17 HmbDSG - Übermittlung an Stellen außerhalb der Bundesrepublik Deutschland

Transkript

1 Stabsstelle Recht / R Datenschutzbeauftragter Hamburgisches Datenschutzgesetz (HmbDSG) mit Kommentierung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) ( ) 17 HmbDSG - Übermittlung an Stellen außerhalb der Bundesrepublik Deutschland (1) Die Übermittlung personenbezogener Daten in Mitgliedstaaten der Europäischen Union sowie an Organe und Einrichtungen der Europäischen Union ist unter den Voraussetzungen der 14, 16 und 28 zulässig. (2) 1 Die Übermittlung personenbezogener Daten in Staaten außerhalb der Europäischen Union und an über- oder zwischenstaatliche Stellen ist unter den Voraussetzungen der 14, 16 und 28 zulässig, wenn in dem Staat außerhalb der Europäischen Union oder bei der über- oder zwischenstaatlichen Stelle ein angemessenes Schutzniveau gewährleistet ist. 2 Die Angemessenheit des Schutzniveaus ist unter Berücksichtigung aller Umstände zu beurteilen, die bei der Datenübermittlung von Bedeutung sind, insbesondere der Art der Daten, der Zweckbestimmung und Dauer ihrer geplanten Verarbeitung, des Herkunfts- und des Endbestimmungslandes sowie der anwendbaren Rechtsvorschriften, Standesregeln und Sicherheitsmaßnahmen. (3) 1 Ist in Staaten außerhalb der Europäischen Union oder bei über- oder zwischenstaatlichen Stellen kein angemessenes Schutzniveau gewährleistet, so ist die Übermittlung personenbezogener Daten nur zulässig, soweit 1. die Betroffenen eingewilligt haben, 2. die Übermittlung zur Wahrung eines überwiegenden öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor Gericht erforderlich ist,

2 3. die Übermittlung zur Wahrung lebenswichtiger Interessen der Betroffenen erforderlich ist oder 4. die Übermittlung aus einem Register erfolgt, das zur Information der Öffentlichkeit bestimmt ist oder das allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offen steht, soweit die gesetzlichen Voraussetzungen im Einzelfall erfüllt sind. 2 Darüber hinaus ist die Übermittlung unter den Voraussetzungen der 14, 16 und 28 zulässig, wenn die Stelle, der die Daten übermittelt werden sollen, ausreichende Garantien hinsichtlich des Schutzes des Persönlichkeitsrechts der Betroffenen und der damit verbundenen Rechte bietet; die Garantien können sich insbesondere aus vertraglichen Vereinbarungen ergeben. 3 Die Übermittlung bedarf in diesem Falle der Zulassung durch die Leiterin bzw. den Leiter der übermittelnden Stelle. 4 Die Hamburgische Beauftragte bzw. der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit ist vorher zu hören. 5 Zugelassene Übermittlungen sind der zuständigen Behörde mitzuteilen. (4) 16 Absatz 2 gilt entsprechend. Erläuterungen zum Hamburgischen Datenschutzgesetz (vom 5. Juli 1990, zuletzt geändert am 5. April 2013 Quelle: Zu 17 (Übermittlung an Stellen außerhalb der Bundesrepublik Deutschland) Die Problematik der Übermittlung ins Ausland war anfangs nicht gesehen worden und wurde erstmals anlässlich der Umsetzung des Volkszählungsurteils im Gesetz von 1990 behandelt. Die neue Regelung wurde ausschließlich unter dem Aspekt der eigenen Aufgabenwahrnehmung diskutiert und sollte in erster Linie Einzelfall-Übermittlungen in Länder mit gleichwertigen Datenschutzregelungen ermöglichen (Bü-Drs. 13/3282 S. 21). Mit der Umsetzung der EG-Datenschutz-richtlinie 2001 wurden die Gleichbehandlung der Mitgliedstaaten

3 und die umfassenden Regelungen zur Übermittlung in Drittländer nach Art. 25 f der Richtlinie aufgenommen. Die Erwägungsgründe zeigen, dass auch der Richtliniengeber in erster Linie von der Übermittlung im Einzelfall zur Aufgabenerledigung ausgegangen ist. Neben der konkreten Regelung für die Verarbeitung von Einzelfällen kommt der Vorschrift in letzter Zeit besondere Bedeutung zu für alle Anbieter von Auftragsdatenverarbeitung, die ihre Dienste außerhalb der EU erbringen oder dies nicht ausschließen können. Zu den typischen Fragestellungen in diesem Zusammenhang siehe unter 3. In jüngerer Zeit wurde verneinend diskutiert, ob Betroffene zugunsten einer kostengünstigeren Auftragsdatenverarbeitung im unsicheren Ausland im Wege der Einwilligung auf technisch-organisatorische Maßnahmen nach 8 HmbDSG verzichten könnten. Absatz 1 Abs. 1 setzt Art. 1 Abs. 2 der EG-Datenschutzrichtlinie um. Danach gelten die Übermittlungsregelungen des Hamburgischen Datenschutzgesetzes für innerstaatliche Übermittlungen vorbehaltlich entgegenstehende spezialgesetzlicher Regelungen auch für Übermittlungen in Mitgliedstaaten der Europäischen Union und an Organe und Einrichtungen der Europäischen Union. Neben den allgemeinen Übermittlungsbestimmungen der 14 und 16 ist dabei auch 28 zu nennen, der für Beschäftigtendaten bereichsspezifische Übermittlungsvorschriften enthält. Danach sind Übermittlungsbeschränkungen aus Datenschutzgründen im Datenverkehr unter den Mitgliedstaaten nicht mehr zulässig. Im Übrigen stellen die Übermittlungsvorschriften des Hamburgischen Datenschutzgesetzes Übermittlungsermächtigungen dar, ziehen aber keine Übermittlungspflichten nach sich, so dass eine Datenübermittlung im Rahmen der Ermessensausübung versagt werden kann (und unter Umständen auch muss), wenn im Einzelfall Anlass zu der Annahme besteht, dass mangelnder Datenschutz in dem empfangenden EU-Mitgliedstaat zu einer ungerechtfertigten Beeinträchtigung der Rechte Betroffener führen würde. Dasselbe gilt für Datenübermittlungen im Anwendungsbereich der EG-Datenschutzrichtlinie in Länder, die die Richtlinie nicht oder nicht vollständig umgesetzt haben. Absatz 2 Abs. 2 stellt in Umsetzung des Artikels 25 Abs. 2 der EG-Datenschutzrichtlinie die Übermittlungen in Drittländer mit einem angemessenen Schutzniveau den innerstaatlichen und EUinternen Übermittlungen gleich. Die Angemessenheit des Schutzniveaus ist grundsätzlich unter Berücksichtigung aller Umstände zu beurteilen, die für die Datenübermittlung von Bedeutung sind. Von Bedeutung ist insbesondere die Anerkennung eines angemessenen Schutzniveaus durch die EU-Kommission.

4 Absatz 3 Abs. 3 regelt die Ausnahmen, in denen die Datenübermittlung in Drittländer ohne angemessenes Schutzniveau erfolgen darf. Die engen Übermittlungsvoraussetzungen des Satzes 1, mit denen Artikel 26 Abs. 1 der Richtlinie umgesetzt wird, sind abschließend. Bei der Anwendung wird zu berücksichtigen sein, dass der Gesetzgeber regelhaft nur von Einzelübermittlungen ausging, s.o. Die Möglichkeit der Einwilligung der Betroffenen in die Datenverarbeitung durch öffentliche Stellen wird vom HmbBfDI grundsätzlich kritisch gesehen und ist daher zurückhaltend einzusetzen. Die Einwilligung muss im Lichte der Richtlinie zweifelsfrei sein und darf nicht solche Umstände betreffen, die nach 6 unabdingbar sind oder von entsprechender Wichtigkeit. Auch die Einhaltung technisch-organisatorischer Maßnahmen wird für grundsätzlich nicht abdingbar gehalten. Eine Auftragsdatenverarbeitung im unsicheren Ausland unter Einwilligung in den Verzicht auf angemessene technisch-organisatorische Maßnahmen wird daher als unzulässig angesehen. Die Wahrung überwiegender öffentlicher Interessen ist restriktiv auszulegen. Dafür kann die von der Kommission angeführte Bekämpfung von Geldwäsche als Maßstab herangezogen werden. Die Wahrung lebenswichtiger Interessen der Betroffenen ist nur schwer gegen die Fälle abzugrenzen, in denen die Betroffenen nicht in der Lage sind, selbst zu entscheiden. Als Beispiel wurde genannt die Übermittlung von Blutwerten für eine Transfusion. Die Übermittlung von Daten aus öffentlichen Registern wird jedenfalls hinsichtlich der dem berechtigten Interesse unterliegenden Daten ebenfalls nicht unkritisch gesehen. Sätze 2 bis 5 setzen Art. 26 Abs. 2 der Richtlinie um. Danach sollen Übermittlungen möglich sein, wenn die ausländische Stelle entsprechende Garantien bietet oder vertragliche Verpflichtungen eingeht. Hierunter fallen die Nutzung der von der Kommission vorgegebenen Standardvertragsklauseln nach zusätzlicher Prüfung durch die Dienststelle der oder des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) sowie der Beitritt einzelner US-Unternehmen zum Safe-Harbor-Abkommen. Sollen Übermittlungen aufgrund dieser Regelwerke vorgenommen werden, bedürfen sie der Zulassung des Leiters der Dienststelle, der Beteiligung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit sowie der Finanzbehörde als zuständiger Behörde nach Satz 5.

5 Absatz 4 Nach Abs. 4 hat die übermittelnde Stelle die empfangende Stelle ausdrücklich auf die Einhaltung der strengen Zweckbindung hinzuweisen. Für Rückfragen und weitere Informationen zum Hochschul-Datenschutz wenden Sie sich bitte an: Bernd Uderstadt Datenschutzbeauftragter der Universität Hamburg sowie der Hamburger Hochschulen HfMT, HFBK, HCU, TUHH und der Staats- und Universitätsbibliothek Hamburg (SUB) - Stabsstelle Recht / R16 - Mittelweg 177 (Rm. N 0051) * D Hamburg datenschutz@verw.uni-hamburg.de / bernd.uderstadt@verw.uni-hamburg.de Dieses Werk bzw. dieser Inhalt steht unter einer Creative Commons Namensnennung - Nicht-kommerziell - Weitergabe unter gleichen Bedingungen 3.0 Deutschland Lizenz.