Datenübermittlung ins Ausland

Transkript

1 Die Landesbeauftragte für den Datenschutz Niedersachsen Datenübermittlung ins Ausland I) Allgemeines Unternehmen übermitteln häufig personenbezogene Daten ins Ausland, z.b. beim Outsourcing von einzelnen Arbeitsschritten an Anbieter im Ausland oder innerhalb von internationalen Konzernen bei zentral geführten Kunden- oder Mitarbeiterdatenbanken. Auch bei Cloud Computing, Programmen zur Reichweitenmessung bei Internet-Seiten und anderen Diensten von Anbietern aus dem Ausland finden Datenübermittlungen ins Ausland statt. Zu beachten ist weiterhin, dass auch der bloße Zugriff aus dem Ausland auf Daten, welche sich z.b. auf Servern in Deutschland befinden, eine nach dem Datenschutzrecht relevante Datenübermittlung darstellt. Das Bundesdatenschutzgesetz (BDSG) sieht für diese Datenübermittlungen ins außereuropäische Ausland besondere Regelungen vor: Die Übermittlung personenbezogener Daten an ausländische Stellen unterbleibt, soweit der von der Datenverarbeitung Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat, insbesondere wenn bei den genannten ausländischen Stellen ein angemessenes Datenschutzniveau nicht gewährleistet ist ( 4 b Abs. 2 S. 2 BDSG). Dies bedeutet, dass ein Datentransfer grundsätzlich nur in solche Drittländer erfolgen darf, in welchen ein angemessenes (d.h. dem in der EU geltenden vergleichbares) Datenschutzniveau gewährleistet ist. Bei einer Datenübermittlung ins Ausland ist daher jeweils neben der Prüfung der Zulässigkeit der Datenübermittlung an sich (nach den 28-30a BDSG) zusätzlich die Zulässigkeit des Transfers in das Drittland zu prüfen ( Zwei-Stufen-Prüfung ). Ist die Datenübermittlung ins Drittland unzulässig, stellt dies sogar eine Ordnungswidrigkeit nach 43 Abs. 2 Nr. 1 BDSG dar. Eine Datenübermittlung ins Ausland ist nur bei solchen Ländern rechtlich problematisch, die nicht der EU angehören (derzeitige Mitgliedstaaten der EU: Belgien, Bulgarien, Dänemark, Deutschland, Estland, Finnland, Frankreich, Griechenland, Großbritannien, Irland, Italien, Schweden, Slowakei, Slowenien, Spanien, Tschechien, Ungarn, Zypern); auch die Vertragsstaaten des Europäischen Wirtschaftsraumes (Norwegen, Island, Liechtenstein) sind hier unproblematisch (vgl. sonstige ausländische Stellen, 4 b Abs. 2 S. 2 BDSG). Drittländer sind alle anderen Staaten. Die Zulässigkeit eines Datentransfers in ein Drittland kann entweder durch die Gewährleistung eines angemessenen Datenschutzniveaus durch das Ergreifen bestimmter Maßnahmen erreicht werden oder durch das Vorliegen eines Ausnahmetatbestandes.

2 - 2 - II) Zulässigkeit des Datentransfers ins Nicht-EU-Ausland (Drittland) 1) Übermittlung Datenübermittlung meint das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten in der Weise, dass a) die Daten an den Dritten weitergegeben werden oder b) der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft ( 3 Abs. 4 Nr. 3 BDSG) Auch die Weitergabe von Daten innerhalb eines Konzerns stellt eine Datenübermittlung dar (kein Konzernprivileg). Zu beachten ist auch, dass bei einem Datentransfer ins außereuropäische Ausland auch die Datenweitergabe im Rahmen von Auftragsdatenverarbeitung anders als im Inland als Übermittlung im Sinne des 3 Abs. 4 Nr. 3 BDSG gilt und hierfür also ein gesonderter Erlaubnistatbestand vorliegen muss (Umkehrschluss aus 3 Abs. 8 S. 3 BDSG). Bei Ausführung der Übermittlung ist der Datenempfänger auf den Zweck hinzuweisen zu dessen Erfüllung die Daten übermittelt werden ( 4 b Abs. 6 BDSG). 2) Bestimmung der Daten exportierenden Stelle Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle ( 4 b Abs. 5 BDSG). Auch im Konzernverbund ist die Daten exportierende Stelle diejenige, welche die tatsächliche Entscheidungsbefugnis über den Datenexport innehat (in der Regel dort, wo die Daten herstammen). Auch eine rechtlich unselbständige Niederlassung kann Daten exportierende Stelle sein. 3) Rechtliche Möglichkeiten des Datentransfers in ein Drittland Eine Datenübermittlung ins Nicht-EU-Ausland ist nur dann rechtlich zulässig, wenn entweder eine Ausnahmeregelung für die konkrete Datenübermittlung vorliegt oder wenn ein angemessenes Datenschutzniveau im Sinne des 4 Abs. 2 S. 2 BDSG durch zusätzlich ergriffene Maßnahmen sichergestellt wird. a) Drittländer mit durch die EU-Kommission festgestelltem angemessenem Datenschutzniveau ( 4 b Abs. 3 BDSG) Die EU-Kommission hat gemäß Art. 25 Abs. 6 der EU-Datenschutzrichtlinie die Möglichkeit, nach entsprechender Prüfung das Bestehen eines angemessenen Schutzniveaus in bestimmten Drittländern festzustellen. Von dieser Möglichkeit hat die Kommission für folgende

3 - 3 - Länder Gebrauch gemacht: Schweiz, Kanada, Argentinien, Guernsey, Jersey, Isle of Man, Israel, Neuseeland, Australien, Andorra, Faröer, Uruguay. Als Folge gilt für diese Länder ein dem EU-Recht vergleichbares Datenschutzniveau und eine Datenübermittlung in diese Länder ist ohne eine weitere eigene Überprüfung datenschutzrechtlich zulässig (unter Vorbehalt der Zulässigkeit nach 28 ff. BDSG). b) Gesetzliche Erlaubnistatbestände ( 4 c Abs. 1 S. 1 Nr. 4 bis 6 BDSG) Bei folgenden Tatbeständen ist eine Datenübermittlung in das betreffende Drittland datenschutzrechtlich zulässig, auch bei Fehlen eines angemessenen Schutzniveaus: Die Datenübermittlung ist erforderlich zur Wahrung eines wichtigen öffentlichen Interesses zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor Gericht; die Datenübermittlung ist erforderlich für die Wahrung lebenswichtiger Interessen des Betroffenen oder die Datenübermittlung erfolgt aus einem Register, das zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offen steht, soweit die gesetzlichen Voraussetzungen im Einzelfall gegeben sind. Dies sind restriktiv zu handhabende gesetzliche Ausnahmen, die in der Praxis eher untergeordnete Bedeutung haben. c) Einwilligung ( 4 c Abs. 1 S. 1 Nr. 1 BDSG) Eine Datenübermittlung ins Nicht-EU-Ausland ist auch datenschutzrechtlich zulässig, wenn die betroffene Person ihre Einwilligung konkret hierzu gegeben hat. Die Anforderungen an eine wirksame Einwilligung finden sich in 4 a BDSG: Transparenz, Freiwilligkeit und Widerruflichkeit. Das bedeutet, dass die Einwilligung nur wirksam ist, wenn die betroffene Person frei von Zwang entschieden hat, die Einwilligung nicht widerrufen hat, und ihr zuvor die wesentlichen Umstände der konkreten Datenübermittlung mitgeteilt wurden. Der einwilligenden Person müssen also vor der Entscheidung über eine Einwilligung das Empfängerland und die dort vorhandenen (oder nicht vorhandenen) Datenschutzregelungen mitgeteilt werden. Die übermittelten Daten dürfen nur für den mit der Einwilligung abgedeckten Zweck verwendet werden (vgl. 4 c Abs. 1 S. 2 BDSG). d) Datenübermittlung zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ( 4 c Abs. 1 S. 1 Nr. 2 BDSG) Besteht ein Vertrag oder eine vertragsähnliche Beziehung zwischen der Daten exportierenden Stelle und dem Betroffenen und ist die Datenübermittlung in das Drittland zwingend erforderlich (nicht nur dienlich!), ist die datenschutzrechtliche Zulässigkeit gegeben. Beispiel: Datenübermittlung zur Buchung eines Hotels im Ausland, Warenbestellung im Ausland. Auch

4 - 4 - hier dürfen die übermittelten Daten nur für den vertraglichen Zweck verwendet werden (vgl. 4 c Abs. 1 S. 2 BDSG). e) Datenübermittlung zur Erfüllung eines Vertrages im Interesse des Betroffenen ( 4 c Abs. 1 S. 1 Nr. 3 BDSG) Besteht zwar kein Vertrag mit dem Betroffenen, aber ein Vertrag zwischen der Daten exportierenden Stelle und einem Dritten, welcher zugunsten des Betroffenen wirkt, und ist die Datenübermittlung zur Erfüllung dieses Vertrages zwingend erforderlich, ist der Datentransfer zulässig. Beispiel: Ein Arbeitgeber überträgt Daten eines Arbeitnehmers an eine Versicherungsgesellschaft im Ausland, bei der er zugunsten des Arbeitnehmers eine Mitarbeiterversicherung abgeschlossen hat. Auch hier gilt die Zweckbindung des 4 c Abs. 1 S. 2 BDSG. f) Individueller Datenschutzvertrag ( 4 c Abs. 2 BDSG) Die Daten exportierende Stelle hat die Möglichkeit, ein angemessenes Datenschutzniveau zu garantieren, indem sie selbst mit dem Datenimporteur entsprechende vertragliche Regelungen zum Datenschutz formuliert. Dieser individuelle Datenschutzvertrag ist der Aufsichtsbehörde zur Genehmigung vorzulegen ( 4 c Abs. 2 BDSG). Prüfungsmaßstab der Aufsichtsbehörde ist die Verpflichtung der Parteien auf die Einhaltung der EU-Datenschutzregelungen und des BDSG sowie das Ergreifen ausreichender Maßnahmen hierzu. Gegenstand der Genehmigung ist dann die konkrete Datenübermittlung unter den festgelegten vertraglichen Bedingungen. Die Erteilung der Genehmigung steht unter Widerrufsvorbehalt, da Genehmigungen nach 4 c Abs. 2 BDSG dem Bund vorzulegen sind ( 4 c Abs. 3 BDSG). g) Vertrag auf Basis der EU-Standardvertragsklauseln ( 4 c Abs. 2 BDSG) Schließen der Datenexporteur und der Datenimporteur einen Vertrag unter Verwendung der so genannten EU-Standardvertragsklauseln, ist der darauf basierende Datentransfer (vorbehaltlich der 28 ff. BDSG) zulässig. Die EU-Kommission legte zunächst die Standardvertragsklauseln für die Übermittlung von personenbezogenen Daten in Drittländer nach der Richtlinie 95/46/EG vom (Entscheidung 2001/497/EG) fest. Daneben wurden die so genannten Alternativen Standardvertragsklauseln (oder auch ICC- Standardvertragsklauseln ) mit Entscheidung vom angenommen, welche von der Internationalen Handelskammer als Alternative zu den Standardvertragsklauseln vom Juni 2001 entwickelt wurden und unternehmensfreundlichere Regelungen enthalten. Die Alternativen Standardvertragsklauseln sind jedoch für die Übermittlung von Arbeitnehmerdaten grundsätzlich nicht geeignet bzw. ergänzungsbedürftig (abgestimmte Position der Aufsichtsbehörden). Daneben wurden speziell für die Auftragsdatenverarbeitung

5 - 5 - die Vertragsklauseln für die Übermittlung an Auftragsdatenverarbeiter in Drittländern vom (Entscheidung 2002/16/EG) entwickelt. Für ab dem geschlossene Verträge gelten jedoch die neuen Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsdatenverarbeiter in Drittländer (Entscheidung K /593 vom ). Altverträge können fortbestehen, soweit die Datenübermittlung unverändert bleibt. Bei unveränderter Verwendung der Klauseln ist keine Genehmigung der Aufsichtsbehörde erforderlich. h) Verbindliche konzernweite Regelungen für den internationalen Datenverkehr ( Binding Corporate Rules ) Durch verbindliche Unternehmensregelungen für den internationalen Datenverkehr kann ein angemessenes Datenschutzniveau im Sinne der EU-Richtlinie erreicht werden ( 4 c Abs. 2 BDSG). Insbesondere bei international tätigen Konzernen mit internem Datenfluss (auch) in Drittländer ist dieses Instrument empfehlenswert. Dabei legt das Unternehmen Regelungen für den Datenschutz beim Transfer von personenbezogenen Daten in diese Drittländer fest. Die Binding Corporate Rules (BCR) müssen einen Schutz bieten, der im Wesentlichen den Kernprinzipien der europäischen Datenschutzrichtlinie entspricht. Die Leitlinien hierzu sind den Workpapers 74, 108, 153,154, 155 der Art. 29-Datenschutzgruppe der europäischen Kommission zu entnehmen, hier findet man detaillierte Vorgaben zur Erstellung von genehmigungsfähigen BCR. Zur Vereinfachung des Verfahrens für internationale Konzerne haben sich die Datenschutzaufsichtsbehörden auf ein koordiniertes Genehmigungsverfahren auf europäischer Ebene geeinigt ( Mutual Recognition ): Bei internationalen Konzernen mit mehreren Niederlassungen agiert eine Aufsichtsbehörde als Lead Authority, welche den Antrag und den Entwurf der BCR entgegennimmt und bearbeitet, mit dem Antragsteller verhandelt und anschließend den Entwurf den anderen betroffenen Aufsichtsbehörden vorstellt mit der Möglichkeit zur Äußerung. Die Bestätigung der Angemessenheit der BCR gegenüber dem Unternehmen gilt dann für alle Aufsichtsbehörden. i) Privacy Shield Bis Oktober 2015 gab es die Möglichkeit, personenbezogene Daten in die USA zu transferieren, wenn sich das Daten importierende Unternehmen nach dem so genannten Safe Harbor-Abkommen zwischen der EU-Kommission und den USA zertifiziert hatte. Mit Urteil vom hat der EuGH Safe Harbor jedoch für ungültig erklärt. Die EU- Kommission habe vor dem Abschluss des Abkommens nicht ausreichend geprüft, ob in den USA ein angemessenes Datenschutzniveau besteht. Aufgrund der Rechtslage in den USA, nach welcher massenhafte und anlasslose Zugriffe öffentlicher Stellen (insbesondere

6 - 6 - Geheimdienstbehörden) auf personenbezogene Daten zulässig ist, ist dies fraglich. Im Juli 2016 wurde das Safe Harbor-Abkommen durch ein neues Abkommen zwischen der EU und den USA ersetzt: EU-US-Privacy Shield. Dieses Abkommen kann zunächst als Rechtsgrundlage für einen Datentransfer in die USA dienen, wenn die Daten an ein nach den Vorgaben des Privacy Shield zertifiziertes US-Unternehmen übermittelt werden. Die Landesbeauftragte für den Datenschutz Niedersachsen Prinzenstraße Hannover Telefon Fax an poststelle@lfd.niedersachsen.de schreiben Stand: