Header graphic for print
Datenschutz News & Trends
Rubrik: Datenschutz Allgemein, Datenschutz International, Datensicherheit

Beschluss des Düsseldorfer Kreises zum Datentransfer in Drittstaaten

 

Mit einem Beschluss vom 11./12. September 2013 hat sich der
Düsseldorfer Kreis zu den Voraussetzungen einer Datenübermittlung
in Drittstaaten geäußert und das  in der Praxis  seit langem gängige
Modell einer zweistufigen Prüfung bestätigt.

Der Düsseldorfer Kreis

Bei dem Düsseldorfer Kreis handelt es sich um einen Zusammenschluss der Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Gremium in der Konferenz der Datenschutzbeauftragten des Bundes und der Länder), der zweimal im Jahr zu unterschiedlichen Themen gemeinsame Standpunkte formuliert und die Ergebnisse in gemeinsamen Arbeitspapieren oder Beschlüssen veröffentlicht (hier abrufbar). Auch wenn die Beschlüsse für die einzelnen Aufsichtsbehörden nicht bindend sind, gibt der Düsseldorfer Kreis maßgebliche Empfehlungen und Richtlinien für eine datenschutzkonforme Umsetzung von Maßnahmen und automatisierte Datenverarbeitungssysteme vor.

Zwei-Stufen-Prüfung bei internationalen Datentransfers

Nach dem jüngsten Beschluss des Düsseldorfer Kreises ist für Datenübermittlungen in einen Drittstaat (Zielstaat außerhalb der Europäischen Union und des Europäischen Wirtschaftsraums) eine zweistufige Prüfung erforderlich.

Stufe 1: Erlaubnistatbestand oder Einwilligung?

Auf der ersten Stufe ist zu prüfen, ob ein gesetzlicher Erlaubnistatbestand für die Datenübermittlung vorliegt oder ob die betroffenen Datensubjekte eine Einwilligung für die Datenübermittlung erteilt haben. Hierin kommt der im Datenschutzrecht verankerte Grundsatz des „Verbots mit Erlaubnisvorbehalt“ (vgl. § 4 Abs. 1 BDSG) zum Ausdruck.

Als Rechtfertigungstatbestände kommen insbesondere die §§ 28 ff. BDSG (z.B. bei der Übermittlung von Kundendaten) oder § 32 BDSG (etwa für Beschäftigtendaten) in Betracht.

Mit seinem jüngsten Beschluss vom 11./12. September 2013 weist der Düsseldorfer Kreis ausdrücklich darauf hin, dass auch für den Fall einer Auftragsdatenverarbeitung im Sinne von § 11 BDSG die Datenübermittlung gemäß § 4 Abs. 1 BDSG zulässig sein muss (gerechtfertigt durch eine Erlaubnisnorm oder gedeckt von einer Einwilligung). Auch in diesem Fall werden Daten an einen „Dritten“ im Sinne des BDSG übermittelt und damit „verarbeitet“, vgl. § 3 Abs.4 Nr. 3, Abs. 8 BDSG.

Stufe 2: Angemessenes Datenschutzniveau?

Auf der zweiten Stufe ist anschließend zu prüfen, ob in dem Drittstaat des Datenempfängers ein angemessenes Datenschutzniveau besteht oder ob die Ausnahmen nach § 4c BDSG vorliegen.

Mit seinem Beschluss vom 11./12. September 2013 unterstreicht der Düsseldorfer Kreis, dass eine Datenübermittlung in Drittstaaten nur dann datenschutzrechtlich unbedenklich ist, wenn für beide Stufen ein positives Prüfungsergebnis vorliegt.

Datenübermittlung in EU-Mitgliedsstaaten und Staaten des EWR

Für den Datentransfer in Mitgliedstaaten der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) hat der Beschluss des Düsseldorfer Kreises keine besondere Bedeutung. Hier bleibt es bei dem Grundsatz, dass von dem Vorliegen eines ausreichenden Datenschutzniveaus automatisch ausgegangen wird, wenn der Datenempfänger seinen Sitz in einem Mitgliedsstaat der EU oder des EWR hat, vgl. § 4b BDSG.

Angemessenes Datenschutzniveau in Drittstaaten

Für die Prüfung eines angemessenen Datenschutzniveaus in Drittstaaten haben sich unabhängig von dem aktuellen Beschluss des Düsseldorfer Kreises unterschiedliche Instrumente in der Praxis durchgesetzt, mit denen die verantwortliche Stelle sicherstellen kann, dass ein angemessenes Datenschutzniveau im Drittstaat vorliegt. Hierzu gehören

  • die EU-Standardklauseln (Beschluss der Kommission vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern, ABl. L 39/5 vom 12. Februar 2010) in gleicher Weise wie
  • die Safe Harbor–Prinzipien (eine Liste der nach dem Safe Harbor-Prinzip zertifizierten Unternehmen veröffentlicht das U.S. Department of Commerce hier) für Datenempfänger mit Sitz in den Vereinigten Staaten von Amerika sowie
  • die Einführung von Binding Corporate Rules in Unternehmen, insbesondere international operierenden Konzernen.

Hierzu ist anzumerken, dass auch die Safe Harbor-Regeln unverändert einen Datentransfer in die Vereinigten Staaten von Amerika rechtfertigen. Unlängst sind hieran öffentlich Zweifel publiziert worden, nachdem die Konferenz der Datenschutzbeauftragten in einer Pressemitteilung die Konferenz die Europäische Kommission aufgefordert hatte, ihre Entscheidungen zu Safe Harbor und zu den Standardverträgen vor dem Hintergrund der exzessiven Überwachungstätigkeit ausländischer Geheimdienste bis auf Weiteres zu suspendieren (Pressemitteilung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 24. Juli 2013). Anlass hierfür waren die in diesem Jahr öffentlich gewordenen Überwachungstätigkeiten ausländischer Geheimdienste, insbesondere der US-amerikanischen National Security Agency (NSA).

Ungeachtet dieser Forderung der deutschen Aufsichtsbehörden gilt die Entscheidung der Kommission vom 26. Juli 2000 über die Angemessenheit des von den Grundsätzen des „sicheren Hafens“ gewährleisteten Schutzes (ABl. 2000 L 215, Seite 7) unverändert.

Gegenstand einer Datenübermittlung

Der aktuelle Beschluss des Düsseldorfer Kreises ist ebenso wie die in der Praxis entwickelten Instrumente für zahlreiche Anwendungsfälle länderübergreifender Datennutzungen von Bedeutung. Hierbei ist zu berücksichtigen, dass unter den Begriff der „Datenübermittlung“ auch der bloße Zugriff auf Daten fällt. Nicht immer ist also erforderlich, dass ein physikalischer Transfer von Datenpaketen erfolgt.

Vielmehr sind Fragen eines datenschutzkonformen Verhaltens in unzähligen Konstellationen von Bedeutung, etwa bei der Übermittlung oder dem konzerninternen Zugriff auf Kundendaten, Mitarbeiterdaten, zentrale Datenbanken (CRM-Systeme) oder Daten, die für das Marketing verwendet werden.

Um Verstöße, Sanktionen und aufwändige und langwierige Verfahren bei den zuständigen Datenschutzbehörden zu vermeiden, empfiehlt sich im Zweifelsfall eine eingehende Prüfung des geplanten Datentransfers und der beabsichtigten Zwecke.

Diese Webseite verwendet Cookies. Wenn Sie diese Webseite nutzen, akzeptieren Sie die Verwendung von Cookies. Mehr erfahren

Ich stimme zu