Liebe Leserinnen und liebe Leser,
15 Monate nach Beginn der öffentlichen Konsultation hat der Europäische Datenschutzausschuss (EDSA, engl: EDPB) Leitlinien über das Zusammenspiel zwischen dem räumlichen Anwendungsbereich der DSGVO und Bestimmungen über internationale Übermittlungen gemäß Kapitel V der DSGVO veröffentlicht. Die interessierten Leserinnen und Leser meines Blog stellen sich nun die Frage, wieso ich darüber schreibe. Sonst informiere ich doch eher über praxisnahe Themen und handhabbaren Datenschutz. Tatsächlich richtet sich dieser Beitrag eher an andere Datenschutzbeauftragte, denen ich hiermit ans Herz lege, sich mit diesen Leitlinien zu beschäftigen. Denn die DSGVO hält keine Legaldefinition des Begriffs "Übermittlung personenbezogener Daten an ein Drittland oder an eine internationale Organisation" bereit. Auch sind hierzu bisher kaum Grundsatzurteile (case law) gesprochen worden. Diese Lücke möchten - mit Praxisbeispielen und Illustrationen - diese Leitlinien schließen.
Das EDPB nennt drei kumulative Voraussetzungen, wann eine Übermittlung personenbezogener Daten in ein Drittland angenommen wird:
1) Ein Verantwortlicher für die Datenverarbeitung oder ein Auftragsverarbeiter ("exporter") unterliegt für die jeweilige Verarbeitung der DSGVO (Textziffer 12-14).
2) Der "exporter" stellt personenbezogene Daten, die Gegenstand dieser Verarbeitung sind, durch Übermittlung oder auf andere Weise einem anderen für die Verarbeitung Verantwortlichen, gemeinsam Verantwortlichen oder Auftragsverarbeiter ("importer") zur Verfügung (Textziffer 15-21).
3) Der "importer" (auch als internationale Organisation) befindet sich in einem Drittland, unabhängig davon, ob bei diesem "importer" die betreffende Verarbeitung unter den räumlichen Anwendungsbereich der DSGVO fällt (Textziffer 22-30).
Die Leitlinien nennen - gerade für die letzten beiden Voraussetzungen - in der Folge eine Vielzahl von Beispielen und Illustrationen, die jeden Datenschutzbeauftragten interessieren sollten, der sich mit der Übermittlung von Daten in Drittstaaten auseinandersetzt. Denn letztlich hängt von der Frage, ob eine Drittlandsübermittlung stattfindet, eine Vielzahl weiterer Handlungen und Voraussetzungen ab. Diese sind Angemessenheitsbeschlüsse, zusätzliche Garantien oder EU-Standardvertragsklauseln. Also Themen, die in der öffentlichen Diskussion sehr häufig aufgegriffen werden. Diese Leitlinien bieten nun eine Quelle für ein tiefergehendes Verständnis von Situationen, bei denen Datenübermittlungen angenommen werden bzw. nicht bejaht werden können.
Abschnitt 4 (Textziffer 31-34) weicht von dem eigentlichen Thema ab. Dieser Abschnitt beschäftigt sich mit der Frage, wie Daten zu schützen sind, wenn Daten ausserhalb der EU/des EWR verarbeitet werden, ohne das eine Übermittlung von Daten in Drittstaaten stattfindet. Ein Beispiel dafür ist ein Mitarbeiter eines Verantwortlichen für die Datenverarbeitung, welcher ausserhalb der EU/des EWR seine geschäftlichen eMails checkt oder im Urlaub auf den Malediven an einer Videokonferenz teilnimmt. Weitergehende Informationen hierzu bieten auch die Beispiele 8.1 und 8.2.
Einen "technischen" Haken haben die Leitlinien jedoch: Die den Beispielen zugeordneten Illustrationen finden sich am Ende des Dokuments. Die Beispiele sind jedoch mittendrin genannt. Dies bedingt, dass man entweder einen großen Bildschirm hat oder endlos zwischen Text und Anlage des Dokuments hin und her switchen muss. Hier könnte das EDPB / der EDSA nochmal nachbessern bzw. ich würde es bei der nächsten öffentlichen Konsultation mal anmerken.
Viele Grüße aus der Aachen
Ingo Goblirsch
Ingo Goblirsch LL.M.
Externer Datenschutzbeauftragter
Datenschutz & Informationssicherheit
Aachen
Foto von JESHOOTS.COM auf Unsplash. Danke!