Ob Google, Shopify oder Facebook: Viele der Anbieter von Tools oder Dienstleistungen, mit denen Online-Händler arbeiten, haben ihren Hauptsitz außerhalb der EU. Was ist zu beachten, wenn im Rahmen dieser Zusammenarbeit personenbezogene Daten der Nutzer an den Dienstleister übertragen werden? Welche Veränderungen ergeben sich durch den Start der Datenschutzgrundverordnung?

Heutige Rechtslage

Es mag auf den ersten Blick ungewöhnlich erscheinen, dennoch ist die Übermittlung personenbezogener Daten an einen Dienstleister in einem sog. Drittland auch für einen Onlineshop häufig ein Thema. Viele Anbieter gängiger Tools sitzen nicht innerhalb des Geltungsbereichs des europäischen Datenschutzrechts. Ein Drittland in diesem Sinne ist dabei jedes Land außerhalb der Mitgliedstaaten der Europäischen Union sowie der Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum.

Im Bundesdatenschutzgesetz (BDSG) ist dieser Fall in § 4 b BDSG geregelt. Demnach ist die Weitergabe personenbezogener Daten an einen Dritten oder Auftragnehmer mit Sitz in einem Drittstaat nicht zulässig, wenn der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat. Dieses liegt insbesondere vor, wenn bei der empfangenden Stelle ein angemessenes Datenschutzniveau nicht gewährleistet ist.

Letztlich ist die Zulässigkeit daher anhand der Frage zu beurteilen, ob ein angemessenes Datenschutzniveau vorhanden ist.

Vorliegen eines angemessenen Datenschutzniveaus

Dies ist unter Berücksichtigung aller Umstände zu bestimmen. Die Europäische Kommission ist ermächtigt, ein solches Datenschutzniveau durch Beschluss festzustellen. Dies hat sie für einige Länder vollständig oder bezogen auf einzelne Bereiche bereits getan. Hierzu gehört zum Beispiel der Beschluss, der auf das sogenannte EU – US Privacy Shield referenziert.

Daneben sieht § 4 c BDSG Ausnahmen vor, bei denen eine Übermittlung auch ohne angemessenes Datenschutzniveau zulässig ist. Diese werden in der Praxis häufig herangezogen. Besonders relevant sind dabei folgende Alternativen:

  • Es liegt eine Einwilligung des Betroffenen vor.
  • Die Übermittlung erfolgt zur Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen, die der Betroffene veranlasst hat (z.B. bei Buchung einer Flugreise)
  • Es handelt sich um eine Übermittlung zwischen Unternehmen innerhalb eines Konzerns, der sich verbindlichen Unternehmensregelungen (Binding Corporate Rules) unterworfen hat, die von der zuständigen Aufsichtsbehörde nach § 4 c Abs. 2 Satz 1 BDSG genehmigt wurden.
  • Die Übermittlung unterliegt einer gemeinsamen vertraglichen Regelung, die von der zuständigen Aufsichtsbehörde als ausreichend genehmigt wurde. Ein Unterfall dieser Ausnahme sind die Standardvertragsklauseln, die von der Europäischen Kommission mit einem Beschluss zur Verfügung gestellt wurden. Soweit unverändert eingesetzt, ist bei ihrer Vereinbarung keine Genehmigung der zuständigen Aufsichtsbehörde erforderlich.

Änderungen durch die Datenschutzgrundverordnung?

Im Rahmen der Datenschutzgrundverordnung ist der Übermittlung personenbezogener Daten in Drittstaaten ein ganzer Abschnitt gewidmet. In den Artikeln 44 ff. DSGVO ist die Zulässigkeit des Datentransfers in Länder außerhalb der EU, bzw. des EWR geregelt.

Art. 44 DSGVO leitet den Abschnitt ein und stellt zunächst klar, dass eine Übermittlung von Daten in Drittstaaten nur unter Einhaltung der in den folgenden Artikeln festgehaltenen Vorgaben zulässig ist. Diese Artikel sehen eine Reihe von Möglichkeiten zur Rechtmäßigkeit eines Datentransfers vor:

  • Feststellung eines angemessenen Datenschutzniveaus durch die Kommission, Art. 45 DSGVO
  • Vorhandensein geeigneter Garantien zur Einhaltung eines angemessenen Datenschutzniveaus, wie z.B. verbindliche Unternehmensregelungen oder Standardvertragsklauseln.
  • Ausnahmereglungen, wann eine Übermittlung trotz Mangel eines angemessenen Datenschutzniveaus rechtmäßig sein kann – zum Beispiel bei ausdrücklicher Einwilligung der betroffenen Person.

Neu ist, dass auch eine durch die Aufsichtsbehörden entsprechend anerkannte Zertifizierung als geeignete Garantie zur Einhaltung eines angemessenen Datenschutzniveaus herangezogen werden kann. Alles in allem ergeben sich jedoch keine umfassenden Änderungen durch die Datenschutzgrundverordnung im Bereich des Datentransfers in Drittstaaten.

Was gilt für Übermittlungen nach bisheriger Rechtslage?

Nichtsdestotrotz stellt sich die Frage, was für fortlaufende Datentransfers in Drittstaaten gilt, die sich auf bisherige Entscheidungen der Kommission zum angemessenen Datenschutzniveau stützen.

Hierzu liefert Art. 45 Abs. 9 die Antwort: Entscheidungen der Kommission bleiben in Kraft, bis sie durch die Kommission selbst geändert, ersetzt oder aufgehoben werden.

Fazit

Im Hinblick auf die Zulässigkeit einer Übermittlung personenbezogener Daten in Drittstaaten ändert sich mit dem Start der Datenschutzgrundverordnung am 25.05.2018 nicht allzu viel. Neu ist die Möglichkeit der Anerkennung von Zertifikaten als geeignete Garantie eines angemessenen Datenschutzniveaus durch die Aufsichtsbehörden.

Bisherige Kommissionsentscheidungen bleiben zunächst weiterbestehen, bis die Kommission erneut über sie entscheidet.

Unser Tipp: Nutzen Sie die Datenschutzgrundverordnung trotzdem als Anlass, um zu überprüfen, wohin personenbezogene Daten übermittelt werden und ob die Zulässigkeitsvoraussetzungen hierfür gegeben sind.

Bildnachweis: Bloomicon/shutterstock.com