Internationaler Datenverkehr

Internationaler Datenverkehr oder Datenexport ist die Weitergabe von personenbezogenen Daten in das Ausland oder an eine Internationale Organisation. Die diesbezüglichen Regelungen befinden sich in Art. 44-50 DSGVO. Gemäß den Bestimmungen der Datenschutz-Grundverordnung ist der internationale Datenverkehr bis auf wenige Sonderfälle genehmigungsfrei.

Beschwerdeverfahren unter dem EU-U.S. Data Privacy Framework

Der Angemessenheitsbeschluss für die Vereinigten Staaten von Amerika, das „EU‐U.S. Data Privacy Framework“ (DPF), enthält verschiedene Rechtschutzmöglichkeiten für betroffene Personen.

A. Beschwerden gegen U.S.-Unternehmen/Organisationen (gewerbliche Angelegenheiten)

Im Falle einer Beschwerde gegen U.S.-Unternehmen/Organisationen können sich Betroffene direkt an ihre nationale Aufsichtsbehörde (in Österreich: Datenschutzbehörde) wenden.

Abhängig von der einzelnen Fallgestaltung ist die Beschwerde von der Datenschutzbehörde dem informellen Gremium der europäischen Aufsichtsbehörden, den zuständigen U.S.-Behörden oder den U.S.-Unternehmen/Organisationen weiterzuleiten. Die näheren Details sind in einer gesonderten Geschäftsordnung geregelt.

Um die Einreichung einer Beschwerde gegen U.S.-Unternehmen/Organisationen zu erleichtern, wird ein unverbindliches Beschwerdeformular zur Verfügung gestellt, welches vollständig ausgefüllt bei der Datenschutzbehörde einzubringen ist:

Beschwerdeformular für die Einreichung von Beschwerden iZm. gewerblichen Angelegenheiten

B. Beschwerden iZm. der Verarbeitung personenbezogener Daten durch U.S.-Nachrichtendienste

Das EU-U.S.-DPF enthält überdies einen neuen Rechtsschutzmechanismus, mit dem Betroffene in den Mitgliedstaaten des EWR den Zugriff auf und die Nutzung von ihren personenbezogenen Daten durch U.S.-Nachrichtendienste überprüfen lassen können.

Dies gilt nicht nur für Übermittlungen auf Grundlage des EU-U.S.-DPF, sondern für alle Übermittlungen nach Kapitel V der DSGVO, die seit dem 10. Juli 2023 vorgenommen wurden.

Im Falle von Beschwerden iZm. der Verarbeitung personenbezogener Daten durch U.S.-Nachrichtendienste können sich Betroffene ebenfalls direkt an ihre nationale Aufsichtsbehörde (in Österreich: Datenschutzbehörde) wenden. Die Datenschutzbehörde hat solche Beschwerden im Weiteren über das Sekretariat des Europäischen Datenschutzausschusses an die zuständigen U.S.-Behörden weiterzuleiten, welche die Beschwerde prüfen und über sie entscheiden. Die näheren Details sind in einer gesonderten Geschäftsordnung geregelt. Weiterführende Hinweise finden sich hier.

Bei der Einreichung einer Beschwerden iZm. der Verarbeitung personenbezogener Daten durch U.S.-Nachrichtendienste ist das dafür vorgesehene Beschwerdeformular vollständig ausgefüllt bei der Datenschutzbehörde einzubringen:

Beschwerdeformular iZm. der Verarbeitung personenbezogener Daten durch U.S.-Nachrichtendienste

Angemessenheitsbeschluss für die Vereinigten Staaten ("EU-US DPF")

Am 10. Juli 2023 wurde von der Europäischen Kommission ein neuer Angemessenheitsbeschluss gemäß Art. 45 DSGVO für die Vereinigten Staaten von Amerika angenommen, das sog. EU-U.S. Data Privacy Framework (siehe https://ec.europa.eu/commission/presscorner/detail/en/ip_23_3721).

Zu beachten ist, dass der Angemessenheitsbeschluss nur partiell gilt und nur Datenübermittlungen an jene Datenimporteure in den Vereinigten Staaten abdeckt, die in der sog. Data Privacy Framework List aufscheinen (eine Suche ist unter https://www.dataprivacyframework.gov/s/participant-search möglich).

Scheint ein Datenimporteur in den Vereinigten Staaten in dieser Liste auf, ist die Übermittlung personenbezogener Daten allein auf Basis des Angemessenheitsbeschlusses möglich und müssen keine weiteren Maßnahmen iSd. Art. 46 DSGVO gesetzt werden.

Hingegen müssen Datenübermittlungen an Datenimporteure in den Vereinigten Staaten, welche nicht unter das EU-U.S. Data Privacy Framework fallen, weiterhin auf andere geeignete Garantieinstrumente iSd. Art. 46 DSGVO (bspw. Standarddatenschutzklauseln samt ggf. zusätzlicher Maßnahmen) oder – falls anwendbar – auf Ausnahmetatbestände iSd. Art. 49 DSGVO gestützt werden.

Verantwortliche Datenexporteure haben daher vor Durchführung der jeweiligen Datenübermittlung im Rahmen ihrer Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) zu prüfen, ob die Übermittlung in den Anwendungsbereich des neuen Angemessenheitsbeschlusses fällt, oder ob anderweitige Übermittlungsgrundlagen heranzuziehen sind.

Der neue Angemessenheitsbeschluss wird ein Jahr nach seinem Inkrafttreten einer ersten Überprüfung durch die Europäischen Kommission unterzogen.

Relevante Dokumente:

COMMISSION IMPLEMENTING DECISION of 10.7.2023 pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council on the adequate level of protection of personal data under the EU-US Data Privacy Framework

Opinion 5/2023 on the European Commission Draft Implementing Decision on the adequate protection of personal data under the EU-US Data Privacy Framework

Information note on data transfers under the GDPR to the United States after the adoption of the adequacy decision on 10 July 2023

Empfehlungen des EDSA zu „zusätzlichen Sicherheitsgarantien“ im Zusammenhang mit internationalen Transferinstrumenten nach Art. 46 DSGVO

Kapitel V der DSGVO sieht neben einem Angemessenheitsbeschluss nach Art. 45 DSGVO auch andere Instrumente für einen rechtmäßigen Datentransfer an Drittländer vor. Diese werden in Art. 46 DSGVO (Datenübermittlung vorbehaltlich geeigneter Garantien) angeführt. Man muss jedoch dabei berücksichtigen, dass die in Art. 46 erwähnten Instrumente nicht uneingeschränkt gelten. Der EuGH hält hierzu in der oben zitierte Entscheidung fest, dass Verantwortliche oder Auftragsverarbeiter, die im Rahmen der Verarbeitung als Exporteure agieren, dafür verantwortlich sind, im Einzelfall und gegebenenfalls in Zusammenarbeit mit dem Datenimporteur im Drittland zu prüfen, ob das Recht oder die Praxis des jeweiligen Drittlandes die Wirksamkeit der in den Transferinstrumenten nach Art. 46 DSGVO enthaltenen geeigneten Garantien beeinträchtigt.

Sollte eine solche Beeinträchtigung vorliegen, die dazu führt, dass im Rahmen einer Verarbeitung im jeweiligen Drittland nicht ein dem EU-Recht in der Sache gleichwertiges Schutzniveau gewährleistet werden kann, räumt der EuGH dem Exporteur noch die Möglichkeit ein, zusätzliche Sicherheitsgarantien zu ergreifen bzw. zu implementieren, um die Beeinträchtigungen zu beseitigen und dadurch die Verarbeitung auf das vom EU-Recht geforderte Niveau zu bringen. Der EuGH gibt jedoch nicht an, welche Maßnahmen genau zu ergreifen sind.

Um Exporteure bei dieser komplexen Aufgabe (Bewertung des Datenschutzniveaus in Drittländern und gegebenenfalls die Implementierung von geeigneten zusätzlichen Sicherheitsgarantien) zu unterstützen, hat der EDSA am 10.11.2020 Empfehlungen hierzu veröffentlicht. Diese – rechtlich nicht verbindlichen – Empfehlungen beinhalten eine Reihe von vorgeschlagenen Schritten für Exporteure, die nachstehend kurz zusammengefasst werden. Weitere Details, Informationen zu potenziellen Informationsquellen für die Bewertung von Drittländern sowie Beispiele für zusätzliche Sicherheitsgarantien finden Sie in der Empfehlung des EDSA, die untenstehend zum Download als PDF (vorerst nur auf Englisch) bereitgestellt wird.

1. Schritt – Analysieren Sie Ihre internationalen Datentransfers („Know your transfers“)

In einem ersten Schritt sollten Sie als Exporteur zunächst alle Transfers personenbezogener Daten in Drittländer identifizieren und eine Übersicht erstellen.

TippTipp

Ein gemäß Art. 30 DSGVO obligatorisch zu führendes Verzeichnis von Verarbeitungstätigkeiten kann für eine erste Übersicht zu allen Transfers herangezogen werden. Das Verzeichnis sollte alle Verarbeitungstätigkeiten, die Ihrer Zuständigkeit unterliegen, umfassen. Auch allfällige Informationserteilungen Ihrerseits nach Art. 13 und 14 DSGVO an betroffene Personen könnten eine erste Übersicht über allfällige Transfers in Drittländer liefern.

Als Ergebnis sollten Sie eine Datenflussübersicht zu allen internationalen Transfers haben. Dieser erste Schritt ist essentiell, um sicherzustellen, dass die übermittelten Daten in den jeweiligen Drittländern einem nach dem EU-Recht in der Sache gleichwertigen Schutzniveau unterliegen.

2. Schritt – Identifizieren Sie das jeweilige Transferinstrument, auf das Sie den Transfer stützen wollen

Zur Auswahl stehen die in Kapitel V der DSGVO angeführten Transferinstrumente:

  • Angemessenheitsbeschluss gemäß Art. 45 DSGVO
  • Verbindliche interne Vorschriften gemäß Art. 46 Abs. 2 lit. b DSGVO
  • Standarddatenschutzklauseln gemäß Art. 46 Abs. 2 lit. c und d DSGVO
  • Genehmigte Verhaltensregeln gemäß Art. 46 Abs. 2 lit. e DSGVO
  • Genehmigte Zertifizierungsmechanismen gemäß Art. 46 Abs. 2 lit. f DSGVO
  • Ad hoc Standarddatenschutzklauseln gemäß Art. 46 Abs. 3 lit. a DSGVO
  • Ausnahmen nach Art. 49 Abs. 1 und UAbs. 1 DSGVO

Wenn die Europäische Kommission das betreffende Drittland, eine bestimmte Region vom Drittland oder einen Sektor, in das/den Sie die Daten übertragen oder in Zukunft übertragen möchten, bereits durch einen Angemessenheitsbeschluss gemäß Art. 45 DSGVO oder gemäß der  Datenschutz-Richtlinie 95/46 für „sicher“ erklärt hat, müssen Sie bis auf die laufende Kontrolle bzw. Überwachung der Gültigkeit des konkreten Angemessenheitsbeschlusses keine weiteren Schritte unternehmen.

Liegt jedoch kein solcher Angemessenheitsbeschluss für das betroffene Drittland vor, müssen Sie sich bei regelmäßigen und sich wiederholenden Transfers auf eines der in Art. 46 DSGVO angeführten Transferinstrumente stützen. Nur in bestimmten Ausnahmefällen von gelegentlichen und sich nicht wiederholenden Transfers, können Sie sich auf eine der in Art. 49 DSGVO vorgesehenen Ausnahmen berufen, wenn Sie die in Art. 49 DSGVO angeführten Voraussetzungen erfüllen.

3. Schritt – Beurteilung, ob das ausgewählte Transferinstrument, unter Berücksichtigung aller Umstände des Transfers, effektiv genug ist.

Der dritte Schritt besteht darin, zu prüfen, ob im Recht oder im Lichte der Praxis des betroffenen Drittlandes irgendwelche Aspekte bzw. Umstände vorliegen, welche die Wirksamkeit der geeigneten Garantien des ausgewählten Transferinstruments beeinträchtigten könnten. Ihre Beurteilung sollte sich in erster Linie auf die Gesetzgebung des Drittlandes beschränken, die für Ihren Transfer und das Transferinstrument nach Art. 46 DSGVO, auf das Sie sich stützen, relevant ist und dessen Schutzniveau untergraben könnte.

TippTipp

Ziehen Sie dazu auch den (möglichen) Datenimporteur bei, weil dieser mit dem Recht und der Praxis des Empfangsstaates vertraut sein sollte. Gewerbliche Unternehmen können sich auch an die Wirtschaftskammer Österreich als gesetzliche Interessensvertretung wenden, die - einzelfallabhängig - weiterhelfen kann: https://www.wko.at/service/aussenwirtschaft/Ansprechpartner_AUSSENWIRTSCHAFT_AUSTRIA.html

Für die Bewertung von Umständen, die mit dem Datenzugriff durch Behörden zum Zwecke der Überwachung im Zusammenhang stehen, verweisen wir auf die untenstehend beigefügte Empfehlung des EDSA zu „European Essential Guarantees“.

Sollte die Beurteilung ergeben, dass Umstände vorliegen, welche die angemessenen Garantien beeinträchtigen könnten, müssen in einem vierten Schritt (siehe unten) zusätzliche Sicherheitsgarantien ermittelt und implementiert werden, um ein dem EU-Recht in der Sache gleichwertiges Schutzniveau zu gewährleisten.

Die Beurteilung des ausgewählten Transferinstruments sollten Sie jedenfalls mit gebotener Sorgfalt durchführen und gründlich dokumentieren, da Sie gegenüber den Datenschutz-Aufsichtsbehörden hierfür nach Art. 5 Abs. 2 DSGVO zur Rechenschaft verpflichtet sind (auf Anfrage einer Behörde, müssen Sie diese Beurteilung bzw. die Dokumentation darüber vorlegen können).

4. Schritt – Ermittlung und Implementierung von zusätzlichen Sicherheitsgarantien

Dieser Schritt ist, wie bereits erwähnt, nur dann erforderlich, wenn Ihre Beurteilung ergibt, dass die Gesetzgebung oder sonstige Umstände im jeweiligen Drittland die Wirksamkeit des ausgewählten Transferinstruments nach Art. 46 DSGVO beeinträchtigen. Sie müssen daher in weiterer Folge zusätzliche Sicherheitsgarantien, unter Berücksichtigung des jeweiligen Transfers und des ausgewählten Transferinstruments, ermitteln und implementieren. Die Empfehlungen des EDSA enthalten (im 2. Anhang) eine – nicht abschließende – Reihe von Beispielen für solche zusätzlichen Sicherheitsgarantien, die von Exporteuren ergriffen werden können.

Wie auch bei den geeigneten Garantien der Transferinstrumente nach Art. 46 DSGVO, können einige der zusätzlichen Sicherheitsgarantien für bestimmte Transfers in bestimmten Drittländern wirksam sein, in anderen Drittländern jedoch nicht.

Es kann durchaus auch erforderlich sein, dass Sie mehrere zusätzliche Sicherheitsgarantien kombinieren müssen (z.B. technische Sicherheitsgarantien in Kombination mit organisatorischen Maßnahmen). Es kann natürlich letztlich auch der Fall eintreten, dass Sie feststellen, dass es keine zusätzlichen Sicherheitsgarantien gibt, die gewährleisten können, dass der konkrete Transfer einem dem EU-Recht in der Sache gleichwertigem Schutzniveau unterliegt. In solchen Fällen müssen Sie den Transfer vermeiden, aussetzen oder beenden, um das Schutzniveau der personenbezogenen Daten nicht zu beeinträchtigen. Auch diese Beurteilung der zusätzlichen Sicherheitsgarantien sollten Sie mit gebotener Sorgfalt durchführen und gründlich dokumentieren.

Schritt 5 – Einleitung formeller Verfahrensschritte

Der fünfte Schritt besteht darin, alle formellen Verfahrensschritte einzuleiten, die für die finale Implementierung Ihrer zusätzlichen Sicherheitsgarantien erforderlich sein könnten, je nachdem, auf welches Transferinstrument nach Art. 46 DSGVO Sie sich berufen. In bestimmten Fällen müssen Sie die für Sie zuständige Aufsichtsbehörde kontaktieren. Im Rahmen der Empfehlungen des EDSA werden diese formalen Verfahrensschritte näher beschrieben.

Schritt 6 – Regelmäßige Kontrolle

Der sechste und letzte Schritt besteht darin, dass Sie in angemessenen Zeitabständen das Schutzniveau des Drittstaates, in den Sie Daten übermitteln, neu bewerten und überwachen, ob es Entwicklungen gegeben hat oder geben wird, die sich darauf auswirken könnten. Der Grundsatz der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO erfordert eine ständige Wachsamkeit über das Schutzniveau der personenbezogenen Daten.

Der EDSA weist zudem darauf hin, dass weiterhin Leitlinien für Exporteure entwickelt und die Maßnahmen innerhalb des EDSA koordiniert werden, um eine einheitliche Anwendung des EU-Datenschutzrechts zu gewährleisten.

Schließlich wird in Bezug auf das Transferinstrument der "Standarddatenschutzklauseln", die von der Europäischen Kommission gemäß dem Prüfverfahren nach Art. 93 Abs. 2 DSGVO genehmigt werden, darauf hingewiesen, dass eine Anpassung der aktuellen Standarddatenschutzklausen der Kommission geplant ist.

Relevante Dokumente und Informationen: