einen Angemessenheitsbeschluss gemäß Artikel 45 DSGVO festgestellt hat, dass dort ein
angemessenes Schutzniveau gewährleistet ist;
stellt die vorgenommene Verschlüsselung nach Ansicht des EDSA eine effektive zusätzliche
Maßnahme dar.

Anwendungsfall 2: Übermittlung pseudonymisierter Daten
80. Ein Datenexporteur pseudonymisiert die von ihm gehaltenen Daten, bevor er sie zur Analyse ins
Drittland übermittelt, z. B. zu Forschungszwecken.
Wenn
1. der Datenexporteur die personenbezogenen Daten in solcher Weise übermittelt, dass die
personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen weder einer

spezifischen betroffenen Person zugeordnet noch dazu verwendet werden können, die betroffene
Person in einer größeren Gruppe zu identifizieren69;
2. die zusätzlichen Informationen allein vom Datenexporteur und separat gehalten werden, und zwar
in einem Mitgliedstaat oder in einem Drittland, in einem Gebiet oder in einem oder mehreren
bestimmten Sektoren eines Drittlands oder bei einer internationalen Organisation, wobei die
Kommission durch einen Angemessenheitsbeschluss gemäß Artikel 45 DSGVO festgestellt hat,
dass dort ein angemessenes Schutzniveau gewährleistet ist;
3. die Offenlegung oder die unerlaubte Verwendung der zusätzlichen Informationen durch geeignete
technische und organisatorische Garantien verhindert wird und sichergestellt ist, dass die
Kontrolle über den Algorithmus oder den Datenspeicher, der die Re-Identifizierung anhand der
zusätzlichen Informationen ermöglicht, allein beim Datenexporteur liegt, und
4. der Verantwortliche durch gründliche Analyse der betreffenden Daten, unter Berücksichtigung
sämtlicher Informationen, die den Behörden im Empfängerland zur Verfügung stehen mögen,
festgestellt hat, dass die pseudonymisierten personenbezogenen Daten keiner identifizierten oder
identifizierbaren natürlichen Person zugeordnet werden können, selbst wenn sie mit derartigen
Informationen abgeglichen werden sollten,
stellt die vorgenommene Pseudonymisierung nach Ansicht des EDSA eine effektive zusätzliche
Maßnahme dar.
81. Es ist zu beachten, dass es häufig anhand von für die körperliche, physiologische, genetische,
psychische, wirtschaftliche, kulturelle oder soziale Identität spezifischen Faktoren, dem Standort oder
der Interaktion einer natürlichen Person mit Online-Diensten zu bestimmten Zeitpunkten70 möglich
sein dürfte, die betreffende Person zu identifizieren, selbst wenn deren Name, Anschrift oder andere
klare Identifikationsmerkmale nicht mitgeteilt werden.
82. Dies gilt insbesondere, wenn die Daten die Nutzung von Informationsdiensten betreffen
(Zugriffszeitpunkt, Reihenfolge der aufgerufenen Seiten, Merkmale des verwendeten Geräts usw.). Es
kann durchaus sein, dass derartige Dienste, wie auch der Importeur personenbezogener Daten,
verpflichtet sind, den Behörden in ihrem Land Zugriff zu gewähren; die Behörden werden dann
wahrscheinlich Daten darüber besitzen, wie die Zielperson(en) die betreffenden Informationsdienste
nutzen.
83. Im Hinblick darauf, dass einige Informationsdienste ohnehin ihrer Art wegen in öffentlicher Weise
genutzt werden bzw. dass Stellen, die über erhebliche Ressourcen verfügen, sich diese
Informationsdienste zunutze machen können, werden die Verantwortlichen besonders sorgfältig prüfen müssen, ob die Behörden in ihrem Land wahrscheinlich Daten darüber besitzen, wie ihre
Zielpersonen Informationsdienste nutzen.

Anwendungsfall 3: Verschlüsselte Daten im Transit durch Drittländer
84. Ein Datenexporteur möchte Daten an einen Bestimmungsort übermitteln, für den gemäß Artikel 45
DSGVO anerkannt ist, dass er ein angemessenes Schutzniveau bietet. Die Daten werden lediglich im
Transit durch ein Drittland durchgeleitet.
Wenn
1. der Datenexporteur die personenbezogenen Daten an einen Datenimporteur in einem Land
übermittelt, das ein angemessenes Schutzniveau bietet, die Daten über das Internet übermittelt
werden und die Daten unter Umständen geografisch durch ein Drittland durchgeleitet werden, das
kein im Wesentlichen gleichwertiges Schutzniveau bietet,
2. eine Transportverschlüsselung verwendet wird, für die sichergestellt ist, dass die verwendeten
Verschlüsselungsprotokolle dem Stand der Technik entsprechen und effektiven Schutz gegen
aktive und passive Angriffe mit den den Behörden im Drittland zur Verfügung stehenden
Ressourcen bieten,
3. die Entschlüsselung nur außerhalb des betreffenden Drittlands möglich ist,
4. die an der Kommunikationen Beteiligten sich auf eine vertrauenswürdige Zertifizierungsstelle oder
Infrastruktur für öffentliche Schlüssel einigen,
5. spezifische und dem Stand der Technik entsprechende Schutzvorkehrungen gegen aktive und
passive Angriffe auf für den Transport verschlüsselte Daten getroffen werden,
6. personenbezogene Daten auch in der Anwendungsschicht mit dem Stand der Technik
entsprechenden Verschlüsselungsmethoden End-to-End-verschlüsselt werden, falls die Erfahrung
gezeigt hat, dass die Transportverschlüsselung allein wegen Schwachstellen der verwendeten
Infrastruktur oder Software keine geeignete Sicherheit bieten dürfte,
7. der Verschlüsselungsalgorithmus und seine Parametrisierung (z. B. ggf. Schlüssellänge,
Betriebsmodus) dem Stand der Technik entsprechen und – unter Berücksichtigung der zur
Verfügung stehenden Ressourcen und technischen Möglichkeiten (z. B. Rechenleistung für Brute- Force-Angriffe) – der von den Behörden im Transitland durchgeführten Kryptoanalyse
widerstehen;
8. die Verschlüsselungsstärke den spezifischen Zeitraum berücksichtigt, für den die Vertraulichkeit
der verschlüsselten personenbezogenen Daten sicherzustellen ist;
9. der Verschlüsselungsalgorithmus fehlerfrei durch ordnungsgemäß gepflegte Software
implementiert ist, deren Konformität mit der Spezifikation des ausgewählten Algorithmus z. B.
durch Zertifizierung bestätigt wurde;
10. ausgeschlossen worden ist, dass in der Hardware oder Software Hintertüren (Backdoors)
vorhanden sind,
11. die Schlüssel zuverlässig verwaltet (erzeugt, angewandt, gespeichert, falls relevant, mit der
Identität des vorgesehenen Empfängers verknüpft sowie widerrufen) werden und zwar vom
Datenexporteur oder von einer Stelle, der der Datenexporteur vertraut und die in einem Land
ansässig ist, die ein im Wesentlichen gleichwertiges Schutzniveau bietet,
stellt die Transportverschlüsselung, erforderlichenfalls in Kombination mit End-to-End- Verschlüsselung, nach Ansicht des EDSA eine effektive zusätzliche Maßnahme dar.

Anwendungsfall 4: Geschützter Empfänger
85. Ein Datenexporteur übermittelt personenbezogene Daten an einen Datenimporteur in einem
Drittland, der nach dem Recht des betreffenden Landes besonderen Schutz genießt; dies geschieht
z. B. zu dem Zweck der gemeinsamen ärztlichen Behandlung eines Patienten oder der gemeinsamen
Erbringung von Rechtsdienstleistungen für einen Mandanten.
Wenn
1. ein ansässiger Datenimporteur nach dem Recht des Drittlands im Hinblick auf Daten, die er für
einen bestimmten Zweck hält, von Zugriffen, die rechtsverletzend sein könnten, ausgenommen ist
(z. B. wegen einer für den Datenimporteur geltenden beruflichen Schweigepflicht),
2. diese Ausnahme für sämtliche im Besitz des Datenimporteurs befindlichen Informationen gilt, die
dazu verwendet werden könnten, den Schutz geheimer Informationen zu umgehen
(kryptografische Schlüssel, Passwörter, sonstige Anmeldedaten usw.),
3. der Datenimporteur weder Dienstleistungen eines Auftragsverarbeiters in Anspruch nimmt, die
den Behörden den Zugriff auf die Daten ermöglichen könnten, solange sich diese beim
Auftragsverarbeiter befinden, noch die Daten an eine andere Stelle weiterleitet, ohne dass dies
auf Grundlage in Artikel 46 DSGVO vorgesehener Übermittlungsinstrumente geschieht,
4. die personenbezogenen Daten vor der Übermittlung verschlüsselt werden, und zwar mit einer
Methode, die dem Stand der Technik entspricht und die für den gesamten Zeitraum, für den die
Daten zu schützen sind, garantiert, dass ohne Kenntnis des Entschlüsselungsschlüssels (End-to- End-Verschlüsselung) keine Entschlüsselung möglich ist,
5. der Entschlüsselungsschlüssel sich im alleinigen Gewahrsam des Datenimporteurs befindet und
durch technische und organisatorische Maßnahmen, die dem Stand der Technik entsprechen,
angemessen dagegen geschützt ist, unbefugt benutzt oder offengelegt zu werden, und
6. der Datenexporteur sich zuverlässig davon überzeugt hat, dass der Verschlüsselungsschlüssel, den
er zu benutzen beabsichtigt, zu dem vom Empfänger gehaltenen Entschlüsselungsschlüssel passt,
stellt die vorgenommene Transportverschlüsselung nach Ansicht des EDSA eine effektive zusätzliche
Maßnahme dar.

Anwendungsfall 5: Aufgeteilte Verarbeitung oder Verarbeitung durch mehrere Beteiligte
(Multi-party Processing)
86. Der Datenexporteur möchte eine gemeinsame Verarbeitung personenbezogener Daten durch
mindestens zwei unabhängige Auftragsverarbeiter, die in verschiedenen Ländern ansässig sind, ohne
diesen den Dateninhalt offenzulegen. Vor der Übermittlung werden die Daten so aufgeteilt, dass die
Daten, die jeder einzelne Auftragsverarbeiter hat, nicht ausreichen, die personenbezogenen Daten
ganz oder zum Teil zu rekonstruieren. Der Datenexporteur erhält von jedem der Auftragsverarbeiter
dessen Verarbeitungsergebnis und fügt deren Ergebnisse zum Endergebnis zusammen, bei dem es sich
um personenbezogene oder aggregierte Daten handeln kann.
Wenn
1. ein Datenexporteur personenbezogene Daten so aufteilt, dass sie in mindestens zwei Datenstücke
aufgeteilt sind, wobei die einzelnen Datenstücke ohne Verwendung zusätzlicher Informationen
nicht mehr interpretiert oder einer bestimmten betroffenen Person zugeordnet werden können;
2. jedes der Datenstücke an einen gesonderten Auftragsverarbeiter, der in einem anderen Land
ansässig ist, übermittelt wird die Auftragsverarbeiter die Möglichkeit haben, die Daten gemeinsam, z. B. unter Verwendung von
Secure Multi-Party Computation, zu verarbeiten, wobei keinem von ihnen Informationen bekannt
werden, die sie nicht bereits vor der Verarbeitung besaßen;
4. der für die gemeinsame Verarbeitung verwendete Algorithmus Sicherheit gegen aktive Angreifer
bietet;
5. es keine Anzeichen für eine Zusammenarbeit der Behörden in den Ländern, in denen die einzelnen
Auftragsverarbeiter ansässig sind, gibt, die es diesen ermöglichen würde, sich den Zugang zu
sämtlichen Datensätzen der von den Auftragsverarbeitern gehaltenen personenbezogenen Daten
zu verschaffen, so dass sie den Inhalt der personenbezogenen Daten entschlüsseln und nutzen
könnten, um sie in einer Weise zu nutzen, bei der der Wesensgehalt der Grundrechte und
Grundfreiheiten der betroffenen Personen nicht geachtet wäre. Auch die Behörden der einzelnen
Länder dürften nicht ermächtigt sein, auf personenbezogene Daten zuzugreifen, die von den
Auftragsverarbeitern in den verschiedenen betroffenen Ländern gehalten werden;
6. der Verantwortliche durch gründliche Analyse der betreffenden Daten, unter Berücksichtigung
sämtlicher Informationen, die den Behörden in den Empfängerländern zur Verfügung stehen
mögen, festgestellt hat, dass die von ihm übermittelten Datenstücke keiner identifizierten oder
identifizierbaren natürlichen Person zugeordnet werden können, selbst wenn sie mit derartigen
Informationen abgeglichen werden sollten;
stellt die aufgeteilte Verarbeitung nach Ansicht des EDSA eine effektive zusätzliche Maßnahme dar.

Die nachstehend beschriebenen Maßnahmen böten in bestimmten Situationen keine wirksame
Gewährleistung eines im Wesentlichen gleichwertigen Schutzniveaus für die in das Drittland
übermittelten Daten. Sie kämen daher nicht als zusätzliche Maßnahmen in Betracht.
Anwendungsfall 6: Übermittlung an Cloud-Service-Anbieter oder andere Verarbeiter, die
Zugang zu unverschlüsselten Daten benötigen
88. Ein Datenexporteur beauftragt einen Cloud-Service-Anbieter oder anderen Auftragsverarbeiter mit
der Verarbeitung von personenbezogenen Daten, die im Drittland nach den Anweisungen des
Datenexporteurs erfolgt.
Wenn
1. ein Verantwortlicher Daten an einen Cloud-Service-Anbieter oder sonstigen Auftragsverarbeiter
übermittelt;
2. der Cloud-Service-Anbieter oder sonstige Auftragsverarbeiter Zugang zu den unverschlüsselten
Daten benötigt, um die ihm übertragene Aufgabe auszuführen, und
3. die Behörden im Empfängerland mit Befugnissen für den Zugriff auf die übermittelten Daten
ausgestattet sind, die über das, was in einer demokratischen Gesellschaft eine notwendige und
verhältnismäßige Maßnahme darstellt, hinausgehen71
, ist für den EDSA nach dem heutigen Stand der Technik keine wirksame technische Maßnahme
vorstellbar, die im Falle eines solchen Zugangs die Verletzung der Rechte betroffener Personen
verhindern könnte. Der EDSA schließt nicht aus, dass durch künftige technische Entwicklungen
Maßnahmen möglich werden könnten, die die beabsichtigten Geschäftszwecke erfüllen, ohne dass
Zugang zu den unverschlüsselten Daten benötigt würde.
89. In den vorgenannten Szenarien, in denen der Auftragsverarbeiter für seine Dienstleistung
unverschlüsselte personenbezogene Daten benötigt, stellen Transportverschlüsselung und Data-at- Rest-Verschlüsselung – selbst in der Kombination – keine zusätzliche Maßnahme dar, die ein im
Wesentlichen gleichwertiges Schutzniveau gewährleistet, wenn der Datenimporteur im Besitz der
kryptografischen Schlüssel ist.

Die nachstehend beschriebenen Maßnahmen böten in bestimmten Situationen keine wirksame
Gewährleistung eines im Wesentlichen gleichwertigen Schutzniveaus für die in das Drittland
übermittelten Daten. Sie kämen daher nicht als zusätzliche Maßnahmen in Betracht.
Anwendungsfall 6: Übermittlung an Cloud-Service-Anbieter oder andere Verarbeiter, die
Zugang zu unverschlüsselten Daten benötigen
88. Ein Datenexporteur beauftragt einen Cloud-Service-Anbieter oder anderen Auftragsverarbeiter mit
der Verarbeitung von personenbezogenen Daten, die im Drittland nach den Anweisungen des
Datenexporteurs erfolgt.
Wenn
1. ein Verantwortlicher Daten an einen Cloud-Service-Anbieter oder sonstigen Auftragsverarbeiter
übermittelt;
2. der Cloud-Service-Anbieter oder sonstige Auftragsverarbeiter Zugang zu den unverschlüsselten
Daten benötigt, um die ihm übertragene Aufgabe auszuführen, und
3. die Behörden im Empfängerland mit Befugnissen für den Zugriff auf die übermittelten Daten
ausgestattet sind, die über das, was in einer demokratischen Gesellschaft eine notwendige und
verhältnismäßige Maßnahme darstellt, hinausgehen71
, ist für den EDSA nach dem heutigen Stand der Technik keine wirksame technische Maßnahme
vorstellbar, die im Falle eines solchen Zugangs die Verletzung der Rechte betroffener Personen
verhindern könnte. Der EDSA schließt nicht aus, dass durch künftige technische Entwicklungen
Maßnahmen möglich werden könnten, die die beabsichtigten Geschäftszwecke erfüllen, ohne dass
Zugang zu den unverschlüsselten Daten benötigt würde.
89. In den vorgenannten Szenarien, in denen der Auftragsverarbeiter für seine Dienstleistung
unverschlüsselte personenbezogene Daten benötigt, stellen Transportverschlüsselung und Data-at- Rest-Verschlüsselung – selbst in der Kombination – keine zusätzliche Maßnahme dar, die ein im
Wesentlichen gleichwertiges Schutzniveau gewährleistet, wenn der Datenimporteur im Besitz der
kryptografischen Schlüssel ist.

Vertragliche Verpflichtung zur Verwendung spezifischer technischer Maßnahmen
97. Je nach den jeweiligen Umständen der Übermittlungen kann es sein, dass im Vertrag vorgesehen
muss, dass die Übermittlungen nur stattfinden können, wenn bestimmte technische Maßnahmen
ergriffen worden sind (vgl. dazu die obigen Erläuterungen zu technischen Maßnahmen).
98. Wirksamkeitsvoraussetzungen:
– Diese Klausel könnte in den Fällen effektiv sein, in denen der Datenexporteur erkannt hat,
dass technische Maßnahmen erforderlich sind. Sie müsste dann rechtsverbindlich vereinbart
werden, damit sichergestellt ist, dass sich der Datenimporteur erforderlichenfalls dazu
verpflichtet hat, die notwendigen technischen Maßnahmen zu ergreifen.

Transparenzanforderungen:
99. Der Datenexporteur könnte dem Vertrag Anhänge mit vom Datenimporteur nach besten Kräften
beizubringenden Informationen über den behördlichen (auch nachrichtendienstlichen) Datenzugriff
im Bestimmungsland hinzufügen, vorausgesetzt die Rechtsvorschriften stehen mit den
„Wesentlichen europäischen Garantien“ des EDSA in Einklang. Dies könnte dem Datenexporteur
helfen, seine Beurteilung des Schutzniveaus im Drittland zu dokumentieren, wozu er verpflichtet ist.
100. Der Datenimporteur könnte z. B. verpflichtet werden:
(1) die einschlägigen Gesetze und Verordnungen des Bestimmungslands aufzuführen, denen
der Datenimporteur oder seine (Unter-)Auftragsverarbeiter sowie die übermittelten Daten
unterliegen und die den Behörden den Zugriff auf die übermittelten personenbezogenen
Daten insbesondere zu nachrichtendienstlichen, Strafverfolgungs-, Verwaltungs- und
Aufsichtszwecken gestatten würden;
(2) falls es keine Rechtsvorschriften gibt, die den behördlichen Datenzugriff regeln,
Informationen und Statistiken zu liefern, die auf der Erfahrung des Datenimporteurs oder auf
Berichten aus verschiedenen Quellen (z. B. Partner, allgemein zugängliche Quellen,
Gerichtsentscheidungen und aufsichtsbehördliche Entscheidungen im betreffenden Land)
über den behördlichen Zugriff auf personenbezogene Daten der Art beruhen, um die es bei
der betreffenden Datenübermittlung geht (d. h. in dem spezifischen regulatorischen Bereich;
für Unternehmen von der Art des Datenimporteurs, usw.);
(3) anzugeben, welche Maßnahmen (ggf.) ergriffen werden, um den Zugang auf die
übermittelten Daten zu verhindern;
(4) hinreichend detaillierte Angaben über alle behördlichen Ersuchen um Gewährung des
Zugangs zu personenbezogenen Daten zu machen, die der Datenimporteur in einem
bestimmten Zeitraum erhalten hat77, insbesondere in den oben unter (1) genannten
Bereichen; mit Angaben zu den ihm zugegangenen Ersuchen, den angeforderten Daten, der ersuchenden Behörde und der Rechtsgrundlage für die Offenlegung sowie dazu, in welchem
Umfang der Datenimporteur dem Ersuchen nachgekommen ist;78
(5) anzugeben, ob und inwieweit es dem Datenimporteur rechtlich untersagt ist, die oben
unter (1) bis (5) aufgeführten Angaben zu machen.
101. Diese Informationen könnten mit einem klar gegliederten Fragebogen erfasst werden, der vom
Datenimporteur auszufüllen und zu unterzeichnen wäre, wobei der Datenimporteur darüber hinaus
vertraglich zu verpflichten wäre, Veränderungen bezüglich dieser Angaben binnen einer bestimmten
Frist mitzuteilen, so wie es z. B. in Due-Diligence-Verfahren üblich ist.
102. Wirksamkeitsvoraussetzungen:
– Der Datenimporteur muss dem Datenexporteur diese Informationen, um deren Beschaffung
er sich nach besten Kräften bemühen muss, nach seinem besten Wissen mitteilen können.79
– Diese dem Datenimporteur auferlegte Verpflichtung soll sicherstellen, dass sich der
Datenexporteur der mit der Übermittlung der Daten in ein Drittland verbundenen Risiken
bewusst wird und bewusst bleibt. Sie versetzt den Datenexporteur in die Lage, vom
Vertragsabschluss abzusehen oder, falls sich die Informationen nach Vertragsabschluss
ändern, seine Verpflichtung zur Aussetzung der Übermittlung und/oder zum Rücktritt vom
Vertrag zu erfüllen, falls die Rechtslage im Drittland, die im verwendeten
Übermittlungsinstrument in Artikel 46 DSGVO enthaltenen Garantien oder jegliche
zusätzlichen Garantien, die vereinbart worden sein mögen, nicht mehr ein dem Schutzniveau
in der EU im Wesentlichen gleichwertiges Schutzniveau sicherzustellen vermögen. Diese
Verpflichtung kann jedoch weder eine Offenlegung personenbezogener Daten durch den
Datenimporteur rechtfertigen, noch Grund zu der Erwartung geben, dass es keine weiteren
Offenlegungsersuchen mehr geben wird.**

Der Datenexporteur könnte auch Klauseln hinzufügen, in denen der Datenimporteur bestätigt,
(1) dass er nicht absichtlich Hintertüren (back doors) oder Ähnliches programmiert hat, was dazu
genutzt werden könnte, auf das System und/oder die personenbezogenen Daten zuzugreifen;
(2) dass er nicht absichtlich seine Geschäftsprozesse so eingerichtet oder geändert hat, dass der
Zugriff auf personenbezogene Daten oder Systeme möglich ist; und (3) dass der Datenimporteur
aufgrund nationalen Rechts bzw. der Regierungspolitik weder verpflichtet ist, Hintertüren (back
doors) zu schaffen oder aufrechtzuerhalten, noch verpflichtet ist, personenbezogene Daten oder
Systeme zugänglich zu machen oder den Verschlüsselungsschlüssels besitzen oder herausgeben zu
müssen.80
104. Wirksamkeitsvoraussetzungen:
– Wenn Datenimporteure aufgrund der Rechtsvorschriften oder der Regierungspolitik daran
gehindert sind, diese Informationen mitzuteilen, könnte diese Klausel unwirksam sein. DerDatenimporteur wird dann den Vertrag nicht abschließen können oder er wird dem
Datenexporteur mitteilen müssen, dass er nicht weiter in der Lage ist, seine vertraglichen
Verpflichtungen zu erfüllen.81
– Der Vertrag muss für den Fall, dass der Datenimporteur nicht angibt, dass es Hintertüren
(back doors) oder ähnliche Programmteile oder manipulierte Geschäftsprozesse oder
Verpflichtungen zu deren Implementierung gibt, oder dass er den Datenexporteur nicht
umgehend verständigt, sobald ihm bekannt wird, dass solche vorhanden sind, Vertragsstrafen
und/oder für den Datenexporteur die Möglichkeit vorsehen, den Vertrag kurzfristig zu
kündigen.

Der Datenexporteur könnte seine Befugnis, die Datenverarbeitungseinrichtungen des
Datenimporteurs vor Ort und/oder aus der Ferne Prüfungen82 oder Inspektionen zu unterziehen,
verstärken, um zu überprüfen, ob Daten Behörden gegenüber offengelegt wurden und, falls ja, zu
welchen Bedingungen (der Zugang darf nicht über das hinausgehen, was in einer demokratischen
Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt); dabei kommen z. B. kurze
Ankündigungsfristen und Mechanismen in Betracht, die ein schnelles Handeln der Prüfgremien
gewährleisten und die Entscheidungskompetenz des Datenimporteurs bei der Auswahl der
Prüfgremien stärken.
106. Wirksamkeitsvoraussetzungen:
– Volle Wirksamkeit setzt voraus, dass der Prüfungsumfang die rechtlichen und technischen
Aspekte aller von den Auftragsverarbeitern und Unterauftragsverarbeitern des
Datenimporteurs durchgeführten Verarbeitungen der in das Drittland übermittelten
personenbezogenen Daten umfasst. – Zugriffsprotokolle und ähnliche Prüfpfade sollten fälschungssicher sein, damit die Prüfer
Offenlegungen feststellen können. Zugriffsprotokolle und ähnliche Prüfpfade sollten zwischen
Zugriffen im Rahmen des gewöhnlichen Geschäftsbetriebs und Zugriffen, die auf Anordnung
der Datenoffenlegung oder entsprechende Ersuchen hin erfolgen, unterscheiden.

Auch wenn die erste Beurteilung des Rechts und der Praxis im Drittland ergibt, dass dieses für die
vom Datenexporteur übermittelten Daten ein Schutzniveau bietet, dass dem in der EU im
Wesentlichen gleichwertig ist, könnte der Datenexporteur dennoch dem Datenimporteur weitere
Verpflichtungen auferlegen, etwa, dass dieser den Datenexporteur umgehend benachrichtigen
muss, wenn er seine vertraglichen Verpflichtungen – und damit das erforderliche „im Wesentlichen
gleichwertige Schutzniveau“ – nicht mehr einhalten kann.83.

 

Grund dafür, dass Verpflichtungen nicht mehr eingehalten werden können, können Änderungen der
Rechtsvorschriften oder Praxis im Drittland sein.84 Die Klauseln könnten spezifische und strikt
einzuhaltende Fristen und Verfahren für die umgehende Aussetzung der Datenübermittlung und/oder
den Rücktritt vom Vertrag sowie für die Rückgabe oder Löschung der empfangenen Daten durch den
Datenimporteur vorsehen. Wenn der Datenexporteur den Überblick über die ergangenen
Offenlegungsersuchen, deren Gegenstand und die Effektivität der dagegen getroffenen Maßnahmen
behält, dürfte er genügend Informationen haben, um seine Pflicht zur Aussetzung oder Einstellung der
Übermittlung und/oder zum Rücktritt vom Vertrag erfüllen zu können.
109. Wirksamkeitsvoraussetzungen:
– Die Benachrichtigung muss erfolgten, bevor der Zugriff auf die Daten gewährt wird.
Andernfalls könnten die Rechte der natürlichen Person zu dem Zeitpunkt, zu dem der
Datenexporteur die Benachrichtigung erhält, bereits verletzt worden sein (wenn nämlich das
Ersuchen auf Rechtsvorschriften des Drittlands beruht, die Eingriffe gestatten, die über die
nach Unionsrecht zulässigen Eingriffe hinausgehen). Die Benachrichtigung könnte aber immer
noch dazu dienen, künftige Verletzungen zu verhindern und dem Datenexporteur die
Einhaltung seiner Pflicht zur Aussetzung der Übermittlung der personenbezogenen Daten in
das Drittland und/oder zum Rücktritt vom Vertrag zu ermöglichen. – Der Datenimporteur muss alle rechtlichen und politischen Entwicklungen überwachen, die
dazu führen könnten, dass er seine Verpflichtungen nicht mehr erfüllen kann; und er muss den
Datenexporteur unverzüglich über alle derartigen Änderungen und Entwicklungen
unterrichten (falls möglich noch vor deren Inkrafttreten), damit der Datenexporteur die
Möglichkeit hat, die Daten vom Datenimporteur zurückzuerlangen. – Die Klauseln sollten für den Fall, dass eine bestimmte, zwischen Datenexporteur und
Datenimporteur vereinbarte Schwelle erreicht wird, ein schnelles Verfahren vorsehen, durch
das der Datenexporteur dem Datenimporteur gestattet, die Daten umgehend zu sichern oder
an den Datenexporteur zurückzugeben oder, falls dies nicht möglich ist, die Daten zu löschen
oder sicher zu verschlüsseln, ohne notwendigerweise Anweisungen des Datenexporteurs
abwarten zu müssen. Der Datenimporteur sollte dieses Verfahren gleich zu Beginn der
Datenübermittlung implementieren und es regelmäßig testen, um sicherzustellen, dass es
kurzfristig angewendet werden kann. – In weiteren Klauseln könnte dem Datenexporteur die Befugnis eingeräumt werden, die
Einhaltung dieser Verpflichtungen durch den Datenimporteur durch Prüfungen, Inspektionen
und andere Überprüfungsmaßnahmen zu überwachen und mit dem Datenimporteur
drohenden Vertragsstrafen durchzusetzen bzw. die Übermittlung auszusetzen und/oder
fristlos vom Vertrag zurückzutreten.

 

Soweit dies nach dem nationalen Recht des Drittlands gestattet ist, könnte der Vertrag die
Transparenzpflichten des Datenimporteurs verstärken, indem diesem auferlegt wird, regelmäßig
(z. B. mindestens alle 24 Stunden) „Warrant Canary“-Erklärungen abzugeben. Diese Erklärungen sind
kryptografisch signierte Mitteilungen, mit denen der Datenexporteur informiert wird, dass dem
Datenimporteur bis zu einem bestimmten Zeitpunkt (Datum und Uhrzeit) kein Ersuchen um
Offenlegung personenbezogener Daten o. Ä. zugegangen ist. Wenn eine solche Erklärung dann
ausbleibt, ist das für den Datenexporteur ein Hinweis darauf, dass dem Datenimporteur ein solches
Ersuchen zugegangen sein könnte.
111. Wirksamkeitsvoraussetzungen:
– Nach den Vorschriften im Drittland muss es dem Datenimporteur gestattet sein, dem
Datenexporteur eine solche Benachrichtigung in passiver Form zukommen zu lassen. – Der Datenexporteur muss den Eingang der „Warrant-Canary“-Erklärungen automatisch
überwachen. – Der Datenimporteur muss sicherstellen, dass sein privater Schlüssel zum Signieren der
„Warrant-Canary“-Erklärung sicher ist und dass er nicht nach den Vorschriften im Drittland
gezwungen werden kann, falsche „Warrant-Canary“-Erklärungen abzugeben. Es könnte
deshalb nützlich sein, wenn mehrere Signaturen verschiedener Personen erforderlich wären
und/oder wenn die „Warrant-Canary“-Erklärung von einer Person außerhalb des gerichtlichen
Zuständigkeitsbereichs des Drittlands abgegeben würde.

der betroffenen Personen hätten nur begrenzte Wirkung, da diese nur Schadensersatz für die negativen Folgen der Datenoffenlegung fordern könnten. – Der Datenimporteur muss die Maßnahmen, die er nach besten Kräften zur Erfüllung dieser Verpflichtung ergriffen hat, dokumentieren und dem Datenexporteur nachweisen können.

Verpflichtungen zum Ergreifen bestimmter Maßnahmen
112. Der Datenimporteur könnte sich verpflichten, die Rechtmäßigkeit jeglicher Anordnungen der
Datenoffenlegung nach dem Recht des Bestimmungslands zu prüfen, insbesondere im Hinblick
darauf, ob die Behörde befugt ist, um Offenlegung zu ersuchen, sowie gegen die Anordnung
vorzugehen, falls er zu dem Schluss gelangt, dass es nach dem Recht des Bestimmungslands guten
Grund dafür gibt, sich zur Wehr zu setzen. Wenn der Datenimporteur gegen eine Anordnung vorgeht,
sollte er einstweiligen Rechtsschutz beantragen, damit die Anordnung erst vollzogen werden kann,
wenn das Gericht abschließend über die Sache entschieden hat. Der Datenimporteur könnte sich
verpflichten, die personenbezogenen Daten nicht offenzulegen, solange er nicht nach den
einschlägigen Verfahrensregeln dazu verpflichtet ist. Außerdem könnte sich der Datenimporteur für
den Fall, dass er einer Anordnung Folge leisten muss, verpflichten, nur die Mindestmenge an
Informationen mitzuteilen, die – bei angemessener Auslegung der Anordnung – genügt.
113. Wirksamkeitsvoraussetzungen:
– Die Rechtsordnung des Drittlands muss wirksamen Rechtsschutz bieten, der ein Vorgehen
gegen Anordnungen der Datenoffenlegung ermöglicht. – Der zusätzliche Schutz, den diese Klausel bietet, wird sich stets in Grenzen halten, da eine
Anordnung der Datenoffenlegung nach der Rechtsordnung des Drittlands durchaus
rechtmäßig sein könnte; es kann aber sein, dass die betreffende Rechtsordnung den
unionsrechtlichen Standards nicht genügt. Diese vertragliche Maßnahme kann deshalb
allenfalls andere zusätzliche Maßnahmen ergänzen. – Die gegen Anordnungen gegebenen Rechtsbehelfe müssen nach dem Recht des Drittlands
aufschiebende Wirkung (Suspensiveffekt) haben. Andernfalls wäre es den Behörden immer
noch möglich, auf die Daten natürlicher Personen zuzugreifen, und alle späteren Rechtsbehelfe der betroffenen Personen hätten nur begrenzte Wirkung, da diese nur Schadensersatz für die negativen Folgen der Datenoffenlegung fordern könnten. – Der Datenimporteur muss die Maßnahmen, die er nach besten Kräften zur Erfüllung dieser Verpflichtung ergriffen hat, dokumentieren und dem Datenexporteur nachweisen können.

Befugnis der betroffenen Personen zur Ausübung ihrer Rechte
116. Der Vertrag könnte vorsehen, dass der Zugriff auf personenbezogene Daten, die im gewöhnlichen
Geschäftsgang (einschließlich in Supportfällen) unverschlüsselt übermittelt werden, nur mit
ausdrücklicher oder impliziter Zustimmung des Datenexporteurs und/oder der betroffenen Person
gestattet ist.
117. Wirksamkeitsvoraussetzungen:
– Diese Klausel könnte in Situationen effektiv sein, in denen Datenimporteure von Behörden
zur freiwilligen Zusammenarbeit aufgefordert werden – wenn es sich also nicht um einen behördlichen Zugriff handelt, der ohne Wissen des Datenimporteurs oder gegen dessen Willen
erfolgt. – Zuweilen mag es der betroffenen Person nicht möglich sein, sich gegen den Zugriff zur Wehr
zu setzen oder eine Zustimmung zu erteilen, die allen unionsrechtlichen Anforderungen genügt
(also eine freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich
abgegebene Willensbekundung darstellt) (etwa im Fall von Arbeitnehmern)86
. – Nationale Rechtsvorschriften oder Grundsätze, die dem Datenimporteur die Offenlegung der
Zugriffsanordnung untersagen, können dazu führen, dass diese Klausel wirkungslos ist, wenn
sie nicht um technische Methoden ergänzt wird, die zur Datenentschlüsselung der Mitwirkung
des Datenexporteurs oder der betroffenen Person bedürfen. Solche technischen Maßnahmen
zur Zugriffsbeschränkung können insbesondere dann in Betracht kommen, wenn der Zugriff
nur für konkrete Support- oder Serviceleistungen gewährt wird, die Daten selbst aber im EWR
gespeichert sind.

Der Vertrag könnte den Datenimporteur und/oder Datenexporteur verpflichten, die betroffene
Person unverzüglich über im Drittland ergangene behördliche Ersuchen oder Anordnungen oder aber
darüber, dass der Datenimporteur seine vertraglichen Verpflichtungen nicht einhalten kann, zu
unterrichten, damit die betroffene Person Informationen einholen und einen wirksamen
Rechtsbehelf einlegen kann (indem sie z. B. bei der zuständigen Aufsichtsbehörde Beschwerde
einlegt oder beim zuständigen Gericht Klage erhebt und ihr Rechtschutzinteresse bei den Gerichten
im Drittland geltend macht).
119. Wirksamkeitsvoraussetzungen:
– Die Benachrichtigung könnte die betroffene Person warnen, dass ihre Daten im Drittland
möglicherweise behördlichen Zugriffen ausgesetzt sind. Die betroffene Person könnte
zusätzliche Informationen beim Datenexporteur anfordern und bei ihrer zuständigen
Aufsichtsbehörde Beschwerde einlegen. Diese Klausel könnte auch einigen der
Schwierigkeiten entgegenwirken, die eine natürliche Person vor den Gerichten im Drittland
beim Nachweis ihres Rechtsschutzinteresses (Klagebefugnis) bezüglich des behördlichen
Zugriffs auf ihre Daten haben kann. – Es kann sein, dass es nationale Rechtsvorschriften und Grundsätze gibt, die der Unterrichtung
der betroffenen Person entgegenstehen. Datenexporteur und Datenimporteur könnten sich
dennoch verpflichten, die betroffene Person zu unterrichten, sobald die Beschränkungen zur
Datenoffenlegung aufgehoben sind, sowie sich nach besten Kräften zu bemühen, einen
Verzicht auf das Offenlegungsverbot zu erwirken. Zumindest sollte der Datenexporteur oder
die zuständige Aufsichtsbehörde die betroffene Person darüber unterrichten können, dass die
Übermittlung ihrer personenbezogenen Daten ausgesetzt oder beendet wurde, weil der
Datenimporteur seine vertraglichen Verpflichtungen wegen eines Zugriffsersuchens nicht
mehr einhalten konnte.

Der Vertrag könnte den Datenexporteur und Datenimporteur verpflichten, der betroffenen Person
zu helfen, ihre Rechte im Drittland auszuüben, etwa durch individuell vereinbarte
Rechtsschutzmechanismen und Rechtsberatung.
121. Wirksamkeitsvoraussetzungen:
– Es kann sein, dass es nationale Rechtsvorschriften und Grundsätze gibt, die die Wirksamkeit
der individuell vereinbarten Rechtsschutzmechanismen untergraben. – Rechtsberatung für die betroffene Person könnte nützlich sein, insbesondere wenn man
bedenkt, wie kompliziert und kostspielig es für die betroffene Person sein kann, die
Rechtsordnung des Drittlands zu verstehen und im Ausland den Rechtsweg zu beschreiten,
möglicherweise auch noch in einer fremden Sprache. Der zusätzliche Schutz, den diese Klausel
bietet, wird sich jedoch immer in Grenzen halten, da es mit Hilfe und Rechtsberatung für
betroffene Personen allein nicht getan ist, wenn die Rechtsordnung des Drittlands kein
Schutzniveau bietet, das dem in der EU gewährleisteten Schutzniveau im Wesentlichen
gleichwertig ist. Diese vertragliche Maßnahme kann deshalb allenfalls andere zusätzliche
Maßnahmen ergänzen.
Zusätzliche Maßnahmen wären nur effektiv, wenn das Recht des Drittlands Rechtschutz vor seinen
nationalen Gerichten vorsähe oder wenn es einen individuell vereinbarten Rechtsschutzmechanismus
gäbe. Jedenfalls wäre dies, wenn es keinen Rechtsschutzmechanismus gibt, keine wirksame zusätzliche
Maßnahme gegen Überwachungsmaßnahmen.

Organisatorische Maßnahmen
122. Bei den zusätzlichen organisatorischen Maßnahmen kann es sich um interne Strategien,
Organisationsmethoden und Standards handeln, die die Verantwortlichen und Auftragsverarbeiter bei
sich selbst anwenden und den Datenimporteuren in Drittländern auferlegen könnten. Diese können
zu einem im gesamten Verarbeitungszyklus einheitlichen Schutz personenbezogener Daten beitragen.
Organisatorische Maßnahmen können auch dazu beitragen, dass sich die Datenexporteure der Risiken
bezüglich des Datenzugriffs in Drittländern und entsprechender Zugriffsversuche besser bewusst sind
und besser darauf reagieren können. Nur weil man eine oder mehrere dieser Maßnahmen ausgewählt
und angewendet hat, bedeutet das noch nicht unbedingt, dass systematisch sichergestellt ist, dass die
vorgesehene Übermittlung den unionsrechtlichen Anforderungen (Gewährleistung eines im
Wesentlichen gleichwertigen Schutzniveaus) genügt. Je nach den besonderen Umständen der
Übermittlung und der durchgeführten Beurteilung der Rechtslage im Drittland sind organisatorische
Maßnahmen zur Ergänzung der vertraglichen und/oder technischen Maßnahmen erforderlich, um
sicherzustellen, dass der Schutz der personenbezogenen Daten dem in der EU gewährleisteten
Schutzniveau im Wesentlichen gleichwertig ist.
123. Welche Maßnahmen die geeignetsten sind, ist jeweils im Einzelfall zu beurteilen, wobei zu beachten
ist, dass die Verantwortlichen und Auftragsverarbeiter dem Grundsatz der Rechenschaftspflicht
genügen müssen. Nachstehend hat der EDSA einige Beispiele für organisatorische Maßnahmen
aufgeführt, die Datenexporteure ergreifen können; dies ist jedoch keine erschöpfende Liste und auch
andere Maßnahmen können durchaus geeignet sein:

 

Interne Grundsätze für den Regelungsrahmen für Übermittlungen (insbesondere innerhalb von
Unternehmensgruppen)
124. Aufstellung angemessener interner Grundsätze mit klarer Zuweisung der Verantwortlichkeiten für
Datenübermittlungen, Berichtswege und Standardarbeitsanweisungen für den Fall verdeckter oder
offizieller behördlicher Ersuchen um Datenzugriff. Insbesondere wenn es sich um Übermittlungen
innerhalb von Unternehmensgruppen handelt, können diese Grundsätze unter anderem vorsehen,
dass ein bestimmtes Team bestellt wird. Dieses Team, das im EWR ansässig sein und aus Experten
für IT, Datenschutz und Datenschutzrecht bestehen sollte, sollte für Ersuchen zuständig sein, die sich
auf aus der EU übermittelte personenbezogene Daten beziehen. In den Grundsätzen können die
Benachrichtigung der Rechtsabteilung und der Unternehmensleitung sowie des Datenexporteurs
über Ersuchen, das Vorgehen gegen unverhältnismäßige oder rechtswidrige Ersuchen sowie die
transparente Unterrichtung der betroffenen Personen geregelt werden.
125. Für die Mitarbeiter, die behördliche Ersuchen um Zugriff auf personenbezogene Daten bearbeiten,
sind spezifische Trainingsverfahren auszuarbeiten, die regelmäßig zu aktualisieren sind, um neuen
Entwicklungen in der Gesetzgebung und Rechtsprechung im Drittland wie auch im EWR Rechnung zu
tragen. Die Trainingsverfahren sollten die unionsrechtlichen Anforderungen an den behördlichen
Zugriff auf personenbezogene Daten umfassen, insbesondere die Anforderungen, die sich aus
Artikel 52 Absatz 1 der Charta der Grundrechte ergeben. Das Personal ist für die Problematik zu
sensibilisieren, insbesondere anhand praktischer Beispiele für behördliche Ersuchen um Datenzugriff
und die Anwendung des sich aus Artikel 52 Absatz 1 der Charta der Grundrechte ergebenden
Standards auf die Beispielsfälle. Derartiges Training könnte auch die besondere Situation des
Datenimporteurs berücksichtigen, z. B. die Rechtsvorschriften und Verordnungen im Drittland, denen
der Datenimporteur unterliegt; das Training sollte, wenn möglich, in Zusammenarbeit mit dem
Datenexporteur ausgearbeitet werden.
126. Wirksamkeitsvoraussetzungen:
– Diese Grundsätze können nur für die Fälle vorgesehen werden, in denen das Ersuchen der
Behörden im Drittland mit dem Unionsrecht vereinbar ist.87 Ist das Ersuchen nicht damit
vereinbar, würden diese Grundsätze nicht genügen, ein gleichwertiges Schutzniveau für die
personenbezogenen Daten zu gewährleisten; die Übermittlungen wären dann, wie oben
erläutert, einzustellen oder es müssten geeignete zusätzliche Maßnahmen ergriffen werden,
um den Zugriff zu verhindern.

Maßnahmen in Bezug auf Transparenz und Rechenschaftspflicht
127. Dokumentierung und Aufzeichnung der von Behörden gestellten Zugriffsersuchen und deren
Beantwortung, einschließlich der rechtlichen Begründung und Angaben zu den beteiligten Stellen
(z. B. ob Benachrichtigung des Datenexporteurs erfolgt ist, dessen Erwiderung, die von dem für
derartige Ersuchen zuständigen Team vorgenommene Beurteilung usw.). Diese Aufzeichnungen sind
dem Datenexporteur zur Verfügung zu stellen, der sie wiederum auf Verlangen den betroffenen
Personen zur Verfügung stellt.
128. Wirksamkeitsvoraussetzungen: – Es kann sein, dass es wegen der nationalen Rechtsvorschriften im Drittland nicht möglich ist,
Ersuchen oder wesentliche Informationen darüber offenzulegen; in einem solche Fall wäre
diese Verfahrensweise wirkungslos. Der Datenimporteur sollte dem Datenexporteur ggf.
mitteilen, dass er die Dokumente und Aufzeichnungen nicht liefern kann, so dass der
Datenexporteur die Möglichkeit hat, die Übermittlungen auszusetzen, falls die fehlende
Kooperationsfähigkeit des Datenimporteurs das Schutzniveau beeinträchtigt.

Regelmäßige Veröffentlichung von Transparenzberichten oder Zusammenfassungen bezüglich der
von staatlichen Stellen gestellten Ersuchen um Datenzugriff und deren Beantwortung, soweit die
Veröffentlichung nach dem im Land geltenden Recht gestattet ist.
130. Wirksamkeitsvoraussetzungen:
– Die mitgeteilten Informationen sollten so relevant, klar und detailliert wie möglich sein. Es
kann sein, dass die nationalen Rechtsvorschriften des Drittlands der Offenlegung detaillierter
Informationen entgegenstehen. Gegebenenfalls sollte der Datenimporteur sich nach besten
Kräften bemühen, statistische Angaben oder aggregierte Informationen vergleichbarer Art zu
liefern.

Organisationsmethoden und Maßnahmen zur Datenminimierung
131. Bereits nach dem Grundsatz der Rechenschaftspflicht bestehende organisatorische Anforderungen,
etwa strikter und granularer Datenzugriff sowie Geheimhaltungsgrundsätze und bewährte
Verfahren, die auf einem strikt einzuhaltenden „Need-to-know“-Grundsatz beruhen, mit
Überwachung durch regelmäßige Überprüfungen und Durchsetzung durch Disziplinarmaßnahmen – all diese Maßnahmen können auch im Zusammenhang mit Datenübermittlungen nützlich sein.
Diesbezüglich ist auch die Datenminimierung in Betracht zu ziehen, um möglichst wenig
personenbezogene Daten der Gefahr unbefugter Zugriffe auszusetzen. In einigen Fällen ist die
Übermittlung bestimmter Daten u. U. nicht unbedingt erforderlich (z. B. im Falle des Fernzugriffs auf
EWR-Daten, etwa in Support-Fällen, wenn anstatt des vollen Zugriffs nur eingeschränkter Zugriff
gewährt wird oder wenn eine Dienstleistung lediglich die Übermittlung eines Teils der Daten, nicht
der gesamten Datenbank, erfordert).
132. Wirksamkeitsvoraussetzungen:
– Es sollten regelmäßige Überprüfungen und strenge Disziplinarmaßnahmen vorgesehen sein,
um die Einhaltung der Maßnahmen zur Datenminimierung auch im Zusammenhang mit
Datenübermittlungen zu überwachen und durchzusetzen. – Der Datenexporteur sollte die in seinem Besitz befindlichen personenbezogenen Daten vor
der Übermittlung daraufhin untersuchen, welche Datenbestände für die Zwecke der
Übermittlung nicht erforderlich sind und deshalb nicht an den Datenimporteur weitergegeben
werden. – Die Maßnahmen zur Datenminimierung sollten mit technischen Maßnahmen verbunden
werden, um sicherzustellen, dass die Daten keinem unbefugten Zugriff unterliegen. So kann
z. B. durch „Secure Multiparty Computation“-Mechanismen und die Verteilung verschlüsselter
Datenmengen unter verschiedenen vertrauenswürdigen Stellen schon durch die Technikgestaltung verhindert werden, dass ein Zugriff von nur einer Seite zur Offenlegung
identifizierbarer Daten führen würde

Entwicklung bewährter Verfahren für die angemessene und rechtzeitige Einbeziehung sowohl (ggf.)
des Datenschutzbeauftragten, dem Zugang zu den Informationen zu gewähren ist, als auch der
Rechtsabteilung und Innenrevision in allen Angelegenheiten, die internationale Übermittlungen
personenbezogener Daten betreffen.
134. Wirksamkeitsvoraussetzungen:
– Der Datenschutzbeauftragte (falls vorhanden) sowie die Rechtsabteilung und die
Innenrevision, denen alle für die Übermittlung relevanten Informationen mitzuteilen sind, sind
zur Notwendigkeit der Übermittlung und etwaiger zusätzlicher Garantien zu konsultieren. – Zu den relevanten Informationen zählen z. B. die Beurteilung der Notwendigkeit der
Übermittlung der spezifischen personenbezogenen Daten, ein Überblick über die
einschlägigen Gesetze im Drittland sowie die Garantien, zu deren Implementierung sich der
Datenimporteur verpflichtet hat.

Annahme von Normen und bewährten Verfahren
135. Aufstellung strikter Grundsätze in Bezug auf Datensicherheit und Datenschutz, auf Grundlage
unionsrechtlicher Zertifizierung oder Verhaltensregeln oder internationaler Normen (z. B. ISO- Normen) und bewährter Verfahren (z. B. ENISA), unter gebotener Beachtung des Stands der Technik,
abgestimmt auf das Risiko der verarbeiteten Datenkategorien und die Wahrscheinlichkeit
behördlicher Datenzugriffe

 

Annahme und regelmäßige Überprüfung interner Grundsätze zur Beurteilung der Eignung der
implementierten ergänzenden Maßnahmen sowie erforderlichenfalls Identifizierung und
Implementierung zusätzlicher oder alternativer Lösungen, um sicherzustellen, dass für die
übermittelten personenbezogenen Daten ein dem unionsrechtlichen vergleichbares Schutzniveau
eingehalten wird. *** 137. Verpflichtungen des Datenimporteurs, von jeder Weiterübermittlung der personenbezogenen Daten,
sei es innerhalb desselben Landes oder in andere Drittländer, abzusehen oder laufende
Übermittlungen auszusetzen, wenn im Drittland kein dem unionsrechtlichen vergleichbares
Schutzniveau eingehalten werden kann.8

 

 

Verpflichtungen zum Ergreifen bestimmter Maßnahmen
112. Der Datenimporteur könnte sich verpflichten, die Rechtmäßigkeit jeglicher Anordnungen der
Datenoffenlegung nach dem Recht des Bestimmungslands zu prüfen, insbesondere im Hinblick
darauf, ob die Behörde befugt ist, um Offenlegung zu ersuchen, sowie gegen die Anordnung
vorzugehen, falls er zu dem Schluss gelangt, dass es nach dem Recht des Bestimmungslands guten
Grund dafür gibt, sich zur Wehr zu setzen. Wenn der Datenimporteur gegen eine Anordnung vorgeht,
sollte er einstweiligen Rechtsschutz beantragen, damit die Anordnung erst vollzogen werden kann,
wenn das Gericht abschließend über die Sache entschieden hat. Der Datenimporteur könnte sich
verpflichten, die personenbezogenen Daten nicht offenzulegen, solange er nicht nach den
einschlägigen Verfahrensregeln dazu verpflichtet ist. Außerdem könnte sich der Datenimporteur für
den Fall, dass er einer Anordnung Folge leisten muss, verpflichten, nur die Mindestmenge an
Informationen mitzuteilen, die – bei angemessener Auslegung der Anordnung – genügt.
113. Wirksamkeitsvoraussetzungen:
– Die Rechtsordnung des Drittlands muss wirksamen Rechtsschutz bieten, der ein Vorgehen
gegen Anordnungen der Datenoffenlegung ermöglicht. – Der zusätzliche Schutz, den diese Klausel bietet, wird sich stets in Grenzen halten, da eine
Anordnung der Datenoffenlegung nach der Rechtsordnung des Drittlands durchaus
rechtmäßig sein könnte; es kann aber sein, dass die betreffende Rechtsordnung den
unionsrechtlichen Standards nicht genügt. Diese vertragliche Maßnahme kann deshalb
allenfalls andere zusätzliche Maßnahmen ergänzen. – Die gegen Anordnungen gegebenen Rechtsbehelfe müssen nach dem Recht des Drittlands
aufschiebende Wirkung (Suspensiveffekt) haben. Andernfalls wäre es den Behörden immer
noch möglich, auf die Daten natürlicher Personen zuzugreifen, und alle späteren Rechtsbehelfe

Zusätzliche Schutzmaßnahmen

Ergibt die Einzelfallprüfung, dass das Empfängerdrittland wegen der dortigen Sicherheitsgesetze kein gleichwertiges Schutzniveau wie in der EU bietet, muss dies vor einem Datentransfer in das betreffende Drittland kompensiert werden. Hierzu können Daten exportierende Unternehmen in der EU die folgenden Schutzmaßnahmen ergreifen, auch in Zusammenarbeit mit dem Datenimporteur im Drittland.

  • Verschlüsselung: In technischer Hinsicht kann eine Verschlüsselung als wirksame Schutzmaßnahme in Betracht kommen. Diese erhöht das Schutzniveau, indem sie einen Zugriff Dritter auf die übermittelten Daten ausschließt oder zumindest erheblich erschwert. Damit Verschlüsselung aber als wirksame Schutzmaßnahme gewertet werden kann, sollten die beteiligten Unternehmen aber – soweit dies im Einzelfall praktikabel ist – sicherstellen, dass der zur Entschlüsselung notwendige Schlüssel (Decryption Key) sicher in der EU verbleibt. Andernfalls könnten Behörden im Empfängerdrittland auch den Decryption Key vom Datenimporteur herausverlangen und so auf die verschlüsselten Daten zugreifen. In der Praxis garantiert Verschlüsselung jedoch keine absolute Sicherheit. Kryptografische Verfahren, die heute als sicher gelten, könnten in Zukunft zu knacken sein. Zudem ist eine Verschlüsselung von Daten auch technisch nicht stets praktikabel. In den meisten Anwendungsfällen sind die übermittelten Daten nur während der Übertragungsphase verschlüsselt (sogenannte Transportverschlüsselung). Beim Empfänger liegen die Daten dann unverschlüsselt vor und sind damit potenziell staatlichen Zugriffen ausgesetzt. Wird eine sogenannte Ende-zu-Ende-Verschlüsselung eingesetzt, sind die Daten nicht nur während der Übertragung sondern auch anschließend beim Drittlandempfänger sicher verschlüsselt. Dies kommt beispielsweise bei Chat- und anderen Kommunikationsdiensten aber auch bei Hosting-Diensten in Betracht. In vielen Fällen kann eine Ende-zu-Ende-Verschlüsselung aber nicht eingesetzt werden, weil dies den eigentlichen Zweck der Verarbeitung beim Empfänger vereiteln würde. Sollen beispielsweise übermittelte Daten in einer cloudbasierten Softwareanwendung auf Servern im Drittland verarbeitet werden, schließen bereits technische Gesichtspunkte eine solche Verschlüsselung aus. Während der Softwarenutzung müssen die verarbeiteten Daten nämlich regelmäßig unverschlüsselt vorliegen. Zudem sind Verschlüsselungen in der Praxis oft aufwändig und mit Zusatzaufwand verbunden.

  • Soweit eine Verschlüsselung aus technischen Gründen nicht möglich ist, oder den Zweck der Datenverarbeitung vereiteln würde, sollten Unternehmen erwägen, die übermittelten Daten zumindest zu pseudonymisieren. Dabei sollte geprüft werden, ob es im jeweiligen Fall gangbar ist, dass der Pseudonymisierungsschlüssel wiederum im Land des Datenexporteurs in der EU verbleibt. Ein solches Vorgehen wäre etwa in Fällen denkbar, in denen ein EU-Unternehmen innerhalb eines Konzerns Daten seiner Mitarbeiter zu Reporting- und Analysezwecken an die Konzernmuttergesellschaft in den USA übermittelt.

  • Die Standardvertragsklauseln enthalten bereits Garantien, um die Daten im Drittland zu schützen, z.B. die Verpflichtung des Datenimporteurs, dem Datenexporteur unverzüglich mitzuteilen, wenn es ihm Änderungen der Sicherheitsgesetze unmöglich machen, seine vertraglichen Pflichten zu erfüllen. Unternehmen ist nun allerdings zu empfehlen, die Standardvertragsklauseln um zusätzliche Vertragsklauseln ergänzen, um das Schutzniveau anzuheben. Diese sollten den Datenimporteur für den Fall einer behördlichen Anfrage auf Offenlegung der übermittelten Daten verpflichten, den Datenexporteur von der Anfrage in Kenntnis zu setzen und in diese einzubeziehen, sowie unter Ausschöpfung der bestehenden Rechtsschutzmöglichkeiten rechtlich gegen die Anfrage der öffentlichen Stelle vorzugehen, oder hierbei zu unterstützen. Auch hierzu können wir unseren Mandanten entsprechende Vorlagen zur Verfügung stellen.

  • Schließlich sollten Unternehmen eine Klausel in Standardvertragsklauseln aufnehmen, um Datentransfers in die USA und andere risikobehaftete Drittländer „ausfallsicher“ zu machen. Diese sollte vorsehen, dass sämtliche Datenübermittlungen sofort einzustellen sind, falls die Standardvertragsklauseln von einem Gericht für ungültig erklärt werden sollten. Zudem sollte die Klausel eine Verpflichtung des Datenempfängers enthalten, dass die übermittelten Daten gelöscht werden, sofern keine anderweitige Schutzmöglichkeit besteht.

  • Datenimporteure in den USA oder anderen Drittländern können Informationen über behördliche Auskunftsanfragen in der Vergangenheit zur Verfügung stellen, etwa in Form von Statistiken auf der Website oder anderen (aggregierten) Informationen. Diese sollten übersichtlich und verständlich aufzeigen, wie häufig staatliche Behörden den Datenimporteur in der Vergangenheit um Offenlegung von Daten ersucht haben, in wie vielen dieser Fälle der Datenimporteur die angefragten Daten offengelegt und wie häufig er das Auskunftsersuchen erfolgreich abgewendet hat. Mithilfe dieser Informationen können Daten exportierende Unternehmen und betroffene Personen das Risiko abschätzen, dass die übermittelten Daten im Drittland tatsächlich einem staatlichen Zugriff ausgesetzt sind.

  • Unternehmen könnten bald Informationen über aus Sicht der Datenschutzbehörden weitere sinnvolle zusätzliche Schutzmaßnahmen erhalten. Der EDSA hat angekündigt Leitlinien zu veröffentlichen, worin solche „zusätzlichen Maßnahmen“ zum Schutz übermittelter Daten bestehen können. Es bleibt abzuwarten, wann ob und in welchem Umfang künftige Stellungnahmen der Datenschutzbehörden konkrete Hilfestellungen enthalten, an denen sich Unternehmen orientieren können. In vielen Fällen dürfte es zweckmäßig sein, zeitnah entsprechende Verteidigungsstrukturen zur Rechtfertigung von Datenübermittlungen zu entwickeln.

Sorgen Sie für ein solides Fundament!

Das Bundesamt für Sicherheit in der Informationstechnik hat mit dem IT-Grundschutz eine hervorragende und weltweit einzigartige Dokumentation geschaffen, um den Stand der Technik im Unternehmen zu etablieren. Zunächst erschlägt die Fülle der Dokumentation Unternehmen.

Mit etwas Übung oder unter Zuhilfenahme eines Experten, der in diesem Bereich schon diverse Projekte umgesetzt hat, kann ein solides Fundament für die Sicherheit der Verarbeitung geschaffen werden. Die Maßnahmen sind in den meisten Fällen sehr praxisnah und gut umsetzbar. 

details-verzeichnis-der-verarbeitungstaetigkeiten

PFLICHT ZUR DOKUMENTATION FÜR JEDES UNTERNEHMEN

Datenexporteure müssen ihren Entscheidungsprozess gründlich dokumentieren (Rechenschaftspflicht, Art. 5 Abs. 2 DS-GVO). Die Datenexporteure sind dafür verantwortlich, die konkrete Beurteilung im Zusammenhang mit der Übermittlung, dem Recht des Drittlandes und dem Übertragungsinstrument, auf das sie sich stützen, vorzunehmen.

Um aber darzustellen, wie die Maßnahmen konkret geplant und umgesetzt worden sind, müssen ebenfalls in der Dokumentation hinterlegt werden. Bei einer Prüfung müssen Sie darstellen können, dass die Sicherheit der Verarbeitung angemessen sind. Die Angemessenheit also gegenüber der Größe und Art des Unternehmens und dem Risiko der Verarbeitung aus Sicht der betroffenen Personen. Weiterhin muss jede Maßnahme auch geeignet sein, um die Daten zu schützen. 

Sorgen Sie für ein solides Fundament!

Das Bundesamt für Sicherheit in der Informationstechnik hat mit dem IT-Grundschutz eine hervorragende und weltweit einzigartige Dokumentation geschaffen, um den Stand der Technik im Unternehmen zu etablieren. Zunächst erschlägt die Fülle der Dokumentation Unternehmen.

Mit etwas Übung oder unter Zuhilfenahme eines Experten, der in diesem Bereich schon diverse Projekte umgesetzt hat, kann ein solides Fundament für die Sicherheit der Verarbeitung geschaffen werden. Die Maßnahmen sind in den meisten Fällen sehr praxisnah und gut umsetzbar. 

details-verzeichnis-der-verarbeitungstaetigkeiten

Kontinuierliche Verbesserung

Verbessern bedeutet vorrangig Probleme lösen. Probleme lösen wiederum heißt, Lernen und Anpassung.  Das PDCA-Modell (Plan – Do – Check – Act) stellt die Ist-Situation des Unter­nehmens permanent infrage und startet im Unternehmen einen wieder­kehrenden Regelkreis zur Verbess­erung der Abläufe und Prozesse. 

Auch beim Sicherheit der Verarbeitung gibt es einen stetigen Verbesserungsprozess durch regel­mäßige Aktualisierungen und feste Einbindung im Gestaltungsprozess von Geschäftsprozessen.

Bleiben SIe aktuell!

Erstellen auch Sie einen Regelkreis, damit Ihre etablierten technischen und organisatorischen Maßnahmen korrekt geplant und umgesetzt werden, den richtigen Detailgrad haben und aktuell gehalten wird.

Sie benötigen Unterstützung bei dem „Fundament des Datenschutzes“ ?

Plan

Festlegung von Art, Umfang und Form der Sicherheitsmaßnahmen

Do

Umsetzung und Dokumentation der Maßnahmen, Planung und Priorisierung offener Themen 

Act

Aktualisierung und Anpassung der technischen und organisatorischen Maßnahmen

Check

Prüfung auf Angemessenheit, Wirksamkeit und dem Stand der Technik

Leistungen

Bei den meisten Geschäftsprozessen werden personenbezogene Daten verarbeitet. Finden Sie hier meine Dienstleistungen, die ich Unternehmen auch in Buchholz in der Nordheide seit vielen Jahren zur Verfügung stelle. 

Daten­schutz­berater DSGVO

Mit einer modernen Beratung im Bereich Daten­­schutz und Informations­sicherheit sparen Sie interne Ressourcen und setzen Ihr Projekt zeitnah um.

Daten­schutz­beauftragter DSGVO

Als externer Datenschutz­­­beauftragter bietet ich Ihnen einen Rund-um-Support nach den gesetz­lichen Vorgaben. Nutzen Sie vom ersten Tag an meine lang­jährige Erfahrung.

Infor­mations­sicher­heits­beauf­tragter

Ich berate Sie in allen Bereichen der Informations­­sicherheit. Schützen Sie Ihre Daten vor den Gefähr­dungen dieser Zeit nach dem Stand der Technik.

Datenschutz-Schulungen DSGVO

Praxisnahe Schulungen im Datenschutz sind unerlässlich. Ich biete passende Präsenz­-Veranstaltungen, Webinare und E-Learning-Kurse.

Clever sein – Drittlandtransfer Effizient und praxisnah umsetzen

Ich unterstütze Sie bei der Erstellung Ihrer Risikobewertung für Drittlandtransfers. Nutzen Sie meine mehrjährige Expertise, um zügig eine erste Dokumentation zu erstellen und Maßnahmen umzusetzen, die angemessen und wirksam sind.

Buchen Sie ein entsprechendes Modul oder punktuell zur Unterstützung. Ich biete Ihnen die Dokumentation in Ihrem Zielsystem. Nach meiner Erfahrung ist die Interviewtechnik die effizienteste Methode, um zügig zu der ersten Version zu kommen.  Die Beratung kann bei Ihnen vor Ort oder per Videokonferenz erfolgen. 

Als Datenschutzbeauftragter ist die Unterstützung bei der Datenverarbeitung mit einem  Drittlandtransfers fester Bestandteil.

Fragen zum Thema Drittlandtransfer

Jedes Unter­nehmen, welches personenbezogene Daten in Drittländer mit einem niedrigen Datenschutzniveau übermittelt, unterliegt zahlreichen gesetzliche Pflichten. Da immer noch viel Unsicherheit in diesem Thema besteht, finden Sie hier ein paar Antworten auf die häufigsten Fragen:

Eine Übermittlung personenbezogener Daten besteht, wenn personenbezogene Daten an Unternehmen übermittelt werden, die außerhalb der EU Ihren Firmensitz haben. Dabei spielt der Speicherort keine Rolle, wenn ein theoretischer Zugriff auf die Daten erfolgen kann.

Ein Transfer Impact Assessment ist eine Risikobewertung für eine Datenverarbeitung mit Unternehmen, die Ihren Sitz in einem unsicheren Drittland haben. Sie als Verantwortlicher müssen die Datenverarbeitung in allen Details beschreiben, die Risiken für die betroffenen Personen analysieren und bewerten.

Im März 2022 hatten sich die USA und die EU auf ein neues Regelwerk für den Drittlandtransfer geeinigt. Aktuell gibt es aber noch keine Details, wie das Abkommen aussehen wird.

In dem Abkommen sollen neue Regeln und Garantien für den Zugriff der US-Geheimdienste festgelegt werden. Der Zugriff soll auf nationale Sicherheitsziele beschränkt werden und notwendig und verhältnismäßig sein. Ein unabhängiger Rechtsschutz soll für die Beschwerden von Europäern eingerichtet werden. Ob das Regelwerk einer Prüfung des Europäischen Gerichtshof standhalten wird, bleibt abzuwarten. Gegen Ende des Jahres wird es hier bestimmt weitere Informationen geben.

Es gibt keine Übergangsfrist für die Entscheidung des Europäischen Gerichtshofes (Gerichtsurteil). Sie müssen die rechtlichen Anforderungen und Handlungsempfehlungen für den internationalen Datentransfer in die USA und andere Drittländer mit einem unsicheren Datenschutzniveau basierend auf Standardvertragsklauseln zeitnah umsetzen.

Aktuell gibt es dazu noch keine Bußgelder in Deutschland oder sonstige Untersagungen der Datenverarbeitungen. Aufsichtsbehörden sind aber verpflichtet worden, das Gerichtsurteil des EuGHs umzusetzen.

Der Einsatz von Standardvertragsklauseln ermöglichen Ihnen, personenbezogene Daten in unsichere Drittländer zu übermitteln. Nach der Entscheidung des EuGH verabschiedete die Europäische Kommission am 4. Juni 2021 neue Standardvertragsklauseln („Standard Contractual Clauses“, SCCs). Unternehmen müssen ihre bestehenden Verträge für Datenübermittlungen in Drittländer spätestens bis zum 27. Dezember 2022 anpassen. Alten SCC verlieren dann ihre Wirksamkeit.

Sie neuen SCCs sind modular aufgebaut und enthalten neue Pflichten für Unternehmen. Die Module richten Sie nach der Art der Zusammenarbeit.

Modul 1: Übermittlung von Verantwortlichen an Verantwortliche (C2C),

Modul 2: Übermittlung von Verantwortlichen an Auftragsverarbeiter (C2P),

Modul 3: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter (P2P),

Modul 4: Übermittlung von Auftragsverarbeitern an Verantwortliche (P2C).

Je nach Art der Datenverarbeitung müssen die Inhalte der SCCs festgelegt werden. 

Bindung Corporate Rules (BCR) sind unternehmensinterne Regelungen, die den Umgang mit personenbezogenen Daten betreffen und die ein entsprechendes Genehmigungsverfahren durchlaufen haben. Aufgrund des erheblichen Aufwandes und damit verbundene Kosten dieser Maßnahme haben bislang nur wenige Unternehmen diese Garantie im Einsatz.

Kontakt

Buchen Sie ein kostenfreies Erstgespräch und lassen Sie uns über Ihre Drittlandübermittlungen sprechen.

kontakt-niehoff-systemberatung

Aktuelle News zum Thema Daten­schutz und Infor­mations­sicherheit

In diesem Bereich finden Sie Nachrichten und Hintergrundinformationen zum Thema Datenschutz und Informationssicherheit. Sie haben ein Thema, was einen Beitrag wert wäre? Melden Sie sich gerne.