Ende Mai hat der Europäische Datenschutzausschuss (EDSA) Leitlinien veröffentlicht, in welchen die Vorgaben der EU-Datenschutz-Grundverordnung (DSGVO) zum Datentransfer in Drittstaaten ohne angemessenes Datenschutzniveau erläutert werden. Konkret will der EDSA damit Klarheit schaffen, wie die Ausnahmeregelung in Artikel 49 DSGVO von den europäischen Datenschützern interpretiert wird.

Grundsätze zur Datenübermittlung in Drittstaaten

Die seit Ende Mai geltende Datenschutz-Grundverordnung enthält eine ausführliche Regelung für die Übermittlung von personenbezogenen Daten in Drittstaaten. Diese Vorgaben gelten zusätzlich zu den allgemeinen Regelungen der DSGVO. Mit anderen Worten muss sich jede Datenübermittlung in ein Drittland auf einen Erlaubnistatbestand abstützen und sind auch die übrigen Vorgaben, wie z.B. die Informationspflichten, einzuhalten (vgl. dazu allgemein MLL-News vom 30.7.2017).

Aus der besonderen Regelung für Datentransfers in Drittstaaten geht sodann hervor, dass eine solche Datenübermittlung zulässig ist, wenn die EU-Kommission das Datenschutzniveau eines Staats für angemessen erklärt (sog. Angemessenheitsbeschluss). Fehlt ein solcher Beschluss, ist die Datenübermittlung gleichwohl erlaubt, sofern der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. Als geeignete Garantien gelten beispielsweise verbindliche interne Datenschutzvorschriften, die von einer Aufsichtsbehörde genehmigt wurden.

Datentransfers bei fehlendem Angemessenheitsbeschluss und fehlenden Garantien

Fehlt ein Angemessenheitsbeschluss und wurden auch keine geeigneten Garantien vorgesehen, enthält die DSGVO in Artikel 49 eine Ausnahmeregelung. Diese enthält eine Aufzählung von Gründen, die eine Abweichung von diesen beiden Vorgaben erlauben. Zu beachten ist allerdings, dass die EU oder die Mitgliedstaaten die Übermittlung bestimmter Kategorien von personenbezogenen Daten bei fehlendem Angemessenheitsbeschluss verbieten können. Es ist somit stets zu prüfen, ob eine solche Spezialregelung ausserhalb der DSGVO besteht, bevor eine Berufung auf die Ausnahmeregelung in Betracht gezogen wird.

Mit seinen Ende Mai erlassenen Leitlinien will der EDSA, der aus den Vertretern der nationalen Datenschutzbehörden und dem Europäischen Datenschutzbeauftragten (EDSB) besteht, Klarheit schaffen, wie Art. 49 DSGVO von den Datenschützern interpretiert wird. Der EDSA betont darin einleitend, dass die aufgezählten Ausnahmen auch Ausnahmen bleiben müssen. Die Ausnahme soll unter keinen Umständen zur Regel werden. Bereits der Titel des Artikels stellt klar, dass Ausnahmen nur in „bestimmten Fällen“ greifen sollen. Da die Bejahung einer Ausnahme für die Betroffenen mit erheblichen Risiken verbunden ist, wird also eine restriktive bzw. zurückhaltende Interpretation des Artikels gefordert.

Darüber hinaus hebt der EDSA hervor, dass die Entscheidung einer Behörde oder eines Gerichts eines Drittstaats, mit welcher die Übermittlung oder Offenlegung von personenbezogenen Daten verlangt wird, allein noch keine Rechtfertigung für die Datenübermittlung in Drittländer darstellt. Vielmehr müssen auch in diesen Fällen die gleichen Voraussetzungen geprüft werden.

Nur für „gelegentliche“ oder „nicht wiederholende Datenübermittlung?

Des Weiteren wird in den Leitlinien festgehalten, dass die folgenden Ausnahme-Tatbestände nur für „gelegentliche“ oder „nicht wiederholende“ Datenübermittlungen zur Anwendung gelangen können:

  • Vertragserfüllung (Art. 49 (1) lit. b und c)
  • Ausübung von Rechtsansprüchen (Art. 49 (1) lit. e)
  • Zwingende überwiegende Interessen (Art. 49 (1) Unterabs. 2)

„Gelegentlich“ oder „nicht wiederholend“ meine zwar mehr als einmal, aber nicht regemässig. Dabei wird ein Transfer beispielsweise nicht als „gelegentlich“ eingestuft, wenn dem Datenimporteur ein genereller Zugang zu einer bestimmten Datenbank, etwa in Form einer Schnittstelle zu einer IT-Applikation, gewährt wird.

Ausnahmekatalog:

1. Ausdrückliche Einwilligung

Eine erste, wortwörtlich aufgeführte Ausnahme liegt vor, wenn die betroffene Person ausdrücklich in die Datenübermittlung eingewilligt hat. Für die allgemeinen Anforderungen einer gültigen Einwilligung, die auch hier zusätzlich gelten, verweist der EDSA auf die Leitlinien seiner Vorgängerin, der Art. 29 Datenschutz-Gruppe (WP259), welche von ihm übernommen wurden. Der EDSA hebt ferner hervor, dass die Einwilligung spezifisch für den betreffenden Datentransfer erteilt werden muss. Diese Anforderung ist eng verbunden mit der Anforderung, dass eine Einwilligung nur gültig ist, wenn sie auf einer genügenden vorgängigen Information basiert. Eine Einwilligung in eine zukünftige Datenübermittlung ist deshalb zumindest dann nicht möglich, wenn zum Zeitpunkt der Datenerhebung die Erforderlichkeit und die Umstände der Datenübermittlung noch gar nicht bekannt sind.

Um eine genügende Information handelt es sich laut den Leitlinien, wenn die nachfolgenden Angaben gemacht werden:

  • allgemeine Anforderungen, insb.: Identität des Verantwortlichen, Zweck der Datenübermittlung, die Arten der Daten, das Widerrufsrecht, die Identität oder Kategorien von Empfängern.
  • zusätzliche Anforderungen: alle Staaten, in welche die Daten übermittelt werden; dass der Drittstaat kein angemessenes Datenschutzniveau aufweist; die möglichen Risiken für die Betroffenen aus dem Fehlen eines angemessenes Datenschutzniveaus (bspw. Information über mögliches Fehlen einer Aufsichtsbehörde, Grundprinzipien oder Betroffenenrechten im Drittstaat).

2. Vertragserfüllung

Der zweite Ausnahmetatbestand greift, wenn die Übermittlung der Daten erforderlich ist für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Massnahmen auf Antrag der betroffenen Person. Was die Erforderlichkeit angelangt, fordert der EDSA einen substantiellen und engen Zusammenhang zwischen dem Zweck des Vertrages und dem Datentransfer. Ein solcher kann gemäss den Leitlinien bspw. bei einer Reiseagentur, welche personenbezogene Daten von Kunden an Hotels oder andere Geschäftspartner, die bei der Organisation des Auslandsaufenthaltes dieser Kunden beigezogen werden, für die Erfüllung des Vertrags zwischen dem Reisebüro und den Kunden erforderlich sein.

Zudem ist es notwendig, dass der Datentransfer in einem solchen Fall nur als „gelegentlich“ eingestuft wird. Die Abgrenzung zwischen gelegentlich und regelmässig muss dabei gemäss den Leitlinien von Fall zu Fall vorgenommen werden. Eine Datenübermittlung könne beispielsweise dann als gelegentlich betrachtet werden, wenn eine EU-Bank personenbezogene Daten an eine Bank in einem Drittland übermittelt, um den Zahlungsauftrag eines Kunden auszuführen, sofern diese Überweisung nicht im Rahmen einer beständigen Zusammenarbeit zwischen den beiden Banken erfolgt.

3. Wichtige Gründe des öffentlichen Interesses

In Bezug auf den Ausnahmetatbestand „wichtige Gründen des öffentlichen Interesses“, betont der EDSA, dass ein solches Interesse nur vorliegen kann, wenn dieses im Unionsrecht oder im Recht des Mitgliedstaats, dem der Verantwortliche unterliegt, anerkannt ist.

Unzureichend sei deshalb bspw., dass die Datenübermittlung (z.B. von einer Behörde eines Drittlandes) für eine Untersuchung beantragt wird, die einem öffentlichen Interesse eines Drittlandes dient, das in einem abstrakten Sinne auch im Recht der EU oder der Mitgliedstaaten existiere. Wenn beispielsweise eine Behörde eines Drittlandes eine Datenübermittlung für eine Untersuchung zur Bekämpfung des Terrorismus verlange, sei die blosse Existenz von Rechtsvorschriften der EU oder eines Mitgliedstaates, die auch auf die Bekämpfung des Terrorismus abzielen, als solche nicht ausreichend. Vielmehr müsste sich aus den einschlägigen Vorschriften auch ableiten lassen, dass entsprechende Datenübermittlungen zulässig seien.

4. Ausübung von Rechtsansprüchen

Ist die Datenübermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich, kann ebenfalls eine Ausnahmesituation begründet werden. Dieser Tatbestand greift gemäss den Leitlinien unabhängig davon, ob die Ausübung in einem Gerichtsverfahren oder in einem Verwaltungs- oder einem aussergerichtlichen Verfahren erfolgen soll. Damit könne die Regelung bspw. anwendbar sein, wenn die Übermittlung von personenbezogenen Daten in einem kartellrechtlichen Verfahren in einem Drittstaat zur Verteidigung oder zur Reduktion einer gesetzlich vorgesehen Busse erforderlich sei. Sie könne auch für Massnahmen des Datenexporteurs zur Einleitung von Verfahren in einem Drittland gelten, bspw. für die Beantragung einer Genehmigung eines Zusammenschlusses von Unternehmen. Der EDSA betont jedoch, dass die abstrakte Möglichkeit eines Verfahrens in der Zukunft jedenfalls nicht genügt.

Auch hier wird ferner ein substantieller und enger Zusammenhang zwischen der fraglichen Datenübermittlung und der Rechtsausübung verlangt. In Bezug auf diese Anforderung der „Erforderlichkeit“ hält der EDSA fest, dass ein blosses Interesse der Behörden von Drittstaaten oder ein „Goodwill“, der bei der Drittstaatenbehörde erzielt werden könnte, nicht ausreichen würde. Es müsse ferner stets geprüft werden, ob nicht auch eine anonymisierte Datenübermittlung ausreicht. Falls nicht, müsse die Relevanz der einzelnen Daten für die Rechtsausübung sorgfältig geprüft werden, sodass nur Daten, die tatsächlich erforderlich sind, übermittelt werden.

5. Lebenswichtige Interessen

Sofern die betroffene Person aus physischen oder rechtlichen Gründen ausserstande ist, ihre Einwilligung zu geben, ist die Datenübermittlung zum Schutz lebenswichtiger Interessen zulässig. Diese Bestimmung spricht hauptsächlich Situationen an, in welchen es der sich ausserhalb der EU aufhaltenden Person aus medizinischen Gründen, beispielsweise wegen andauernder Bewusstlosigkeit, nicht möglich ist, eine Einwilligung abzugeben. Laut den Leitlinien verdrängt das Risiko des akuten körperlichen Nachteils der betroffenen Person in derartigen Situationen, wie z.B. bei Naturkatastrophen, dasjenige von Datenschutzverletzungen.

6. Register zur Information der Öffentlichkeit

Eine weitere ausdrückliche Ausnahme ist für die Übermittlung von Daten aus einem Register vorgesehen, das für die Information der Öffentlichkeit bestimmt ist und zumindest für Personen mit nachgewiesenem berechtigten Interesse zur Einsichtnahme offensteht.

Gemäss den Leitlinien können dies z.B. Handelsregister, Strafregister, Grundbücher oder öffentliche Fahrzeugregister sein. Demgegenüber werden private Register, die in der Verantwortung von privaten Einrichtungen stehen (wie z.B. Register über die Kreditwürdigkeit von Personen) nicht von der Regelung erfasst. Übermittlungen aus diesen Registern dürfen aber stets nur erfolgen, wenn und soweit, als dass die im Recht der Union oder der Mitgliedstaaten festgelegten Voraussetzungen für die Einsichtnahme im Einzelfall gegeben sind. Ferner dürfen solche Datenübermittlungen nicht die Gesamtheit oder ganze Kategorien der im Register enthaltenen personenbezogenen Daten umfassen.

7. zwingende berechtigte Interessen

Als „ultima ratio“ ermöglicht die DSGVO unter strengen Voraussetzungen auch die Berufung auf „zwingende berechtigte Interessen“ des Datenexporteurs. Eine Berufung darauf ist nur möglich, wenn keine der anderen Tatbestände in Frage kommen. Gemäss EDSA bedeutet dies auch, dass vom Verantwortlichen aufgrund seiner Rechenschaftspflicht ein Nachweis dafür verlangt wird, wieso keine geeigneten Garantien oder andere Ausnahmetatbestände in Frage gekommen sind.

Mit dem Begriff „zwingend“ wird den Leitlinien zufolge zum Ausdruck gebracht, dass höhere Anforderungen zu stellen sind als beim allgemeinen Erlaubnistatbestand des berechtigten Interesses (vgl. Art. 6 (1) lit. f DSGVO). Ein zwingendes Interesse könne beispielsweise dann vorliegen, wenn ein Verantwortlicher gezwungen ist, die personenbezogenen Daten zu übermitteln, um sein Unternehmen oder seine Systeme vor schwerwiegenden unmittelbaren Schäden oder vor einer schweren Strafe zu schützen, die sein Geschäft ernsthaft beeinträchtigen würde.

Darüber hinaus darf die Übermittlung nur dann vorgenommen werden, wenn sie nicht wiederholt erfolgt und nur eine begrenzte Zahl von Datensubjekten betrifft. Eine konkrete Zahl nennt der EDSA hierzu nicht, sondern verweist auf die Beurteilung im Einzelfall. Des Weiteren setzt die Ausnahmeregelung voraus, dass die Interessen der Betroffenen diejenigen des Verantwortlichen nicht überwiegen. Anders als bei der „gewöhnlichen“ Interessenabwägung müssen hier sodann zwingend zusätzliche geeignete Garantien vorgesehen werden, um die identifizierten Risiken, die durch die Datenübermittlung für die betroffene Person entstehen, zu minimieren. Schliesslich ist auch eine Information der Aufsichtsbehörde und der betroffenen Personen über die Datenübermittlung und die zwingenden berechtigten Interessen erforderlich.

Fazit

Die Leitlinien des EDSA machen deutlich, dass für Datenübermittlungen gestützt auf die Ausnahmetatbestände relativ hohe Anforderungen gestellt werden. Der EDSA schafft mit seinen Leitlinien zwar etwas mehr Klarheit, jedoch kommt die Praxis gleichwohl nicht um eine sorgfältige Prüfung des Einzelfalls herum. Erstrebenswert bleibt deshalb regelmässig ein Datentransfer in Länder mit angemessenem Niveau oder die Errichtung „geeigneter Garantien“. Solche Garantien, wie insbesondere verbindliche interne Datenschutzvorschriften, sind jedoch mit einem erheblichen administrativen Aufwand verbunden, der für viele kleinere Unternehmen kaum bewältigt werden kann. Für diese können die Klarstellungen in den Leitlinien zu den Ausnahmetatbeständen daher von besonderem Interesse sein.