Übermittlung personenbezogener Daten in ein Drittland DSGVO Art 13-14, 30, 40, 42, 44-49, 82-83
Angemessenheitsbeschluss der EU-Kommission - Datenübermittlung vorbehaltlich geeigneter Garantien - Standarddatenschutzklausel - Verbindliche interne Vorschriften - Mindestinhalte der verbindlichen internen Vorschriften - Genehmigte Verhaltensregeln und Zertifizierungsmechanismen - Vertragsklauseln - Ausnahmen für bestimmte Fälle - Dokumentations- und Informationspflicht des Verantwortlichen - Geldstrafen und Schadenersatzklage drohen - Fazit
Zum täglichen Geschäft vieler Unternehmer gehört die personenbezogene Datenübermittlung, beispielsweise an Abrechnungs- oder Clouddienstleister, die im Ausland niedergelassen sind. Welche Rechtsgrundlagen kommen dafür nach der Datenschutz-Grundverordnung DSGVO in Betracht?
Die DSGVO regelt in Art 44 bis 49 die Voraussetzungen für die Übermittlung von Daten in ein Drittland. Ein Drittland ist ein Staat, das nicht der EU oder dem Europäischen Wirtschaftsraum angehört. Zum Schutz der Rechte von Betroffenen sind die Verantwortlichen und Auftragsverarbeiter für die Einhaltung der Verordnungsvorschriften verantwortlich.
Angemessenheitsbeschluss der EU-Kommission
Die DSGVO sieht vor, dass eine Datenübermittlung in ein Drittland nur zulässig ist, wenn dort ein angemessenes Datenschutzniveau sichergestellt ist. Die Angemessenheit stellt die EU-Kommission fest (Art 45 DSGVO). Liegt ein Angemessenheitsbeschluss vor, so ist eine Datenübermittlung in das entsprechende Drittland zulässig. Eine Liste, in welchen Drittländern ein angemessenes Datenschutzniveau besteht, wird von der EU-Kommission im Amtsblatt und auf ihrer Homepage veröffentlicht. Wir empfehlen eine Prüfung der Aktualität des Angemessenheitsbeschlusses für das betreffende Drittland unter https://eur-lex.europa.eu/homepage.html?locale=de . Ferner können Angemessenheitsbeschlüsse durch die EU-Kommission geändert, ersetzt oder aufgehoben werden. Folglich sollten sie auch für aktuelle Datenübermittlungen in zeitlichen Abständen prüfen, ob der Angemessenheitsbeschluss unverändert fortbesteht.
Datenübermittlung vorbehaltlich geeigneter Garantien
Gewährleistet ein Drittland kein angemessenes Datenschutzniveau gemäß Art 45 Abs 3 DSGVO, dann darf die Datenübermittlung in das betreffende Drittland gemäß Art 46 DSGVO auf Grundlage geeigneter Garantien erfolgen. Geeignete Garantien sind gemäß DSGVO verbindliche interne Datenschutzvorschriften, Standarddatenschutzklauseln, genehmigte Verhaltensregeln, Zertifizierung/Datenschutzsiegel oder Vertragsklauseln (genehmigte individuelle Verträge).
Standarddatenschutzklausel
Standarddatenschutzklausel sind Klauseln in Verträgen zwischen in der EU aktiven Unternehmen und Datenempfängern in Drittländern. Sie werden von der EU-Kommission erlassen. Ferner müssen Standarddatenschutzklausen der Datenschutzbehörden im Zuge eines Prüfungsverfahren durch die EU-Kommission genehmigt werden.
Verbindliche interne Vorschriften
Verbindliche interne Vorschriften (Binding Corporate Rules, BCR) sollen einen ungehinderten Datenverkehr in ein Drittland ermöglichen. Diese erlauben es innerhalb eines Konzerns oder auch innerhalb einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben (Arge), personenbezogene Daten in ein Drittland ohne angemessenes Datenschutzniveau zu übermitteln.
In der Praxis reicht die Verabschiedung von internen Vorschriften eines Unternehmens nicht aus. Die österreichische Datenschutzbehörde müsste diese internen Vorschriften im Zuge eines Kohärenzverfahrens genehmigen.
Mindestinhalte der verbindlichen internen Vorschriften
Unternehmen müssen bei der Gestaltung ihrer verbindlich internen Vorschriften bestimmte Mindestinhalte berücksichtigen. Die Anforderungen, die verbindliche interne Vorschriften erfüllen müssen, regelt Art 47 Abs. 2 DSGVO.
Genehmigte Verhaltensregeln und Zertifizierungsmechanismen
Ferner können Verantwortliche genehmigte Verhaltensregeln (Art 40 DSGVO) oder Zertifizierungsmechanismen (Art 42 DSGVO) für die Datenübermittlung verwenden. Unternehmen in Drittländern können von einer Datenschutzbehörde genehmigte Verhaltensregeln zum Datenschutz anwenden oder sich ihren Datenschutzstandard zertifizieren lassen. Mit genehmigten Verhaltensregeln können Verbände und Vereinigungen für ihre Mitglieder verbindliche Regelungen zum Umgang mit personenbezogenen Daten schaffen.
Vertragsklauseln
Individuell vereinbarte Verträge (Vertragsklauseln) zwischen dem Verantwortlichen und dem Datenempfänger im Drittland können auch als geeignete Garantien für die Datenübermittlung dienen. Durch die vertragliche Zusage zur Einhaltung der Anforderungen gemäß DSGVO gegenüber dem Verantwortlichen erfolgt die Datenübermittlung. Diese Verträge müssen von der Datenschutzbehörde mittels Prüfverfahren genehmigt werden.
Ausnahmen für bestimmte Fälle
Eine Datenübermittlung ist auch zulässig, wenn kein Angemessenheitsbeschluss sowie keine geeigneten Garantien vorliegen, jedoch einer der in Art 49 Abs 1 a bis g DSGVO aufgezählten Fälle erfüllt ist. Neben dem Angemessenheitsbeschluss sowie geeignete Garantien sieht die DSGVO folgende Rechtsgrundlagen für eine Datenübermittlung vor:
- Es liegt eine ausdrückliche Einwilligung des Betroffenen in die Datenübermittlung vor.
- Die Datenübermittlung ist erforderlich, um einen Vertrag zwischen Betroffenen und Verantwortlichen zu erfüllen. (z.B. internationaler Zahlungsverkehr oder Tourismusleistungen)
- Die Datenübermittlung ist notwendig, um einen Vertrag im Interesse des Betroffenen zwischen Verantwortlichen und Dritten abzuschließen bzw. zu erfüllen.
- Die Datenübermittlung ist aus wichtigen Gründen des öffentlichen Interesses notwendig.
- Die Datenübermittlung ist für die Geltendmachung von Rechtsansprüchen notwendig.
- Die Datenübermittlung ist zum Schutz lebenswichtiger Interessen des Betroffenen notwendig und der Betroffene kann aus physischen oder rechtlichen Gründen keine Einwilligung in die Datenübermittlung erteilen.
- Die Datenübermittlung erfolgt aus einem staatlichen Register, das zur Information der Öffentlichkeit bestimmt ist. Als Beispiel ist das Grundbuch denkbar.
Greifen auch diese Ausnahmeregelungen gemäß Art 49 Abs 1 lit a bis g DSGVO nicht, kann eine Datenübermittlung nur auf Basis eines Einzelausnahmefalles nach Art 49 Abs 1 letzter Teilabsatz DSGVO zulässig sein. Dazu ist eine Interessenabwägung zwischen den berechtigten Interessen des Verantwortlichen und den schutzwürdigen Interessen des Betroffenen notwendig. Darüber hinaus muss der Verantwortliche die Datenschutzbehörde und den Betroffenen über die Datenübermittlung in Kenntnis setzen.
Dokumentations- und Informationspflicht des Verantwortlichen
Der Verantwortliche muss jegliche Datenübermittlungen in ein Drittland in einem Verzeichnis der Verarbeitungstätigkeit dokumentieren, insbesondere sind das betreffende Drittland sowie die geeigneten Garantien zu benennen (Art 30 DSGVO). Weiters müssen Verantwortliche ihren Informationspflichten gemäß Art 13 Abs 1 lit f und 14 Abs 1 lit f DSGVO nachkommen und Betroffene unterrichten.
Geldstrafen und Schadenersatzklage drohen
Verstöße gegen die Bestimmungen Art 44-49 werden mit einer Geldstrafe von bis zu 20 Mio. Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres sanktioniert (Art 83 DSGVO). Die Geldstrafe verhängt die Datenschutzbehörde. Neben der Geldstrafe können Schadenersatzansprüche der Betroffenen geltend gemacht werden (Art 82 DSGVO). Die Zivilgerichte sind zuständig für Schadenersatzklagen.
Fazit
Daten dürfen an ein Drittland gemäß DSGVO übermittelt werden, wenn dort ein angemessenes Datenschutzniveau besteht (Art 45 DSGVO). Die Feststellung erfolgt durch die Kommission der EU. Der Verantwortliche darf Daten in ein Drittland übermitteln, wenn dieses ein angemessenes Datenschutzniveau bietet. Verantwortliche müssen daher prüfen, ob das Drittland im, von der EU-Kommission gemäß der DSGVO erlassenen, Angemessenheitsbeschluss enthalten ist. Des Weiteren ist die Übermittlung zulässig, wenn eine vertragliche Vereinbarung mit Standarddatenschutzklauseln abgeschlossen wurde oder verbindliche interne Datenschutzvorschriften existieren (Art 46, 47 DSGVO). Verhaltensregeln (Art 40 DSGVO) und Zertifizierungsmechanismen (Art 42 DSGVO) ermöglichen ebenfalls eine zulässige Datenübermittlung. Art 49 DSGVOenthält einige Sonderfälle (Zustimmung, Vertragserfüllung, öffentliches Interesse, Verteidigung von Rechtsansprüchen, lebenswichtige Interessen, Übermittlung eines Auszugs aus einem öffentlichen Register und Einzelgenehmigung) für eine zulässige Datenübermittlung. Gemäß der DSGVO sollten Verantwortliche ihre eigenen Zwecke und Datenbanken kennen und selbst entscheiden, welche rechtlichen Instrumente geboten sind.
Es bestehen auch Informationspflichten an Betroffene, wenn Daten ins Drittland übermittelt werden sollen (Art 13, 14 DSGVO).
Prüfen Sie, ob sie Daten ins Drittland übermitteln und ob die getroffenen Maßnahmen bei Datenübermittlung der DSGVO entsprechen. Bei Verletzung der genannten Bestimmungen drohen hohe Geldstrafen.
mehr --> Darf ein Steuerberater die Kundenbuchhaltung im Ausland bearbe... mehr --> Lehrgang ISO-zertifizierter Datenschutzbeauftragter mehr --> http://ftp.freenet.at/privacy/ds-eu/eu-ds-gvo-aktuell.pdf
|