Euro­päi­scher Daten­schutz­aus­schuss: Wann liegt eine Dritt­lands­über­mitt­lung vor?

Wann liegt eine Dritt­lands­über­mitt­lung vor? Die­se Fra­ge ist ins­be­son­de­re seit der “Schrems II “-Ent­schei­dung des Euro­päi­schen Gerichts­hofs (EuGH) von Rele­vanz. Mit sei­nem Urteil hat­te die­ser im Juli 2020 das “EU-US Pri­va­cy Shield” für ungül­tig erklärt und damit die Über­mitt­lung von Daten in die USA – wel­che nicht zuletzt auf­grund zahl­rei­cher dort ange­sie­del­ter Inter­net­kon­zer­ne beson­ders rele­vant ist – erheb­lich erschwert. Man­gels Ange­mes­sen­heits­be­schluss kön­nen Daten seit­dem nur noch mit geeig­ne­ten Garan­tien gem. Art. 46 DSGVO in die USA über­mit­telt wer­den. Dies sind ins­be­son­de­re Stan­dard­ver­trags­klau­seln und Bin­ding Cor­po­ra­te Rules.

Vor die­sem Hin­ter­grund hat die Qua­li­fi­zie­rung einer Daten­ver­ar­bei­tung als Dritt­lands­über­mitt­lung enorm an Bedeu­tung gewon­nen, da der Aus­schluss einer Dritt­lands­über­mitt­lung für vie­le Ver­ant­wort­li­che ein pro­ba­tes Mit­tel ist, um die Durch­füh­rung eines Trans­fer Impact Assess­ments und die damit ver­bun­de­ne Rechts­un­si­cher­heit zu vermeiden.

Doch nicht erst seit “Schrems II” stellt sich die Fra­ge, was genau unter einer Dritt­lands­über­mitt­lung zu ver­ste­hen ist, denn in der DSGVO fin­det sich weder für den Begriff des Dritt­lands noch für den Begriff der Daten­über­mitt­lung eine Legal­de­fi­ni­ti­on. Hier ver­sucht der Euro­päi­sche Daten­schutz­aus­schuss (EDSA) mit sei­nen kürz­lich ver­öf­fent­lich­ten “Gui­de­li­nes 05/2021 on the Inter­play bet­ween the app­li­ca­ti­on of Arti­cle 3 and the pro­vi­si­ons on inter­na­tio­nal trans­fers as per Chap­ter V of the GDPR”  Licht ins Dun­kel zu bringen.

Drei Kri­te­ri­en für eine Drittlandsübermittlung

Zu Beginn der Gui­de­li­nes nennt der EDSA drei Kri­te­ri­en für eine Dritt­lands­über­mitt­lung, die kumu­la­tiv vor­lie­gen müssen:

1. Ein Ver­ant­wort­li­cher oder ein Auf­trags­ver­ar­bei­ter, der an der Ver­ar­bei­tung betei­ligt ist, unter­liegt der DSGVO.

2. Der an der Ver­ar­bei­tung betei­lig­te Ver­ant­wort­li­che oder Auf­trags­ver­ar­bei­ter (“Expor­teur”) gibt die per­so­nen­be­zo­ge­nen Daten durch Über­mitt­lung oder auf ande­re Wei­se (z.B. durch Zugäng­lich­ma­chung) an einen ande­ren Ver­ant­wort­li­chen, gemein­sa­men Ver­ant­wort­li­chen oder Auf­trags­ver­ar­bei­ter wei­ter (“Impor­teur”).

3. Der Impor­teur befin­det sich in einem Dritt­land oder ist eine inter­na­tio­na­le Orga­ni­sa­ti­on. Dabei kommt es nicht dar­auf an, ob der Impor­teur von Art. 3 DSGVO erfasst ist.

Nicht als Dritt­lands­über­mitt­lung kön­nen nach Auf­fas­sung des EDSA die fol­gen­den Kon­stel­la­tio­nen gewer­tet werden:

  • Eine direk­te Über­mitt­lung durch die betrof­fe­ne Per­son an einen Emp­fän­ger im Dritt­land, da die Daten nicht von einem Expor­teur (Ver­ant­wort­li­cher oder Auf­trags­ver­ar­bei­ter) son­dern auf eige­ne Initia­ti­ve von der betrof­fe­nen Per­son selbst wei­ter­ge­ge­ben werden.
  • Der Remote-Zugriff eines Mit­ar­bei­ters eines Unter­neh­mens inner­halb des EWR von außer­halb der EU.

Hin­ge­gen stel­len die fol­gen­den Kon­stel­la­tio­nen nach Auf­fas­sung des EDSA eine Dritt­lands­über­mitt­lung dar:

  • Die Über­mitt­lung von per­so­nen­be­zo­ge­nen Daten eines Ver­ant­wort­li­chen inner­halb der EU an einen Auf­trags­ver­ar­bei­ter außer­halb der EU.
  • Die Über­mitt­lung von per­so­nen­be­zo­ge­nen Daten eines Ver­ant­wort­li­chen außer­halb der EU an einen Auf­trags­ver­ar­bei­ter inner­halb der EU, der die Daten anschlie­ßend wie­der an den Ver­ant­wort­li­chen über­mit­telt. Da der Ver­ant­wort­li­che in einem Dritt­land ist, wird die Wei­ter­ga­be von Daten vom Auf­trags­ver­ar­bei­ter an den Ver­ant­wort­li­chen als eine Über­mitt­lung per­so­nen­be­zo­ge­ner Daten betrachtet.
  • Die Über­mitt­lung von per­so­nen­be­zo­ge­nen Daten von einem Auf­trags­ver­ar­bei­ter inner­halb der EU an einen Unter­auf­trags­ver­ar­bei­ter außer­halb der EU.
  • Die inter­ne Wei­ter­ga­be von per­so­nen­be­zo­ge­nen Daten von einer Toch­ter­ge­sell­schaft inner­halb der EU als Ver­ant­wort­li­chem an die Mut­ter­ge­sell­schaft außer­halb der EU als Auf­trags­ver­ar­bei­ter, bei­spiels­wei­se zur Spei­che­rung von Daten von Mit­ar­bei­tern in der Personaldatenbank.

Als Bei­spiel für die drit­te Vor­aus­set­zung nennt der EDSA den Fall eines Auf­trags­ver­ar­bei­ters inner­halb der EU, wel­cher für einen Ver­ant­wort­li­chen ohne Nie­der­las­sung in der EU Daten ver­ar­bei­tet und die­se an den Ver­ant­wort­li­chen wei­ter­lei­tet. Auch wenn auf bei­de Ver­ar­bei­tungs­vor­gän­ge die DSGVO gem. Art. 3 Abs. 1 und 2 DSGVO Anwen­dung fin­det, wird die Wei­ter­ga­be von Daten von dem Auf­trags­ver­ar­bei­ter an den Ver­ant­wort­li­chen – da sich die­ser in einem Dritt­land befin­det – als Über­mitt­lung in ein Dritt­land angesehen.

Wei­ter­hin offe­ne Fragen

Trotz die­ser Prä­zi­sie­run­gen blei­ben eini­ge in der Pra­xis dis­ku­tier­te Fra­gen offen: So ist bei­spiels­wei­se bemer­kens­wert, dass sich der EDSA nicht wei­ter mit der Fra­ge beschäf­tigt, wann sich ein Impor­teur in einem Dritt­land befin­det bzw. wann eine Zugäng­lich­ma­chung in ein Dritt­land vor­liegt. Der viel­zi­tier­te US-amerikanische “CLOUD ACT” und mög­li­che Durch­griffs­rech­te von US-Mutterkonzernen auf euro­päi­sche Nie­der­las­sun­gen und Toch­ter­un­ter­neh­men schei­nen für den EDSA an die­ser Stel­le offen­bar nicht erwäh­nens­wert. Dies könn­te ein Indi­ka­tor dafür sein, dass der EDSA die­se Fra­gen ent­spann­ter sieht als man­che natio­na­le Aufsichtsbehörde.

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.