≡ Sitemap

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 29.05.2018

Überblick

Zusammenfassung

Bayerische öffentliche Stellen dürfen personenbezogene Daten nur unter engen Voraussetzungen an Empfänger in Drittländern oder an internationale Organisationen übermitteln. Sofern kein Angemessenheitsbeschluss der Europäischen Kommission vorliegt, sind vorrangig geeignete Garantien vorzusehen, um die personenbezogenen Daten der Bürger angemessen zu schützen. Auch technisch-organisatorische Maßnahmen sind in den Blick zu nehmen.

1. Einführung

Die Datenschutz-Grundverordnung (DSGVO) gewährleistet ein einheitlich hohes Schutzniveau für personenbezogene Daten in den Mitgliedstaaten der Europäischen Union und (nach Integration der DSGVO in das EWR-Abkommen) der EFTA-Staaten (Island, Lichtenstein und Norwegen). Dieses hohe Schutzniveau soll durch die Übermittlung personenbezogener Daten aus der Union an Verantwortliche, Auftragsverarbeiter oder andere Empfänger in Drittländern oder an internationale Organisationen nicht untergraben werden.

Praxis-Beispiel: Betriebssysteme könnten personenbezogene Daten in Drittländer übermitteln, z.B. im Rahmen von Cloud-Speicher-Angeboten. Jede bayerische öffentliche Stelle (Schulen, Universitäten, Kommunen, etc.) hat sich vor dem Einsatz eines Betriebssystems/Cloud Produktes/etc. mit dieser Frage zu befassen und auch beispielsweise den IT-Sicherheitskatalog des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zu konsultieren.

2. Zweistufige Zulässigkeitsprüfung

Falls eine bayerische öffentliche Stelle personenbezogene Daten an Empfänger in Drittländern oder an internationale Organisationen übermitteln will, muss sie – wie auch schon nach bisheriger Rechtslage – eine zweistufige Zulässigkeitsprüfung vornehmen:

Erste Prüfungsstufe: Übermittlung, allgemeine datenschutzrechtliche Voraussetzungen

Die bayerische öffentliche Stelle muss - wie bei jeder Datenverarbeitung - die allgemeinen Rechtmäßigkeitsvoraussetzungen nach den Art. 5 ff. DSGVO einhalten. Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Insbesondere muss ein Erlaubnistatbestand für die jeweilige Verarbeitung vorliegen. Ferner sind die Grundsätze der Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung sowie der Integrität und Vertraulichkeit zu beachten, vgl. Art. 5 Abs. 1 DSGVO). Ein Überblick hierzu findet sich in der Rubrik Datenschutzreform 2018.

Häufig wird eine Auftragsverarbeitung vorliegen. Im Falle einer Auftragsverarbeitung sind insbesondere die Vorgaben des Art. 28 DSGVO zu beachten.

Praxis-Beispiel: Eine bayerische öffentliche Stelle will einen Cloud-Anbieter nutzen, die Datenverarbeitung soll zumindest teilweise außerhalb der Europäischen Union (und des EWR-Raums) stattfinden.

Zweite Prüfungsstufe: Spezifische Anforderungen für die Übermittlung in Drittländer

Zusätzlich muss die übermittelnde bayerische öffentliche Stelle die Vorgaben des Kapitels V (Art. 44 ff.) der DSGVO einhalten.

Diese gelten gemäß Art. 28 BayDSG auch im Bereich der Richtlinie (EU) 2016/680 (Datenschutz-Richtlinie für Polizei und Strafjustiz); hier kann es zudem weitere fachgesetzliche Regelungen geben, die (zusätzlich) zu beachten sind.

In Kapitel V der DSGVO gibt es drei wesentliche Fallgruppen:

  • Datenübermittlung aufgrund eines Angemessenheitsbeschlusses (Art. 45 DSGVO; s. sogleich 3.)
  • Datenübermittlung vorbehaltlich geeigneter Garantien (Art. 46 DSGVO; s. sogleich 4.)
  • Datenübermittlung in bestimmten Ausnahmefällen (Art. 49 DSGVO; s. sogleich 5.)

Der Begriff der Datenübermittlung erfasst grundsätzlich sämtliche Formen der Drittlandgrenzüberschreitung von Daten. Dies gilt beispielsweise für das Weitergeben von Daten an einen Empfänger im Drittland bzw. sonstige Bereitstellung, Zugänglichkeit im bzw. Abrufbarkeit aus dem Drittland und das Speichern auf Servern, die im Drittland gelegen sind.

Auch die Weitergabe von Daten an einen Auftragsverarbeiter in einem Drittland ist eine Datenübermittlung i.S.d. Art. 44 ff. DSGVO (vgl. auch Art. 4 Nr. 9 DSGVO). Neben Art. 28 DSGVO (s. erste Prüfungsstufe) sind daher bei einer Auftragsverarbeitung in einem Drittland auch die Art. 44 ff. DSGVO zu beachten.

Für Sozialdaten hat Deutschland im SGB X von der Möglichkeit in Art. 49 Abs. 5 DSGVO Gebrauch gemacht und die Übermittlung von Sozialdaten beschränkt (§ 77 Abs. 3 und für Auftragsverarbeitung § 80 Abs. 2 SGB X). Dadurch will der Gesetzgeber gewährleisten, dass Sozialdaten nicht in unsichere Drittstaaten übermittelt werden (vgl. BT-Drucks. 18/12611 v. 31. Mai 2017, S. 114 f.).

3. Datenübermittlung auf Grundlage eines Angemessenheitsbeschlusses

Die Europäische Kommission kann feststellen und beschließen, dass ein bestimmtes Drittland ein "angemessenes Schutzniveau" bietet, Art. 45 DSGVO.

Vorgaben zum Prüfungsmaßstab der Europäischen Kommission sind in Art. 45 Abs. 2 DSGVO geregelt (vgl. auch EuGH-Urteil vom 6. Oktober 2015 (C-362/14 – Schrems) sowie im Working Paper WP254rev0.1 (externer Link) der Artikel 29-Datenschutzgruppe (Arbeitsgruppe der Datenschutzaufsichtsbehörden aller Mitgliedstaaten, Vorgänger des Europäischen Datenschutzausschusses).

Zur praxisrelevanten Datenübermittlung in die USA - zugleich bekanntestes Beispiel für einen (nur auf teilnehmende Unternehmen) beschränkten Angemessenheitsbeschluss - vgl. EU-US Privacy Shield.

Ansonsten bestehen bislang Angemessenheitsbeschlüsse in Bezug auf Andorra, Argentinien, Kanada (beschränkt), Färöer Inseln, Guernsey, Israel, Isle of Man, Jersey, Neuseeland, Schweiz und Uruguay, vgl. https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/data-transfers-outside-eu/adequacy-protection-personal-data-non-eu-countries_en (externer Link).

Die DSGVO sieht die Fortgeltung der bereits erlassenen Angemessenheitsbeschlüsse vor (Art. 45 Abs. 9 DSGVO). Im Januar 2017 kündigte die Europäische Kommission an, Angemessenheitsbeschlüsse für Japan und Süd-Korea zu erarbeiten und bestehende Angemessenheitsentscheidungen zu überprüfen, um sicherzustellen, dass auch diese den neuen Anforderungen gerecht werden.

Vgl. COM(2017)7final (Austausch und Schutz personenbezogener Daten in einer globalisierten Welt) (externer Link)

Angemessenheitsbeschlüsse beziehen sich nicht zwangsläufig auf alle Verarbeitungssituationen im Empfängerland der Daten. Der Bereich der Strafverfolgung ist regelmäßig ausgenommen.

Im Fall Kanada gilt die Angemessenheitsentscheidung nur für solche Datenverarbeitungen, die dem Personal Information Protection and Electronic Documents Act (PIPEDA) unterfallen.

Vor einer Datenübermittlung auf der Grundlage einer Angemessenheitsentscheidung der Europäischen Kommission ist daher zu prüfen, ob sie vom Anwendungsbereich des Angemessenheitsbeschlusses umfasst ist. Fällt diese Prüfung positiv aus, können Daten übermittelt werden. Weitere Anforderungen wie etwa das Vorliegen geeigneter Garantien nach Art. 46 DSGVO sind dann nicht mehr zu prüfen.

4. Vorliegen geeigneter Garantien (Art. 46 DSGVO)

Art. 46 Abs. 1 DSGVO erlaubt die Datenübermittlung, wenn geeignete Garantien der Verantwortliche oder Auftragsverarbeiter geeignete Garantien vorsieht und sofern der betroffenen Person durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. Für bayerische öffentliche Stellen sind folgende Garantien hervorzuheben:

a) Rechtlich bindende und durchsetzbare Dokumente zwischen den Behörden oder öffentlichen Stellen (Art. 46 Abs. 2 Buchst. a DSGVO)

Eine durch die DSGVO neu eingeführte Garantie zur Rechtfertigung von Datenübermittlungen zwischen Behörden und öffentlichen Stellen bei fehlendem angemessenen Datenschutzniveau stellen rechtsverbindliche und durchsetzbare Dokumente zwischen staatlichen Behörden oder Stellen gem. Art. 46 Abs. 2 Buchst. a DSGVO dar. Rechtsverbindlichkeit und Durchsetzbarkeit liegen nur vor, wenn die betroffenen Personen die Möglichkeit haben, die ihnen in dem Dokument zu gewährenden Rechte durchzusetzen. Ihnen muss das Dokument insoweit somit effektive verwaltungsrechtliche und gerichtliche Rechtsbehelfe sowie das Recht auf Schadensersatz einräumen. Bei "verwaltungsrechtlichen Rechtsbehelfen" handelt es sich um das Recht der Anrufung einer Datenschutzaufsichtsbehörde.

Ausdrücklich nicht von der Vorschrift umfasst sind Verwaltungsvereinbarungen ohne rechtsverbindlichen Charakter. Für diese kann Art. 46 Abs. 3 Buchst. b DSGVO greifen. Sie bedürfen dann - anders als rechtsverbindliche und durchsetzbare Dokumente im Sinn von Art. 46 Abs. 2 Buchst. a DSGVO - vorab einer Genehmigung durch die zuständige Datenschutzaufsichtsbehörde.

b) "Standdarddatenschutzklauseln" (Art. 46 Abs. 2 Buchst. c DSGVO)

Wenn das Drittland kein angemessenes Datenschutzniveau von der Kommission attestiert bekommen hat, kann grundsätzlich auf die ebenfalls von der Europäischen Kommission vorformulierten Standardvertragsklauseln zurückgegriffen werden, um durch deren Verwendung ausreichende Garantien für die Übermittlung personenbezogener Daten im Drittland zu schaffen. Die DSGVO verwendet lediglich den neuen Begriff "Standarddatenschutzklauseln". Gegenwärtig existieren drei Klauselwerke, die gemäß Art. 46 Abs. 5 Satz 2 DSGVO fortgelten:

  • Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß Entscheidung der Kommission 2001/497/EG v. 15.6.2001, ABl. 1995 L 181, S. 19
  • sog. Alternative Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß Entscheidung der Kommission 2004/915/EG v. 27.12.2004, ABl. 2004 L 285,S. 74
  • Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsdatenverarbeiter in Drittländern gemäß Beschluss der Kommission 2010/87/EU v. 5.2.2010, ABl. 2010 L 39,S. 5 (geändert durch Durchführungsbeschluss (EU) 2016/2297 der Kommission vom 16. Dezember 2016)

Die Europäische Kommission wurde von mehreren Mitgliedstaaten (darunter Deutschland) nachdrücklich gebeten, diese Standardvertragsklauseln zeitnah mit Blick aufdie Anforderungen des Art. 28 DSGVO (Auftragsverarbeitung) zu überarbeiten.

Dem EuGH soll vom Irischen High Court im Verfahren Schrems II u.a. die Frage vorgelegt werden, ob die vorstehend genannten Standardvertragsklauseln gegen die Grundrechte aus Art. 7, 8 und 47 Charta der Grundrechte der Europäischen Union (GRCh) verstoßen: Urteil des Irischen High Court Az. 2016 Nr. 4809 P. vom 3. Oktober 2017 (externer Link), bestätigt durch Urteil vom 2. Mai 2018 (externer Link).

c) Zertifizierung (Art. 46 Abs. 2 Buchst. f DSGVO)

Zertifizierungen sieht die DSGVO als neues Instrument vor. Daran teilnehmende Verantwortliche und Auftragsverarbeiter in Drittländern müssen rechtsverbindliche und durchsetzbare Verpflichtungen zur Anwendung der geeigneten Garantien,  auch hinsichtlich der Rechte betroffener Personen, eingehen (Art. 46 Abs. 2 Buchst. f i.V.m. Art. 42 Abs. 2 DSGVO). Die zuständige Aufsichtsbehörde muss die Zertifizierungskriterien genehmigen. Bei Bedarf muss sie das Kohärenzverfahren gemäß Art. 63 DSGVO durchführen (Art. 42 Abs. 5 DSGVO). Die Zertifizierungskriterien sollen geeignete Garantien zum Schutz der personenbezogenen Daten gewährleisten.

Auf europäischer Ebene werden zu diesem Verfahren aktuell Leitlinien erarbeitet.

5. Ausnahmen für bestimmte Fälle (Art. 49 DSGVO)

Eine Datenübermittlung kann in einer Reihe besonderer und abschließend genannter Fälle auch zulässig sein, wenn weder ein Angemessenheitsbeschluss der Europäischen Kommission noch geeignete Garantien vorliegen. Wegen des Ausnahmecharakters sind diese Vorschriften eng auszulegen. Für bayerische öffentliche Stellen sind hervorzuheben:

a) Einwilligung (Art. 49 Abs. 1 UAbs. 1 Buchst. a DSGVO)

Die  Einwilligung als Ausnahme ist für Behörden – in Ausübung ihrer hoheitlichen Befugnisse – nach Art. 49 Abs. 3 DSGVO ausdrücklich ausgeschlossen.

Der Begriff der Einwilligung ist in Art. 4 Nr. 11 DSGVO gesetzlich definiert. Danach ist eine Einwilligung jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung. Die betroffene Person ist auch über das jederzeitige Widerrufsrecht zu belehren (Art. 7 Abs. 3 DSGVO).

Zusätzlich zu diesen für alle Einwilligungen geltenden Voraussetzungen, vgl. https://www.datenschutz-bayern.de/datenschutzreform2018/einwilligung.html, verlangt Art. 49 Absatz 1 UAbs. 1 Buchst. a DSGVO noch zweierlei:

Die betroffene Person muss über die für sie möglicherweise bestehenden Risiken derartiger Übermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet worden sein, d.h. insbesondere darüber, dass kein angemessenes Datenschutzniveau gegeben ist und Betroffenenrechte ggf. nicht durchgesetzt werden können. Außerdem muss die betroffene Person ihre Einwilligung ausdrücklich abgegeben haben.

Für die wiederholte, massenhafte oder routinemäßige Übermittlung personenbezogener Daten kommt der Ausnahmetatbestand regelmäßig nicht in Betracht (vgl. S. 11 der deutschen Fassung von Arbeitspapier WP114 der Artikel-29-Datenschutzgruppe (externer Link) über eine gemeinsame Auslegung des Artikels 26 Absatz 1 der Richtlinie 95/46/EG (Stand 25. November 2005). Diese Stelle wird auch in einem aktuellen Arbeitspapier zur Einwilligung zitiert, Fn. 45 des WP259rev.01 (Consent) v. 10. April 2018 (externer Link). Die Artikel 29-Datenschutzgruppe sieht in diesem Arbeitspapier auf S. 29 die Anonymisierung als vorzugswürdig an (konkret zum Forschungsbereich).

Wegen der vorstehenden hohen Hürden für eine wirksame Einwilligung in die Datenübermittlung in ein Drittland und aufgrund der jederzeitigen Widerrufbarkeit erscheint dieser Ausnahmetatbestand allenfalls in Einzelfällen als Lösung geeignet.

b) Wichtige Gründe des öffentlichen Interesses (Art. 49 Abs. 1 UAbs. 1 Buchst. d DSGVO)

Die Übermittlung kann aus wichtigen Gründen des öffentlichen Interesses notwendig sein. Wie aus Erwägungsgrund (ErwGr) 112 zur DSGVO hervorgeht, meinte der Verordnungsgeber insbesondere Datentransfers im Rahmen der internationalen behördlichen Zusammenarbeit, etwa zwischen Wettbewerbs-, Steuer- oder Zollbehörden. Bei dieser Ausnahme ist Art. 49 Abs. 4 DSGVO zu beachten.

c) Schutz lebenswichtiger Interessen (Art. 49 Abs. 1 UAbs. 1 Buchst. f DSGVO)

Die Übermittlung ist zulässig, wenn sie zum Schutz lebenswichtiger Interessen der betroffenen Person oder anderer Personen erforderlich ist, sofern die betroffene Person aus physischen oder rechtlichen Gründen zur Erteilung der Einwilligung außerstande ist. Einschlägig sind nur lebenswichtige Interessen, insbesondere die körperliche Unversehrtheit und das Leben (ErwGr 112 Satz 2).

In der Praxis ist an Situationen zu denken, in denen der Betroffene oder eine andere Person sich in einem lebensbedrohlichen Zustand befindet und es zur Rettung erforderlich ist, Daten des Betroffenen etwa an die Ärzte im Drittland zu übermitteln. Ist der Betroffene bewusstlos und deshalb außerstande, eine Einwilligung abzugeben, kann von Abs.1 UAbs. 1 Buchst. f Gebrauch gemacht werden (WP 114, Nr. 2.5) (externer Link).

d) Übermittlung aus einem Register (Art. 49 Abs. 1 UAbs. 1 Buchst. g DSGVO)

Eine Übermittlung aus einem Register, das nach Unionsrecht oder dem Recht der Mitgliedstaaten zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen zur Einsichtnahme offensteht, die ein berechtigtes Interesse nachweisen können, ist ein möglicher Ausnahmefall. Dies setzt aber unter anderem voraus, dass die im Unionsrecht oder im Recht der Mitgliedstaaten festgelegten Voraussetzungen für die Einsichtnahme im Einzelfall erfüllt sind. Erfasst sind sowohl Register, in die jedermann ohne Erfüllung weiterer Voraussetzungen Einsicht nehmen kann – etwa das Handels- oder Vereinsregister – als auch solche, in die nur bei Vorliegen eines berechtigten Interesses Einsicht genommen werden kann, wie z.B. in Deutschland das Grundbuch.

Zudem beschränkt Art. 49 Abs. 2 DSGVO die Übermittlung: Die Gesamtheit oder ganze Kategorien der im Register enthaltenen personenbezogenen Daten dürfen nicht übermittelt werden. Ferner darf die Übermittlung, wenn das Register zur Einsichtnahme ein berechtigtes Interesse voraussetzt, nur auf Anfrage dieser Personen oder nur dann erfolgen, wenn diese Personen die Adressaten der Übermittlung sind. Durch diese Einschränkungen soll verhindert werden, dass praktisch das gesamte Register übermittelt und/oder die in Registern enthaltenen Daten zu anderen Zwecken genutzt werden als zu dem Zweck, zu dem das Register eingerichtet ist (WP114, Nr. 2.6 (externer Link) ).