Europäischer Datenschutzausschuss: Wann liegt eine Drittlandsübermittlung vor?

Stefan Hessel

Wann liegt eine Drittlandsübermittlung vor? Diese Frage ist insbesondere seit der "Schrems II "-Entscheidung des Europäischen Gerichtshofs (EuGH) von Relevanz. Mit seinem Urteil hatte dieser im Juli 2020 das "EU-US Privacy Shield" für ungültig erklärt und damit die Übermittlung von Daten in die USA – welche nicht zuletzt aufgrund zahlreicher dort angesiedelter Internetkonzerne besonders relevant ist – erheblich erschwert. Mangels Angemessenheitsbeschluss können Daten seitdem nur noch mit geeigneten Garantien gem. Art. 46 DSGVO in die USA übermittelt werden. Dies sind insbesondere Standardvertragsklauseln und Binding Corporate Rules.

Vor diesem Hintergrund hat die Qualifizierung einer Datenverarbeitung als Drittlandsübermittlung enorm an Bedeutung gewonnen, da der Ausschluss einer Drittlandsübermittlung für viele Verantwortliche ein probates Mittel ist, um die Durchführung eines Transfer Impact Assessments und die damit verbundene Rechtsunsicherheit zu vermeiden.

Doch nicht erst seit "Schrems II" stellt sich die Frage, was genau unter einer Drittlandsübermittlung zu verstehen ist, denn in der DSGVO findet sich weder für den Begriff des Drittlands noch für den Begriff der Datenübermittlung eine Legaldefinition. Hier versucht der Europäische Datenschutzausschuss (EDSA) mit seinen kürzlich veröffentlichten "Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR"  Licht ins Dunkel zu bringen.

Drei Kriterien für eine Drittlandsübermittlung

Zu Beginn der Guidelines nennt der EDSA drei Kriterien für eine Drittlandsübermittlung, die kumulativ vorliegen müssen:

1. Ein Verantwortlicher oder ein Auftragsverarbeiter, der an der Verarbeitung beteiligt ist, unterliegt der DSGVO.

2. Der an der Verarbeitung beteiligte Verantwortliche oder Auftragsverarbeiter ("Exporteur") gibt die personenbezogenen Daten durch Übermittlung oder auf andere Weise (z.B. durch Zugänglichmachung) an einen anderen Verantwortlichen, gemeinsamen Verantwortlichen oder Auftragsverarbeiter weiter ("Importeur").

3. Der Importeur befindet sich in einem Drittland oder ist eine internationale Organisation. Dabei kommt es nicht darauf an, ob der Importeur von Art. 3 DSGVO erfasst ist.

Nicht als Drittlandsübermittlung können nach Auffassung des EDSA die folgenden Konstellationen gewertet werden:

  • Eine direkte Übermittlung durch die betroffene Person an einen Empfänger im Drittland, da die Daten nicht von einem Exporteur (Verantwortlicher oder Auftragsverarbeiter) sondern auf eigene Initiative von der betroffenen Person selbst weitergegeben werden.
  • Der Remote-Zugriff eines Mitarbeiters eines Unternehmens innerhalb des EWR von außerhalb der EU.

Hingegen stellen die folgenden Konstellationen nach Auffassung des EDSA eine Drittlandsübermittlung dar:

  • Die Übermittlung von personenbezogenen Daten eines Verantwortlichen innerhalb der EU an einen Auftragsverarbeiter außerhalb der EU.
  • Die Übermittlung von personenbezogenen Daten eines Verantwortlichen außerhalb der EU an einen Auftragsverarbeiter innerhalb der EU, der die Daten anschließend wieder an den Verantwortlichen übermittelt. Da der Verantwortliche in einem Drittland ist, wird die Weitergabe von Daten vom Auftragsverarbeiter an den Verantwortlichen als eine Übermittlung personenbezogener Daten betrachtet.
  • Die Übermittlung von personenbezogenen Daten von einem Auftragsverarbeiter innerhalb der EU an einen Unterauftragsverarbeiter außerhalb der EU.
  • Die interne Weitergabe von personenbezogenen Daten von einer Tochtergesellschaft innerhalb der EU als Verantwortlichem an die Muttergesellschaft außerhalb der EU als Auftragsverarbeiter, beispielsweise zur Speicherung von Daten von Mitarbeitern in der Personaldatenbank.

Als Beispiel für die dritte Voraussetzung nennt der EDSA den Fall eines Auftragsverarbeiters innerhalb der EU, welcher für einen Verantwortlichen ohne Niederlassung in der EU Daten verarbeitet und diese an den Verantwortlichen weiterleitet. Auch wenn auf beide Verarbeitungsvorgänge die DSGVO gem. Art. 3 Abs. 1 und 2 DSGVO Anwendung findet, wird die Weitergabe von Daten von dem Auftragsverarbeiter an den Verantwortlichen – da sich dieser in einem Drittland befindet – als Übermittlung in ein Drittland angesehen.

Weiterhin offene Fragen

Trotz dieser Präzisierungen bleiben einige in der Praxis diskutierte Fragen offen: So ist beispielsweise bemerkenswert, dass sich der EDSA nicht weiter mit der Frage beschäftigt, wann sich ein Importeur in einem Drittland befindet bzw. wann eine Zugänglichmachung in ein Drittland vorliegt. Der vielzitierte US-amerikanische "CLOUD ACT" und mögliche Durchgriffsrechte von US-Mutterkonzernen auf europäische Niederlassungen und Tochterunternehmen scheinen für den EDSA an dieser Stelle offenbar nicht erwähnenswert. Dies könnte ein Indikator dafür sein, dass der EDSA diese Fragen entspannter sieht als manche nationale Aufsichtsbehörde.

[Dezember 2021]