Über die Problematiken, die im Zusammenhang mit einer Drittlandübermittlung bestehen können, haben wir im Rahmen unserer Beiträge bereits oft gesprochen. Zuletzt in unserem Beitrag vom 11.02.2022 im Zusammenhang mit der Einholung einer Einwilligung in den Drittlandtransfer mittels eines sogenannten Consent-Managers.

Doch dieses Thema ist so vielschichtig, dass man sich immer wieder damit befassen kann beziehungsweise muss.

In unserem oben genannten Artikel haben wir die Risiken beleuchtet, die die Verantwortlichen im Rahmen der Nutzung der aktuell angebotenen Consent-Management-Lösungen haben, wenn sie neben einer Einwilligung in die grundsätzliche Nutzung von Cookies und Drittanbieter-Tools gemäß Art. 6 Abs. 1 lit. a DSGVO eine (weitere) Einwilligung in den Datentransfer in ein Drittland (insb. die USA) gem. Art. 49 Abs. 1 lit. a DSGVO einholen.

Kurz zur Erinnerung: Als ein Drittland wird ein Land außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums bezeichnet, für welches die Regelungen der DSGVO nicht gelten.

Im vorliegenden Artikel möchten wir uns mit einer grundsätzlichen Frage beschäftigen:

Ist es überhaupt zulässig, personenbezogene Daten auf Basis einer Einwilligung auf der Grundlage des Art. 49 Abs. 1 lit. a DSGVO an ein Drittland zu übermitteln und dort zu verarbeiten.

Auffassung der deutschen Aufsichtsbehörden

Nach Auffassung der deutschen Aufsichtsbehörden ist eine Datenübermittlung auf der Grundlage des Art. 49 Abs. 1 lit. a DSGVO bei einem dauerhaften und regelmäßigen Datentransfer – wie es im Rahmen der Datenverarbeitung auf einer Webseite regelmäßig der Fall ist – nicht möglich.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) begründet dies in ihrer aktuellen Orientierungshilfe für Anbieter*innen von Telemedien vom 01.12.2021 wie folgt (hierzu vgl. S. 32 der o.g. Orientierungshilfe der DSK):

„Personenbezogene Daten, die im Zusammenhang mit der regelmäßigen Nachverfolgung von Nutzerverhalten auf Webseiten oder in Apps verarbeitet werden, können grundsätzlich nicht auf Grundlage einer Einwilligung nach Art. 49 Abs. 1 lit. a DS-GVO in ein Drittland übermittelt werden. Umfang und Regelmäßigkeit solcher Transfers widersprechen regelmäßig dem Charakter des Art. 49 DS-GVO als Ausnahmevorschrift und den Anforderungen aus Art. 44 S. 2 DS-GVO“.

Die DSK verweist dabei in der Fußnote 50 der Orientierungshilfe auf die Leitlinien des Europäischen Datenschutzausschusses (EDSA) zu den Ausnahmen nach Art. 49 DSGVO (abrufbar hier, vgl. S. 4 f. der Leitlinien des EDSA).

Auffassung des europäischen Datenschutzbeauftragten (EDSB)

In seinem jüngst veröffentlichten Tätigkeitsbericht für das Jahr 2021 informiert der Europäische Datenschutzbeauftragte (EDSB) auf Seite 75 darüber, dass für die Datenübermittlung an einen Newsletter-Dienst, der sich in einem Drittland befindet und bei dem Interessenten über eine Webseite des Verantwortlichen Newsletter abonnieren können, auf der Grundlage einer Einwilligung gem. Art. 50 Abs. 1 lit. a der Verordnung (EU) 2018/1725 erfolgen darf, wobei er ausdrücklich auch betont, dass die Datenübermittlung in die USA kein Ausschlusskriterium wäre.

Die Verordnung (EU) 2018/1725 gilt – anders als die Verordnung (EU) 2016/679, die auch als Datenschutz-Grundverordnung (DSGVO) bezeichnet wird – zwar nur für öffentliche Stellen der Europäischen Union. Die Regelungen der Verordnung (EU) 2018/1725 sind jedoch in Sachen der Drittlandübermittlung nahezu deckungsgleich mit den Regelungen der DSGVO. Dies gilt vor allem im Hinblick auf den Sinn und Zweck der Norm. Aus diesem Grund können die Ausführungen des EDSB und seine Argumentation bzgl. der Zulässigkeit der Datenübermittlung auf der Grundlage des Art. 50 Abs. 1 lit. a der Verordnung (EU) 2018/1725 auch auf die Anwendung des Art. 49 Abs. 1 lit. a DSGVO übertragen werden. Im Ergebnis würde dies der Auffassung der oben zitierten Auffassung der DSK widersprechen und dazu führen, dass die Norm (Art. 49 Abs. 1 lit. a DSGVO) als Rechtsgrundlage für die Datenübermittlung in ein Drittland durchaus auch dann in Frage kommen kann, wenn die personenbezogenen Daten regelmäßig und nicht nur gelegentlich in ein Drittland übermittelt werden.

Fazit

Wir sind der Auffassung, dass die DSK den Sinn und Zweck der Vorschrift des Art. 49 Abs. 1 lit. a DSGVO als Ausnahmevorschrift in dem Sinne, dass eine Datenübermittlung nur ausnahmsweise erlaubt wäre, falsch interpretiert. Unseres Erachtens ist hier die Ausnahme nur als Ausnahme von der Regel zu verstehen. Die Norm darf also nicht im Sinne von „der Erlaubnistatbestand gilt nur ausnahmsweise und dies ist gleichbedeutend mit sehr selten“ aufgefasst werden, sondern nur im Sinne von „Ausnahmen für bestimmte Fälle“ – und die Einwilligung ist eben eine solche Ausnahme, auf die eine Übermittlung gestützt werden kann.

Unsere Argumentation sehen wir gestützt durch die Regelung des Art. 49 Abs. 1 Satz 2:

„Falls die Übermittlung nicht auf eine Bestimmung der Artikel 45 oder 46 – einschließlich der verbindlichen internen Datenschutzvorschriften – gestützt werden könnte und keine der Ausnahmen für einen bestimmten Fall gemäß dem ersten Unterabsatz anwendbar ist, darf eine Übermittlung an ein Drittland oder eine internationale Organisation nur dann erfolgen, wenn die Übermittlung nicht wiederholt erfolgt, nur eine begrenzte Zahl von betroffenen Personen betrifft […]“ (hier kommen weitere Bedingungen, die wir aus Platzgründen nicht aufführen).

Hier wird eindeutig geregelt, dass für den Fall, dass keine der zuvor im genannten Artikel genannten Ausnahmen – worunter auch die hier thematisierte Einwilligung fällt – eine Übermittlung ausschließlich dann erfolgen darf, wenn es sich nicht um wiederholende Übermittlungen handelt. Diese Einschränkung auf nicht sich wiederholende Übermittlung wäre nicht notwendig, wenn sie bereits für die zuvor genannten Ausnahmen gelten würde.

Aus vorgenannten Überlegungen entspricht nach unserer Überzeugung die Auslegung des EDSB dem Sinn und Zweck des Art. 49 Abs. 1 lit. a DSGVO, so dass auch regelmäßige und nicht nur gelegentliche Drittlandtransfers auf Art. 49 Abs. 1 lit. a DSGVO gestützt werden können. Die Argumentation der DSK ist gemäß dem Wortlaut des Gesetzes für uns nicht nachvollziehbar.

 

 

______________________________________

Die bITs GmbH berät Ihre Kunden zu allen Themen des Datenschutzes und stellt auf Wunsch den externen Datenschutzbeauftragten.

Haben Sie weitere Fragen an uns? Gerne können Sie sich dazu an uns wenden. Hier finden Sie unsere Kontaktdaten. Unser Team stellt sich übrigens hier vor.

Und einen Podcast haben wir auch. Gemeinsam mit der Mauß Datenschutz GmbH veröffentlichen wir alle zwei Wochen jeweils donnerstags eine neue Folge. Hören Sie doch einfach mal rein oder abonnieren Sie uns – zum Beispiel hier.