Datenübermittlung ins Ausland

Transkript

1 Die Landesbeauftragte für den Datenschutz Niedersachsen Datenübermittlung ins Ausland I) Allgemeines Unternehmen übermitteln häufig personenbezogene Daten ins Ausland, z.b. beim Outsourcing von einzelnen Arbeitsschritten an Anbieter im Ausland oder innerhalb von internationalen Konzernen bei zentral geführten Kunden- oder Mitarbeiterdatenbanken. Das Bundsdatenschutzgesetz (BDSG) sieht für diese Datenübermittlungen ins außereuropäische Ausland besondere Regelungen vor: Die Übermittlung personenbezogener Daten an ausländische Stellen unterbleibt, soweit der von der Datenverarbeitung Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat, insbesondere wenn bei den genannten ausländischen Stellen ein angemessenes Datenschutzniveau nicht gewährleistet ist ( 4 b Abs. 2 S. 2 BDSG). Dies bedeutet, dass ein Datentransfer grundsätzlich nur in solche Drittländer erfolgen darf, in welchen ein angemessenes (d.h. dem in der EU geltenden vergleichbares) Datenschutzniveau gewährleistet ist. Bei einer Datenübermittlung ins Ausland ist daher jeweils neben der Prüfung der Zulässigkeit der Datenübermittlung an sich (Nach den 28-30a BDSG) zusätzlich die Zulässigkeit des Transfers in das Drittland zu prüfen ( Zwei-Stufen-Prüfung ). Ist die Datenübermittlung ins Drittland unzulässig, stellt dies sogar eine Ordnungswidrigkeit nach 43 Abs. 2 Nr. 1 BDSG dar. Die Problematik eines Datentransfers ins Ausland stellt sich lediglich bei Ländern, die nicht der EU angehören (derzeitige Mitgliedstaaten der EU: Belgien, Bulgarien, Dänemark, Deutschland, Estland, Finnland, Frankreich, Griechenland, Großbritannien, Irland, Italien, Schweden, Slowakei, Slowenien, Spanien, Tschechien, Ungarn, Zypern); auch die Vertragsstaaten des Europäischen Wirtschaftsraumes (Norwegen, Island, Liechtenstein) sind hier unproblematisch (vgl. sonstige ausländische Stellen, 4 b Abs. 2 S. 2 BDSG). Drittländer sind alle anderen Staaten. Die Zulässigkeit eines Datentransfers in ein Drittland kann entweder durch die Gewährleistung eines angemessenen Datenschutzniveaus durch das Ergreifen bestimmter Maßnahmen erreicht werden oder durch das Vorliegen eines Ausnahmetatbestandes. II) Zulässigkeit des Datentransfers ins Nicht-EU-Ausland (Drittland) 1) Übermittlung Datenübermittlung mein das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten in der Weise, dass a) die Daten an den Dritten weitergegeben werden oder

2 - 2 - b) der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft ( 3 Abs. 4 Nr. 3 BDSG) Auch die Weitergabe von Daten innerhalb eines Konzerns stellt eine Datenübermittlung dar (kein Konzerprivileg). Zu beachten ist auch, dass bei einem Datentransfer ins außereuropäische Ausland auch die Datenweitergabe im Rahmen von Auftragsdatenverarbeitung anders als im Inland als Übermittlung im Sinne des 3 Abs. 4 Nr. 3 BDSG gilt und hierfür also ein gesonderter Erlaubnistatbestand vorliegen muss (Umkehrschluss aus 3 Abs. 8 S. 3 BDSG). Bei Ausführung der Übermittlung ist der Datenempfänger auf den Zweck hinzuweisen, zu dessen Erfüllung die Daten übermittelt werden ( 4 b Abs. 6 BDSG). 2) Bestimmung der Daten exportierenden Stelle Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle ( 4 b Abs. 5 BDSG). Auch im Konzernverbund ist die Daten exportierende Stelle diejenige, welche die tatsächliche Entscheidungsbefugnis über den Datenexport innehat (in der Regel dort, wo die Daten herstammen). Auch eine rechtlich unselbständige Niederlassung kann Daten exportierende Stelle sein. 3) Rechtliche Möglichkeiten des Datentransfers in ein Drittland Eine Datenübermittlung ins Nicht-Eu-Ausland ist nur dann rechtlich zulässig, wenn entweder eine Ausnahmeregelung für die konkrete Datenübermittlung vorliegt oder wenn ein angemessenes Datenschutzniveau im Sinne des 4 Abs. 2 S. 2 BDSG durch zusätzlich ergriffene Maßnahmen sichergestellt wird. a) Drittländer mit durch die EU-Kommission festgestelltem angemessenem Datenschutzniveau ( 4 b Abs. 3 BDSG) Die EU-Kommission hat gemäß Art. 25 Abs. 6 der EU-Datenschutzrichtlinie die Möglichkeit, nach entsprechender Prüfung das Bestehen eines angemessenen Schutzniveaus in bestimmten Drittländern festzustellen. Von dieser Möglichkeit hat die Kommission für folgende Länder Gebrauch gemacht: Schweiz, Kanada, Argentinien, Guernsey, Jersey, Isle of Man, Israel, Neuseeland. Als Folge gilt für diese Länder ein dem EU-Recht vergleichbares Datenschutzniveau und eine Datenübermittlung in diese Länder ist ohne eine weitere eigene Überprüfung datenschutzrechtlich zulässig (unter Vorbehalt der Zulässigkeit nach 28 ff. BDSG). b) Gesetzliche Erlaubnistatbestände ( 4 c Abs. 1 S. 1 Nr. 4 bis 6 BDSG)

3 - 3 - Bei folgenden Tatbeständen ist eine Datenübermittlung in das betreffende Drittland datenschutzrechtlich zulässig, auch bei Fehlen eines angemessenen Schutzniveaus: Die Datenübermittlung ist erforderlich zur Wahrung eines wichtigen öffentlichen Interesses zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor Gericht; die Datenübermittlung ist erforderlich für die Wahrung lebenswichtiger Interessen des Betroffenen oder die Datenübermittlung erfolgt aus einem Register, das zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offen steht, soweit die gesetzlichen Voraussetzungen im Einzelfall gegeben sind. Dies sind restriktiv zu handhabende gesetzliche Ausnahmen, die in der Praxis eher untergeordnete Bedeutung haben. c) Einwilligung ( 4 c Abs. 1 S. 1 Nr. 1 BDSG) Eine Datenübermittlung ins Nicht-EU-Ausland ist auch datenschutzrechtlich zulässig, wenn die betroffene Person ihre Einwilligung konkret hierzu gegeben hat. Die Anforderungen an eine wirksame Einwilligung finden sich in 4 a BDSG: Transparenz, Freiwilligkeit und Widerruflichkeit. Das Bedeutet, dass die Einwilligung nur wirksam ist, wenn die betroffene Person frei von Zwang entschieden hat, die Einwilligung nicht widerrufen hat, und ihr zuvor die wesentlichen Umstände der konkreten Datenübermittlung mitgeteilt wurden. Der einwilligenden Person müssen also vor der Entscheidung über eine Einwilligung das Empfängerland und die dort vorhandenen (oder nicht vorhandenen) Datenschutzregelungen mitgeteilt werden. Die übermittelten Daten dürfen nur für den mit der Einwilligung abgedeckten Zweck verwendet werden (vgl. 4 c Abs. 1 S. 2 BDSG). d) Datenübermittlung zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ( 4 c Abs. 1 S. 1 Nr. 2 BDSG) Besteht ein Vertrag oder eine vertragsähnliche Beziehung zwischen der Daten exportierenden Stelle und dem Betroffenen und ist die Datenübermittlung in das Drittland zwingend erforderlich (nicht nur dienlich!), ist die datenschutzrechtliche Zulässigkeit gegeben. Beispiel: Datenübermittlung zur Buchung eines Hotels im Ausland, Warenbestellung im Ausland. Auch hier dürfen die übermittelten Daten nur für den vertraglichen Zweck verwendet werden (vgl. 4 c Abs. 1 S. 2 BDSG). e) Datenübermittlung zur Erfüllung eines Vertrages im Interesse des Betroffenen ( 4 c Abs. 1 S. 1 Nr. 3 BDSG) Besteht zwar kein Vertrag mit dem Betroffenen, aber ein Vertrag zwischen der Daten exportierenden Stelle und einem Dritten, welcher zugunsten des Betroffenen wirkt, und ist die Datenübermittlung zur Erfüllung dieses Vertrages zwingend erforderlich, ist der Datentransfer

4 - 4 - zulässig. Beispiel: Ein Arbeitgeber überträgt Daten eines Arbeitnehmers an eine Versicherungsgesellschaft im Ausland, bei der er zugunsten des Arbeitnehmers eine Mitarbeiterversicherung abgeschlossen hat. Auch hier gilt die Zweckbindung des 4 c Abs. 1 S. 2 BDSG. f) Individueller Datenschutzvertrag ( 4 c Abs. 2 BDSG) Die Daten exportierende Stelle hat die Möglichkeit, ein angemessenes Datenschutzniveau zu garantieren, indem sie selbst mit dem Datenimporteur entsprechende vertragliche Regelungen zum Datenschutz formuliert. Dieser individuelle Datenschutzvertrag ist der Aufsichtsbehörde zur Genehmigung vorzulegen ( 4 c Abs. 2 BDSG). Prüfungsmaßstab der Aufsichtsbehörde ist die Verpflichtung der Parteien auf die Einhaltung der EU-Datenschutzregelungen und des BDSG sowie das Ergreifen ausreichender Maßnahmen hierzu. Gegenstand der Genehmigung ist dann die konkrete Datenübermittlung unter den festgelegten vertraglichen Bedingungen. Die Erteilung der Genehmigung steht unter Widerrufsvorbehalt, da Genehmigungen nach 4 c Abs. 2 BDSG dem Bund vorzulegen sind ( 4 c Abs. 3 BDSG). g) Vertrag auf Basis der EU-Standardvertragsklauseln ( 4 c Abs. 2 BDSG) Schließen der Datenexporteur und der Datenimporteur einen Vertrag unter Verwendung der so genannten EU-Standardvertragsklauseln, ist der darauf basierende Datentransfer (vorbehaltlich der 28 ff. BDSG) zulässig. Die EU-Kommission legte zunächst die Standardvertragsklauseln für die Übermittlung von personenbezogenen Daten in Drittländer nach der Richtlinie 95/46/EG vom (Entscheidung 2001/497/EG) fest. Daneben wurden die so genannten Alternativen Standardvertragsklauseln (oder auch ICC- Standardvertragsklauseln ) mit Entscheidung vom angenommen, welche von der Internationalen Handelskammer als Alternative zu den Standardvertragsklauseln vom Juni 2001 entwickelt wurden und unternehmensfreundlichere Regelungen enthalten. Die Alternativen Standardvertragsklauseln sind jedoch für die Übermittlung von Arbeitnehmerdaten grundsätzlich nicht geeignet bzw. ergänzungsbedürftig (abgestimmte Position der Aufsichtsbehörden). Daneben wurden speziell für die Auftragsdatenverarbeitung die Vertragsklauseln für die Übermittlung an Auftragsdatenverarbeiter in Drittländern vom (Entscheidung 2002/16/EG) entwickelt. Für ab dem geschlossene Verträge gelten jedoch die neuen Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsdatenverarbeiter in Drittländer (Entscheidung K 2010/593 vom ). Altverträge können fortbestehen, soweit die Datenübermittlung unverändert bleibt. Bei unveränderter Verwendung der Klauseln ist keine Genehmigung der Aufsichtsbehörde erforderlich.

5 - 5 - h) Verbindliche konzernweite Regelungen für den internationalen Datenverkehr ( Binding Corporate Rules ) Durch verbindliche Unternehmensregelungen für den internationalen Datenverkehr kann ein angemessenes Datenschutzniveau im Sinne der EU-Richtlinie erreicht werden ( 4 c Abs. 2 BDSG). Insbesondere bei international tätigen Konzernen mit internem Datenfluss (auch) in Drittländer ist dieses Instrument empfehlenswert. Dabei legt das Unternehmen Regelungen für den Datenschutz beim Transfer von personenbezogenen Daten in diese Drittländer fest. Die Binding Corporate Rules (BCR) müssen einen Schutz bieten, der im Wesentlichen den Kernprinzipien der europäischen Datenschutzrichtlinie entspricht. Die Leitlinien hierzu sind den Workpapers 74, 108, 153,154, 155 der Art. 29-Datenschutzgruppe der europäischen Kommission zu entnehmen, hier findet man detaillierte Vorgaben zur Erstellung von genehmigungsfähigen BCR. BCR unterliegen in Niedersachsen der Genehmigungspflicht der Aufsichtsbehörde, welche nach Vorlage der endgültigen BCR einzelne Datenübermittlungen oder bestimmte Arten von Übermittlungen personenbezogener Daten aufgrund dieser BCR genehmigt ( 4 c Abs. 2 BDSG). Die die Aufsichtsbehörde die erteilte Genehmigung nebst BCR an den Bund vorlegen muss und dieser die Genehmigung weiter der EU-Kommission vorlegt, unterliegt die Genehmigung einem Widerrufsvorbehalt ( 4 c Abs. 3 BDSG und Art. 26 Abs. 3 EU- Datenschutzrichtlinie). Zur Vereinfachung des Verfahrens für internationale Konzerne haben sich die Datenschutzaufsichtsbehörden auf ein koordiniertes Genehmigungsverfahren auf europäischer Ebene geeinigt ( Mutual Recognition ): Bei internationalen Konzernen mit mehreren Niederlassungen agiert eine Aufsichtsbehörde als Lead Authority, welche den Antrag und den Entwurf der BCR entgegennimmt und bearbeitet, mit dem Antragsteller verhandelt und anschließend den Entwurf den anderen betroffenen Aufsichtsbehörden vorstellt mit der Möglichkeit zur Äußerung. Die Bestätigung der Angemessenheit der BCR gegenüber dem Unternehmen gilt dann für alle Aufsichtsbehörden. Wo dies erforderlich ist (z.b. in Niedersachsen), wird anschließend ohne erneute Prüfung der BCR eine Genehmigung nach 4 c Abs. 2 BDSG von der einzelnen örtlichen Aufsichtsbehörde für ein Mitglied der Unternehmensgruppe erteilt. i) Safe Harbor Die EU-Kommission und die US-amerikanische Regierung einigten sich auf das so genannte Safe Harbor-Verfahren: US-amerikanische Unternehmen können sich den Safe Harbor- Datenschutzprinzipien unterwerfen und erreichen damit das in 4 c Abs. 2 BDSG verlangte angemessene Datenschutzniveau. Die entsprechenden Unternehmen werden in einer Liste

6 - 6 - eingetragen, die abrufbar ist beim US Department of Commerce. Die Registrierung ist jährlich zu aktualisieren. Nachdem im Jahr 2010 Zweifel an der tatsächlichen Einhaltung der Datenschutzprinzipien durch die Unternehmen laut geworden waren, fasste der Düsseldorfer Kreis (Zusammenschluss der Datenschutz-Aufsichtsbehörden für den Wirtschaftsbereich) am 28./ einen Beschluss mit zusätzlichen Anforderungen an die Prüfungspflicht nationaler Unternehmen, die unter Berufung auf Safe Harbor Daten an Stellen in den USA transferieren: Befindet sich das Daten importierende US-Unternehmen tatsächlich auf der Safe Harbor-Liste? Ist der Certification Status des Daten importierenden Unternehmens noch aktuell ( current )? Sind die Datenkategorien, die exportiert werden sollen, überhaupt von der Zertifizierung erfasst? Ist Deutschland als Sitzland des Daten exportierenden Unternehmens erfasst? Ist das Zertifikat im Einzelnen geprüft worden? Ist die Privacy Policy des US-Unternehmens überprüft und für angemessen befunden worden? Sind weitere Unterlagen des US-Unternehmens zur Bestätigung der Safe Harbor- Grundsätze vorgelegt worden? Sind im die Datenübermittlung regelnden Vertrag angemessene Verpflichtungen des US-Unternehmens hinsichtlich der Zertifizierung übernommen worden, z.b. die Pflicht zur Aufrechterhaltung der Zertifizierung während der Vertragslaufzeit, die Pflicht zur unverzüglichen Information des Daten exportierenden Unternehmens über die Beendigung oder den Wegfall der Zertifizierung sowie die Pflicht zur Beachtung der Grundsätze mit geeigneten Nachweisen? Das deutsche Unternehmen, das Daten aufgrund einer Safe Harbor-Zertifizierung an ein USamerikanisches Unternehmen übermittelt, ist für die Einhaltung dieser Anforderungen verantwortlich. Die Landesbeauftragte für den Datenschutz Niedersachsen Prinzenstraße Hannover Telefon Fax Ihre Ansprechpartner: an poststelle@lfd.niedersachsen.de schreiben Stand: