Geltung der Ausnahmeregelungen bei Drittlandübermittlungen

Das Thema der Übermittlung personenbezogener Daten in ein Drittland – also ein Land außerhalb des Geltungsbereichs der Datenschutz-Grundverordnung (DSGVO) – ist insbesondere nach dem aktuellen Angemessenheitsbeschluss der Europäischen Kommission für die USA vom 10.07.2023 in den Medien aktuell nicht besonders stark vertreten. Der vorgenannte Beschluss der EU-Kommission ermöglicht Übermittlung personenbezogener Daten an selbstzertifizierte US-Organisationen, die auf einer vom US-Handelsministerium geführten Liste aktuell aufgeführt werden.

Dennoch beschäftigen sich insbesondere Aufsichtsbehörden weiterhin mit dem Thema der Drittlandübermittlungen. Und so hat neulich der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BW) eine Handreichung zu diesem Thema veröffentlicht, die hier abgerufen werden kann.

Die aktuelle Handreichung des LfDI BW ersetzt die bisherige „Orientierungshilfe: Was jetzt in Sachen internationaler Datentransfer?“ über die wir in unserem Beitrag vom 18.09.2020 ausführlich berichtet haben.

In seiner aktuellen Hilfestellung berücksichtigt der LfDI BW die jüngsten Entwicklungen im Bereich der Drittlandtransfers und ergänzt seine bisherige Orientierungshilfe um Ausführungen, die insbesondere seine Auffassung bezüglich der Geltung der Ausnahmeregelungen des Kapitel V der DSGVO bei Drittlandübermittlungen wiedergeben. Auf diese Ausführungen des LfDI BW möchten wir im Folgenden etwas genauer eingehen, da diese für die Praxis künftig besonders relevant werden könnten.

Zur Erinnerung bezüglich der Instrumente für Drittlandtransfers

Um die Ausnahmeregelungen, auf die wir eingehen wollen, besser einordnen zu können, ist es wichtig, sich die regulären Mechanismen der Drittlandübermittlungen kurz in Erinnerung zu rufen.

Die DSGVO kennt folgende Regelungen, auf deren Basis ein Datentransfers in ein Drittland möglich ist:

  • Beschluss der EU-Kommission über die Angemessenheit des gebotenen Schutzniveaus (Angemessenheitsbeschluss) gemäß Art. 45 DSGVO,
  • Geeignete Garantien, die das nicht ausreichende Datenschutzniveau kompensieren sollen gemäß Art. 46 DS-GVO, Art. 47 DS-GVO,
  • Rechtshilfeabkommen gemäß Art. 48 DSGVO,
  • Sonderfälle und Ausnahmen gemäß Art. 49 DSGVO.

Ausführlich haben wir über die oben genannten Instrumente im Zusammenhang mit der Verabschiedung des Angemessenheitsbeschlusses für Japan in unserem Beitrag vom 19.09.2018 im Einzelnen berichtet.

Ausnahmen gemäß Art. 49 DSGVO

Die Ausnahmetatbestände, die in Art. 49 DSGVO geregelt sind, betreffen mehrere Fallgruppen, in denen ein Transfer personenbezogener Daten in ein Drittland selbst dann zulässig ist, wenn im Land, in welches die Daten übermittelt werden sollen, ein Datenschutzniveau, welches mit dem, das durch die Datenschutzgrundverordnung vorgesehen ist, nicht gewährleistet werden kann, wobei die Absenkung des Datenschutzniveaus in den recht engen Voraussetzungen des Art. 49 Abs. 1 lit. a bis g DSGVO für zulässig erachtet wird.

Hierbei geht der Gesetzgeber davon aus, dass es bestimmte Interessen der verantwortlichen Stellen gibt, die Daten übermitteln möchten, die eine Ausnahme vom Grundsatz der (sicheren) Datenübermittlung rechtfertigen.

Die in Art. 49 Abs. 1 DSGVO geregelten Ausnahmen betreffen folgende Fallkonstellationen:

  • Ausdrückliche Einwilligung einer betroffenen Person (lit. a),
  • Vertragserfüllung (lit. b und c)
  • Überwiegendes öffentliches Interesse (lit. d),
  • Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (lit. e),
  • Schutz lebenswichtiger Interessen (lit. f),
  • Datenübermittlung aus öffentlichen Registern, z.B. aus einem Grundbuch oder öffentlichen Unternehmensregister (lit. g).

Besonders praxisrelevant war bisher die Ausnahme, die unter Art. 49 Abs. 1 lit. a DSGVO geregelt wird, nämlich eine ausdrückliche Einwilligung einer betroffenen Person. Solange es keinen Angemessenheitsbeschluss für die Drittlandtransfers gab, wurden die Datenübermittlungen in die USA vor allem bei Verarbeitungstätigkeiten, die auf Webseiten durchgeführt wurden, überwiegend auf eine Einwilligung gemäß Art. 49 Abs. 1 lit. a DSGVO gestützt (hierzu vgl. unseren Beitrag vom 11.02.2022).

Dabei war vor allem die Frage strittig, ob bei einem dauerhaften und regelmäßigen Datentransfer, wie er im Rahmen der Datenverarbeitungen auf einer Webseite regelmäßig erfolgt, zulässig ist oder nicht.

Nach Auffassung der deutschen Aufsichtsbehörden ist eine Datenübermittlung auf der Grundlage des Art. 49 Abs. 1 lit. a DSGVO bei einem dauerhaften und regelmäßigen Datentransfer insbesondere auf Webseiten nicht möglich. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) führt zu Begründung aus (vgl. hierzu S. 35 der Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ab dem 1. Dezember 2021 (OH Telemedien 2021) Version 1.1 vom Dezember 2022):

„Personenbezogene Daten, die im Zusammenhang mit der regelmäßigen Nachverfolgung von Nutzerverhalten auf Webseiten oder in Apps verarbeitet werden, können grundsätzlich nicht auf Grundlage einer Einwilligung nach Art. 49 Abs. 1 lit. a) DS-GVO in ein Drittland übermittelt werden. Umfang und Regelmäßigkeit solcher Transfers widersprechen regelmäßig dem Charakter des Art. 49 DS-GVO als Ausnahmevorschrift und den Anforderungen aus Art. 44 S. 2 DS-GVO.“.

Hierzu vertraten wir in unserem Beitrag vom 18.05.2022 (zur wortgleichen Begründung der DSK in der OH Telemedien in der Version 1.0) die Auffassung, dass die DSK den Sinn und Zweck der Vorschrift des Art. 49 Abs. 1 lit. a DSGVO als Ausnahmevorschrift in dem Sinne, dass eine Datenübermittlung nur ausnahmsweise erlaubt wäre, falsch interpretiert. Dabei kommen wir zum Ergebnis, dass so dass auch regelmäßige und nicht nur gelegentliche Drittlandtransfers auf Art. 49 Abs. 1 lit. a DSGVO gestützt werden können.

Auffassung des LfDI BW zu den Ausnahmetatbeständen des Art. 49 DSGVO

Bezüglich der Transferinstrumente gemäß Art. 49 DSGVO äußert sich der LfDI BW in seiner aktuellen vorgenannten Handreichung zu den Drittlandübermittlungen nun wie folgt (hierzu vgl. Ausführungen des LfDI BW auf S. 9 des o.g. Dokuments):

„Zu beachten ist, dass die einzelnen Fallgruppen des Art. 49 DS-GVO im Gesetzestext und den zugehörigen Erwägungsgründen unterschiedlich engen Voraussetzungen, Vorgaben und Beschränkungen unterworfen werden. Eine Nivellierung dieser differenzierten gesetzlichen Regelung, indem etwa alle Fallgruppen des Art. 49 DS-GVO unter Berufung auf den Ausnahmecharakter der Vorschrift unterschiedslos auf nicht regelmäßige oder nur gelegentliche Übermittlungen begrenzt werden, ist nicht statthaft.“

Dem können wir nur zustimmen und darin sehen wir eine Bestätigung unserer oben genannten Auffassung bezüglich der OH Telemedien 2021 der DSK.

Diese Auffassung wurde übrigens auch insofern bestätigt, als dass beispielsweise der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) in seiner Information zur Gestaltung eines datenschutzkonformen Internetauftritts Folgendes auf S. 3 hier schreibt (Hervorhebung von uns):

„Damit die Einwilligung informiert erfolgen kann,
1. müssen im Einwilligungsbanner die konkreten Zwecke der beabsichtigten Verarbeitung mitgeteilt werden, wie z. B. das Anlegen von Nutzungsprofilen oder die Datenverarbeitung außerhalb des Europäischen Wirtschaftsraums (Drittlandtransfer) […]“

Damit schließt zumindest der HmbBfDI eine Einwilligung zur Datenübermittlung personenbezogener Daten an ein Drittaland (anders als die DSK) gemäß. Art. 49 Abs. 1 lit. a DSGVO, die auf Webseiten in der Rgel nicht nur gelegentlich, sondern dauerhaft und regelmäßig erfolgt, offensichtlich ebenfalls nicht pauschal aus, sondern geht eher davon aus, dass diese möglich (bzw. zulässig) ist.

Fazit

Wichtig ist die Auffassung des LfDI BW, die dieser in seiner aktuellen Handreichung vertritt, aus unserer Sicht vor allem deshalb, weil die Rechtmäßigkeit der Datenübermittlung in Drittänder oft nicht über einen anderen Weg als die Einholung einerEinwilligung hergestellt werden kann. Auch wenn das Thema derzeit nicht ganz so brisant ist, weil die Übermittlung personenbezogener Daten in die USA nach dem Angemessenheitsbeschluss vom 10.07.2023 derzeit unkritisch ist. Aber erstens gibt es auch Anbieter in anderen Drittländern, für die kein Angemessenheitsbeschluss vorliegt.

Zweitens ist nicht sicher, dass der Angemessenheitsbeschluss für die USA auf Dauer bestand haben wird (siehe hierzu unseren Beitrag vom 22.09.2023 zur Auffassung des Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI)).

Sofern sich die (eher sehr pessimistische) Auffassung des TLfDI bestätigen sollte, wonach der aktuelle Angemessenheitsbeschluss für die USA durch den EuGH für ungültig erklärt werden sollte, wird die Datenübermittlung in die USA auf der Grundlage einer Einwilligung gemäß Art. 49 Abs. 1 lit. a DSGVO als „Notanker“ den Verantwortlichen helfen und gegebenenfalls eine zulässige Datenübermittlung in die USA ermöglichen.

_____________________________________

Die bITs GmbH berät Ihre Kunden zu allen Themen des Datenschutzes und stellt auf Wunsch den externen Datenschutzbeauftragten.

Haben Sie weitere Fragen an uns? Gerne können Sie sich dazu an uns wenden. Hier finden Sie unsere Kontaktdaten. Unser Team stellt sich übrigens hier vor.