Internationale Datentransfers

 

Internationale Datentransfers sind notwendiger Bestandteil einer globalisierten Wirtschaft. Dabei erfolgt eine Übermittlung von personenbezogenen Daten in der Regel zwischen zwei gemeinsam agierenden Unternehmen, die sich in unterschiedlichen Staaten befinden (sehr häufig in Form einer Mutter- und Tochtergesellschaft). Es werden unterschiedlichste Daten zwischen diesen Unternehmen übermittelt, beispielsweise Kundendaten oder vor allem auch Mitarbeiterdaten. Dies ist grundsätzlich aus wirtschaftlicher Sicht erforderlich. Allerdings ist gerade bei internationalen Datentransfers oft nur schwer zu kontrollieren, was mit den – zum Teil auch sensiblen – Daten der betroffenen Personen geschieht, insbesondere vor dem Hintergrund, dass es kein einheitliches internationales Datenschutzrecht und damit auch keine einheitlichen internationalen Datenschutzstandards gibt. Im Ausland ist ein hinreichendes Maß an Datenschutz nicht zwingend gewährleistet. Daher muss bereits vor jeder Übermittlung von personenbezogenen Daten ins Ausland geprüft werden, ob diese überhaupt datenschutzrechtlich zulässig ist (soweit deutsches Datenschutzrecht anwendbar ist). Das gilt nicht nur für Datentransfers zwischen unabhängigen Unternehmen, sondern auch für Datentransfers zwischen Unternehmen, die einem Konzern angehören, jedenfalls solange sie rechtlich selbständig sind. Es gibt insoweit kein sogenanntes Konzernprivileg. Auch für Datenübermittlungen zwischen konzernangehörigen, rechtlich selbständigen Unternehmen müssen die Anforderungen der Datenschutzvorschriften erfüllt sein.

 

Für die Zulässigkeit internationaler Datentransfers nach dem deutschen Datenschutzrecht ist somit zunächst zu klären, für welche Fälle das deutsche Datenschutzrecht überhaupt anwendbar ist (1.) und anschließend, welche Voraussetzungen an die Zulässigkeit der Übermittlung zu stellen sind (2.).

 

 

1. Anwendbarkeit des deutschen Datenschutzrechts bei grenzüberschreitenden Datentransfers

 

Die Anwendbarkeit des Bundesdatenschutzgesetzes (BDSG) setzt dessen sachliche und örtliche Anwendbarkeit voraus.  

 

 

a) Sachliche Anwendbarkeit des BDSG

 

Für nicht-öffentliche Stellen gilt das BDSG gemäß § 1 Absatz 2 Nr. 3 BDSG für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch eben diese nicht-öffentlichen Stellen, soweit sie die Daten unter Einsatz von Datenverarbeitungsanlagen verarbeiten, nutzen oder dafür erheben oder die Daten in oder aus nicht automatisierten Dateien verarbeiten, nutzen oder dafür erheben (im Bereich des Beschäftigtendatenschutzes muss keine Automatisierung vorliegen), es sei denn, die Erhebung, Verarbeitung oder Nutzung der Daten erfolgt ausschließlich für persönliche oder familiäre Tätigkeiten. Am häufigsten geht es im grenzüberschreitenden Kontext um das Übermitteln (das eine Form der Verarbeitung ist) von personenbezogenen Daten ins Ausland. Daneben ist aber auch das Erheben von Daten in Deutschland durch eine ausländische Stelle von Bedeutung.

 

Im Zusammenhang mit der Auftragsdatenverarbeitung ist zu beachten, dass ein grenzüberschreitender Datentransfer an eine Stelle innerhalb der Europäischen Union (EU) oder in einem Staat innerhalb des Geltungsbereichs des Abkommens über den Europäischen Wirtschaftsraum (EWR) zur Auftragsdatenverarbeitung keine Übermittlung im Sinne des BDSG ist, da Auftragsdatenverarbeiter in der EU oder im EWR gemäß § 3 Absatz 8 Satz 3 BDSG nicht als Dritte anzusehen sind. Damit muss ein solcher Datentransfer auch nicht nach § 4 Absatz 1 BDSG auf seine Zulässigkeit hin überprüft werden (eine wirksame Auftragsvereinbarung im Sinne von § 11 BDSG muss aber schon bestehen). Dies gilt aber nicht für Datenübertragungen an Stellen, die sich außerhalb der EU oder des EWR befinden. Dies sind Übermittlungen, die gemäß § 4 Absatz 1 BDSG einer Erlaubnisnorm bedürfen.  

 

 

b) Örtliche Anwendbarkeit des BDSG

 

Im Grundsatz gilt das Territorialitätsprinzip. Danach ist das BSDG dann anwendbar, wenn sich die verantwortliche Stelle in Deutschland befindet. So beispielsweise auch, wenn eine verantwortliche Stelle in Deutschland Daten ins Ausland transferiert. In § 1 Absatz 5 BDSG gibt es aber auch Ausnahmen vom Territorialprinzip:

 

 

ba) Keine Geltung des BDSG für verantwortliche Stellen in EU und EWR

 

Sofern sich eine verantwortliche Stelle nicht in Deutschland, sondern in einem anderen Mitgliedstaat der EU oder des EWR befindet, und diese personenbezogene Daten in Deutschland erhebt, verarbeitet oder nutzt, findet das BDSG gemäß § 1 Absatz 5 BDSG keine Anwendung. Hintergrund dieser Bestimmung ist, dass alle Staaten der EU und des EWR in den Geltungsbereich der EG-Datenschutzrichtlinie fallen und diese im jeweils geltenden nationalen Recht umzusetzen ist mit der Folge, dass in allen Staaten der EU und des EWR ein vergleichbares, angemessenes Datenschutzniveau herrscht. Das gilt aber wiederum nicht, wenn die verantwortlichen Stellen Daten durch eine Niederlassung in Deutschland erheben, verarbeiten oder nutzen. In diesem Fall ist das BDSG anwendbar. Eine Niederlassung besteht dann, wenn eine selbständige Tätigkeit auf unbestimmte Zeit und mittels einer festen Einrichtung (in Deutschland) von dieser aus tatsächlich ausgeübt wird.

 

 

bb) Geltung des BDSG für verantwortliche Stellen außerhalb der EU oder des EWR

 

Auch insoweit gilt im Grundsatz das Territorialitätsprinzip, nach dem das BDSG keine Anwendung findet, wenn die verantwortliche Stelle im Ausland belegen ist. Aber in § 1 Absatz 5 Satz 2 BDSG ist eine Ausnahme von diesem Grundsatz bestimmt:

 

Das BDSG findet Anwendung, sofern eine verantwortliche Stelle, die nicht in einem Mitgliedstaat der EU oder des EWR belegen ist, personenbezogene Daten in Deutschland erhebt, verarbeitet oder nutzt und dort auch technisch präsent ist. Hintergrund dieser Bestimmung ist, dass diese Staaten nicht in den Anwendungsbereich der EG-Datenschutzrichtlinie fallen und in diesen Staaten ein angemessenes Datenschutzniveau nicht in jedem Fall gewährleistet ist. Für die technische Präsenz ist es aber nicht erforderlich, dass ganze EDV-Systeme durch die außereuropäische Stelle in Deutschland betrieben werden. Es genügt daher beispielsweise das Installieren einer Software auf den Computern der Betroffenen, wenn die Steuerung der Datenerhebung, -verarbeitung und -nutzung der außereuropäischen Stelle obliegt (dann ist diese durch den Computer des Betroffenen technisch präsent). Auch kommt es auf die Eigentumsverhältnisse in Bezug auf die technischen Mittel nicht an, solange die außereuropäische Stelle die Steuerung der Datenerhebung, -verarbeitung oder -nutzung in der Hand hält.

 

Erfolgt dagegen nur eine Durchleitung der Daten durch Deutschland, ohne dass sie irgendwie erhoben, verarbeitet oder genutzt werden, ist gemäß § 1 Absatz 5 Satz 4 BDSG das BDSG nicht anwendbar. Dazu dürfen die Datenträger aber insbesondere auch nicht ausgelesen werden.

 

 

2. Zulässigkeit von internationalen Datentransfers

 

Die Zulässigkeit internationaler Datentransfers wird bei Anwendbarkeit des BDSG (nach den vorstehend genannten Grundsätzen) zweistufig geprüft:

 

Auf der ersten Stufe wird die Zulässigkeit der Datenverarbeitung an sich nach § 4 BDSG (a) geprüft.

 

Auf der zweiten Stufe wird als Folge der Bestimmungen in §§ 4b und 4c BDSG die Angemessenheit des Datenschutzniveaus beim Empfänger (b) geprüft. Eine Übermittlung von personenbezogenen Daten ins Ausland ist grundsätzlich nur zulässig, wenn beim Empfänger ein angemessenes Datenschutzniveau herrscht.

 

 

a) Erste Stufe – Zulässigkeit der Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten

 

Nach § 4 Absatz 1 BDSG sind die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.

 

 

aa) Einwilligung

 

Der Umgang mit und damit auch der Transfer von personenbezogenen Daten ins Ausland kann aufgrund einer Einwilligung des Betroffenen gerechtfertigt sein. Voraussetzung für eine wirksame Einwilligung ist aber gemäß § 4a BDSG, dass sie auf einer freien Entscheidung des Betroffenen beruht, d. h. sie muss freiwillig erklärt werden. Dazu muss der Betroffene umfassend informiert werden, insbesondere über die beabsichtigte Verwendung der Daten, und aufgrund dieser Kenntnisse eine freie Entscheidung treffen. Die Freiwilligkeit der Entscheidung fehlt insbesondere sehr häufig bei Einwilligungen im Rahmen eines Beschäftigungsverhältnisses. Zudem ist aufgrund eines derzeitig vorliegenden Regierungsentwurfs zu einem neuen Beschäftigtendatenschutzrecht zu erwarten, dass künftig die Zulässigkeit der Einwilligung im Beschäftigungsverhältnis stark eingeschränkt sein wird. Alleine auf die Einwilligung als Erlaubnistatbestand für Datentransfers zu setzen, ist aber ohnehin nicht empfehlenswert, da neben dem Risiko der Unwirksamkeit der Einwilligung wegen fehlender Freiwilligkeit auch noch stets der Widerruf der Einwilligung droht.

 

Daher ist es sicherer, wenn ein anderer Erlaubnistatbestand im Sinne des § 4 Absatz 1 BDSG erfüllt ist. Als solche kommen gemäß § 4 Absatz 1 BDSG sowohl andere Rechtsvorschriften als die des BDSG als auch solche des BDSG in Betracht (insbesondere §§ 28 ff. und § 32 BDSG).

 

ab) Andere Rechtsvorschrift im Sinne von § 4 Absatz 1 BDSG

 

Notwendig für die Einstufung als „andere Rechtsvorschrift“ und damit als Erlaubnisnorm für Datentransfers im Sinne von § 4 Absatz 1 BDSG ist, dass diese Rechtsvorschriften ausdrücklich den Umgang mit personenbezogenen Daten für bestimmte Zwecke vorsehen. Eine „indirekte“ Befugnis genügt nicht.  

 

Betriebsvereinbarungen sind zwar prinzipiell geeignet, den Umgang mit personenbezogenen Daten zu rechtfertigen, wenn sie das Datenschutzniveau des BDSG nicht unterschreiten, aber in Bezug auf internationale Datentransfers als Erlaubnistatbestand wohl ungeeignet, weil Betriebsvereinbarungen im Ausland nicht ohne Weiteres Geltung für sich beanspruchen können.

 

Auch der Sarbanes Oxley Act (SOX), ein US-Bundesgesetz, das als Reaktion auf die Bilanzskandale bei verschiedenen großen amerikanischen Unternehmen erlassen wurde und die Transparenz von Unternehmen auf dem amerikanischen Kapitalmarkt erhöhen soll, ist keine „andere Rechtsvorschrift“ im Sinne des § 4 Absatz 1 BDSG. Der SOX ist an Unternehmen adressiert, die auf dem US-Markt tätig sind. Damit hat er für in Deutschland handelnde verantwortliche Stellen keine Geltung.

 

 

ac) Erlaubnistatbestände nach dem BDSG

 

Als solche kommen insbesondere §§ 28 ff. BDSG (siehe „Zulässigkeit der Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten“) sowie im Beschäftigungsverhältnis § 32 BDSG in Betracht. Gerade letztere Vorschrift ist besonders relevant, da konzernangehörige, aber rechtliche eigenständige, global zusammenarbeitende Unternehmen häufig ein Interesse daran haben, Mitarbeiterdaten untereinander zu transferieren.

 

Gemäß § 32 Absatz 1 Satz 1 BDSG dürfen personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. Diese Erforderlichkeit kann zum Beispiel dann gegeben sein, wenn es bei einem Beschäftigten, der bei verschiedenen konzernangehörigen Unternehmen – im In- und Ausland – eingesetzt werden soll, notwendig ist, seine Daten an das jeweils andere konzernangehörige Unternehmen im Ausland weiterzuleiten.

 

 

b) Zweite Stufe – angemessenes Datenschutzniveau beim Empfänger

 

Auf der zweiten Stufe der Prüfung der Zulässigkeit einer Datenübermittlung ins Ausland ist zu klären, ob beim Empfänger der zu übermittelnden Daten ein angemessenes Datenschutzniveau herrscht. Diese nach § 4b Absatz 2 BDSG notwendige Überprüfung im Vorfeld der Übermittlung ist der einzige Weg, sicherzustellen, dass beim Empfänger ein Datenschutzniveau nach EG- bzw. EWR-Maßstäben herrscht. Sind die Daten erst nämlich einmal übermittelt, ist das deutsche Datenschutzrecht entweder nicht mehr anwendbar oder zumindest weitgehend wirkungslos.

 

Gemäß § 4 Absatz 3 BDSG wird die Angemessenheit des Schutzniveaus unter Berücksichtigung aller Umstände beurteilt, die bei einer Datenübermittlung oder einer Kategorie von Datenübermittlungen von Bedeutung sind; insbesondere können die Art der Daten, die Zweckbestimmung, die Dauer der geplanten Verarbeitung, das Herkunfts- und das Endbestimmungsland, die für den betreffenden Empfänger geltenden Rechtsnormen sowie die für ihn geltenden Standesregeln und Sicherheitsmaßnahmen herangezogen werden.

 

Bei der Überprüfung der Angemessenheit des Schutzniveaus kommen somit im Prinzip zwei Methoden, das Datenschutzniveau zu prüfen, zur Anwendung.

 

Zum einen wird danach gefragt, ob der Staat, in dem sich der Empfänger befindet, durch seine Datenschutzgesetze ein angemessenes Datenschutzniveau gewährleistet (aa). Ist dies so, kann ohne Weiteres davon ausgegangen werden, dass beim Empfänger auch ein ausreichendes Schutzniveau vorzufinden ist, da dieser zur Einhaltung der Datenschutzgesetze verpflichtet ist.

 

Zum anderen gibt es die Situation, in der sich der Empfänger in einem Staat befindet, in dem kein angemessenes Schutzniveau herrscht, beispielsweise weil kein oder kein einheitliches Datenschutzrecht besteht. In einem solchen Fall wird nicht das Datenschutzniveau des Ziellandes, sondern das der empfangenden Stelle überprüft (bb).

 

 

ba) Angemessenes Datenschutzniveau des Ziellandes

 

Hier ist zu unterscheiden, ob die Datenübermittlung in ein Land innerhalb oder außerhalb der EU oder des EWR erfolgt.

 

Bei einer Übermittlung in ein EU- oder EWR-Land, bedarf es gar keiner Angemessenheitsprüfung. Denn hierbei geht der Gesetzgeber bereits vom Bestehen eines angemessenen Datenschutzniveaus aus, da es schon durch dort bestehende Geltung der EG-Datenschutzrichtlinie gewährleistet ist. Die Angemessenheit des Schutzniveaus ist also grundsätzlich nur dann zu prüfen, wenn personenbezogene Daten ins Nicht-EU- oder Nicht-EWR-Ausland übermittelt werden (in sogenannte Drittländer).

 

Die Übermittlung in solche Drittländer ist grundsätzlich zulässig, wenn dort durch einheitliche Datenschutzgesetze ein angemessenes Datenschutzniveau, das dem der  EG-Datenschutzrichtlinie entspricht, gewährleistet ist. Zur Erleichterung der Beurteilung des Schutzniveaus hat die Europäische Kommission für bestimmte Staaten allgemein wirksam festgestellt, dass dort ein angemessenes Datenschutzniveau gewährleistet ist, und diese Staaten in die sogenannte „Weißliste“ aufgenommen. Bei diesen Staaten kann von einer Angemessenheit des Schutzniveaus ohne weitere Nachprüfung ausgegangen werden.

 

 

bb) Kein angemessenes Schutzniveau des Ziellandes, aber beim Empfänger

 

Sollte im Zielland kein angemessenes Datenschutzniveau gewährleistet sein, kann eine Übermittlung von personenbezogenen Daten in solche Länder dennoch zulässig sein, wenn sichergestellt ist, dass beim Empfänger ein angemessenes Datenschutzniveau herrscht. Dieses lässt sich dabei auf verschiedene Weisen herstellen:

 

 

(1) Aufnahme in die Safe-Harbor-Liste

 

Vor dem Hintergrund, dass die USA ein durchgehendes angemessenes Datenschutzniveau mangels einheitlicher Datenschutzgesetze nicht gewährleisten können, hat die Europäische Kommission mit den USA eine Vereinbarung getroffen, nach der bestimmte Datenschutzprinzipien aufgestellt wurden, die den Mindeststandards aus europäischer Sicht entsprechen und denen sich Unternehmen im Wege der Selbstverpflichtung unterwerfen können. Diese Unternehmen werden dann in ein Register aufgenommen, die sogenannte Safe-Harbor-Liste. Bei Unternehmen, die in dieser Liste geführt sind, kann von einer Angemessenheit des Datenschutzniveaus ausgegangen werden, auch wenn sie sich in einem Zielland befinden, das solche Mindeststandards im Datenschutz nicht gewährleistet.

 

Dennoch ist diese Safe-Harbor-Liste im Wesentlichen aus zwei Gründen nicht unumstritten. Zum einen wird kritisiert, dass die Unterwerfung unter die Prinzipien der Safe-Harbor-Vereinbarung lediglich eine Selbstverpflichtung ist und somit die Einhaltung dieser Vorschriften nicht hoheitlich überwacht wird, mit der Folge, dass wohl tatsächlich zahlreiche in der Safe-Harbor-Liste geführte Unternehmen die notwendigen Mindeststandards nicht einhalten. Zum anderen ist die Safe-Harbor-Liste nur von eingeschränktem Nutzen, da sich nur Unternehmen registrieren lassen können, die unter die Zuständigkeit der U.S. Federal Trade Commission oder des U.S. Departement of Commerce fallen (Banken und Finanzdienstleister sind damit von einer Registrierung ausgeschlossen).

 

 

(2) Verwendung von Standardvertragsklauseln der Europäischen Kommission

 

Die Europäische Kommission hat bestimmte Standardvertragsklauseln erlassen, in denen Verpflichtungen enthalten sind, die ein angemessenes Datenschutzniveau sicherstellen. Bei der Übermittlung von Daten an eine Stelle in einem Land ohne angemessenes Datenschutzniveau können die übermittelnde und die empfangende Stelle in ihre Vereinbarungen diese Standardvertragsklauseln einbeziehen. Damit stellen sie ein angemessenes Datenschutzniveau beim Empfänger her. Es ist dabei anzuraten, diese Klauseln unverändert zu übernehmen, da eine Änderung der Standardvertragsklauseln nur in sehr engen (und vor allem unsicheren) Grenzen möglich ist, ohne das angemessene Datenschutzniveau zu gefährden. Bisher wurden Standardvertragsklauseln für die Übermittlung an verantwortliche Stellen in Drittländern (Standardverträge I und II) und für die Übermittlung an Auftragsdatenverarbeiter in Drittländern erlassen.

 

 

bc) Kein angemessenes Datenschutzniveau beim Empfänger

 

Auch wenn der Empfänger ein angemessenes Datenschutzniveau nicht generell gewährleisten kann, ist eine Übermittlung von personenbezogenen Daten in bestimmten Fällen unter den Voraussetzungen des § 4c BDSG möglich:

 

 

(1) Einwilligung   

           

Gemäß § 4c Absatz 1 Nr. 1 BDSG kann der Betroffene in eine internationale Übermittlung seiner personenbezogenen Daten einwilligen. Eine Einwilligung in die Datenerhebung, -verarbeitung oder -zulässigkeit auf der ersten Stufe (insbesondere in die Übermittlung generell) kann sich auch auf der zweiten Stufe auswirken. Willigt der Betroffene auf der ersten Stufe in die Übermittlung seiner Daten ein, kommt es auf die Angemessenheit des Datenschutzniveaus beim Empfänger nicht mehr an. Dies gilt aber natürlich nur dann, wenn der Betroffene auch umfassend nicht nur über den Übermittlungsvorgang selbst, sondern auch gerade über die Risiken einer Datenübermittlung ins Empfangslandinformiert wurde, da die Einwilligung andernfalls unwirksam ist. Der Betroffene muss die Risiken kennen und in seine Entscheidung einbeziehen können. Es ist aber aus bereits oben genannten Gründen nicht empfehlenswert, eine Datenübermittlung an einen Empfänger ohne angemessenes Datenschutzniveau alleine auf eine Einwilligung zu stützen. Zu groß ist das Risiko für die übermittelnde Stelle, dass die Einwilligung nicht wirksam ist (insbesondere wenn sie nicht freiwillig erklärt wurde) oder widerrufen wird.

 

 

(2) Zulässigkeit der Übermittlung trotz fehlenden angemessenen Schutzniveaus in den Fällen des § 4c Absatz 1 BDSG

 

Diese Vorschrift lässt ausnahmsweise – neben der Einwilligung – in bestimmten Situationen  im Einzelfall die Übermittlung von personenbezogenen Daten in Drittstaaten zu, ohne dass beim Empfänger ein angemessenes Datenschutzniveau gewährleistet ist. Den dort genannten Fällen ist gemeinsam, dass der Betroffene weniger schutzwürdig ist, entweder weil die Übermittlung in seinem Interesse ist oder im vorrangigen der Öffentlichkeit.

 

 

(3) Genehmigung durch die Aufsichtsbehörde

 

Gemäß § 4 Absatz 2 Satz 1 BDSG kann die zuständige Aufsichtsbehörde einzelne Übermittlungen oder bestimmte Arten von Übermittlungen personenbezogener Daten an Stellen in Drittstaaten genehmigen, wenn die verantwortliche Stelle ausreichende Garantien hinsichtlich des Schutzes des Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte vorweist. Dabei können die Garantien sich insbesondere aus Vertragsklauseln oder verbindlichen Unternehmensregelungen, sogenannte „Binding Corporate Rules“ (BCR) ergeben.

 

.

Copyright Institut für Datenschutz und -Sicherheit GmbH (IfDuS) – Lars Beitlich