David Bomhard
 

Rz. 10

Der globale Transfer personenbezogener Daten findet in einem Spannungsfeld statt.[17] Einerseits ist er für die Wertschöpfung einer digital vernetzen Welt unerlässlich. Andererseits droht er das hohe EU-Datenschutzniveau zu untergraben, da sich eine DSGVO-widrige Datenverarbeitung schlichtweg auf ein Drittland auslagern ließe.[18] Um solch eine Umgehung zu verhindern, erklärt Art. 44 S. 1 DSGVO die Übermittlung und Weiterübermittlung von personenbezogenen Daten an ein Drittland oder eine internationale Organisation nur dann für zulässig, wenn mindestens ein Erlaubnistatbestand der Art. 4549 DSGVO erfüllt wird und auch die sonstigen Bestimmungen der DSGVO eingehalten werden.

Dieses präventive Verbot mit Erlaubnisvorbehalt hat zwei praktische Auswirkungen: Einerseits werden die Mindeststandards der DSGVO perpetuiert,[19] indem ihre räumliche Umgehung verhindert wird. Andererseits strahlt das hohe Datenschutzniveau auf Drittländer aus. Um nämlich einen redlichen EU-Datenexporteur zu finden, muss sich ein nicht in der EU ansässiger Importeur personenbezogener Daten (über die Art. 44 ff. DSGVO zumindest mittelbar) den Regelungen der DSGVO unterwerfen – selbst bei einer Weiterübermittlung an ein weiteres Drittland.

[17] Dazu Erwägungsgrund 101 DSGVO.
[18] Eingehend zu den Gefahren der Datenübermittlung Erwägungsgrund 116 DSGVO.
[19] Dazu Paal/Pauly/Pauly, Art. 44 Rn 16.

1. Tatbestand

a) Internationale Organisation

 

Rz. 11

Art. 4 Nr. 26 DSGVO definiert die internationale Organisation als "eine völkerrechtliche Organisation und ihre nachgeordneten Stellen oder jede sonstige Einrichtung, die durch eine zwischen zwei oder mehr Ländern geschlossene Übereinkunft oder auf der Grundlage einer solchen Übereinkunft geschaffen wurde". Ein Beispiel hierfür ist die Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD).

b) Drittland

 

Rz. 12

Drittländer (nicht legaldefiniert) sind alle Länder, in denen die DSGVO aufgrund eines fehlenden unionsrechtlichen Rechtsanwendungsbefehls nicht gilt.[20] Im Grundsatz sind damit alle Staaten gemeint, die außerhalb der EU (bzw. des EWR)[21] liegen.

[20] Paal/Pauly/Pauly, Art. 44 Rn 6.
[21] Die drei EWR-Staaten Norwegen, Island und Liechtenstein haben die Anwendung der DSGVO für die EWR-Staaten am 06.07.2018 beschlossen und gelten damit nicht mehr als Drittländer (dazu Paal/Pauly/Pauly, Art. 44 Rn 6).

c) Übermittlung

 

Rz. 13

Art. 44 S. 1 DSGVO verbietet "Jedwede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland […] verarbeitet werden sollen", ohne aber den Begriff der Übermittlung zu definieren. Richtigerweise ist unter Übermittlung jeder analoge oder digitale Vorgang zu verstehen, bei dem personenbezogene Daten zu einem Empfänger im Drittland oder in einer internationalen Organisation gelangen. Diese weite Definition umfasst jede Form der Datenübertragung und verhindert damit – im Sinne des Art. 44 S. 2 DSGVO – eine technische Umgehung der Art. 44 ff. DSGVO.

 

Rz. 14

Aus dem Wortlaut des Art. 4 Nr. 26 DSGVO geht nicht eindeutig hervor, ob es sich bei der grenzüberschreitenden Datenübermittlung um eine Form der Datenverarbeitung handelt. Nach herrschender Meinung ist jedenfalls dann von einer Datenüberverarbeitung auszugehen, wenn es zu einer Offenlegung im Drittland kommt.[22] Die Annahme einer Datenverarbeitung hat zur Folge, dass die Übermittlung (zusätzlich zu den Art. 44 ff. DSGVO) auch an allgemeinen Datenverarbeitungsnormen (im Beschäftigtenkontext also § 26 BDSG[23]) zu messen ist.

 

Rz. 15

 

Praxistipp

Die Übermittlung von Beschäftigtendaten sollte (zusätzlich zu den Anforderungen nach Art. 44 ff. DSGVO) sicherheitshalber auch als eigenständige Datenverarbeitungs-Tätigkeit i.S.v. Art. 4 Nr. 2, 30 DSGVO dokumentiert und an § 26 BDSG gemessen werden.

[22] Paal/Pauly/Pauly, Art. 44 Rn 3 f.
[23] Soweit in diesem Kapitel vom BDSG die Rede ist, meint dies das seit 25.5.2018 geltende BDSG n.F. Vorschriften des BDSG a.F. werden als solche gekennzeichnet.

d) Weiterübermittlung

 

Rz. 16

Art. 44 Abs. 1 S. 1 Hs. 2 DSGVO erstreckt das präventive Verbot auch auf "die etwaige Weiterübermittlung personenbezogener Daten durch das betreffende Drittland […] in ein anderes Drittland". Weiterleitung meint also jede Übermittlung von solchen Daten, die Gegenstand einer bereits nach Art. 44 ff. DSGVO vollzogenen Übermittlung waren.[24] Erwägungsgrund 104 S. 4 DSGVO ("In jedem Fall") stellt klar, dass die Anforderungen der Art. 44 ff. DSGVO auch von im Drittland ansässigen Empfängern strikt beachtet werden müssen, wenn eine Weiterübermittlung erfolgt. Insofern weitet die Spezialnorm Art. 44 Abs. 1 S. 1 Hs. 2 DSGVO die räumliche Reichweite der DSGVO gegenüber den allgemeinen Bestimmungen des Art. 3 DSGVO erheblich aus. Im Ergebnis haftet das hohe DSGVO-Schutzniveau den aus der EU stammenden Daten also dauerhaft an,[25] wird also perpetuiert.

[24] BeckOK Datenschutzrecht/Kamp/Beck, Art. 44 Rn 17.
[25] Auernhammer/Hladjk, Art. 44 Rn 10.

2. Rechtsfolgen

 

Rz. 17

Verstöße gegen das präventive Verbot des Art. 44 S. 1 DSGVO sind bußgeldbewehrt. Wer Daten ohne Erlau...

Das ist nur ein Ausschnitt aus dem Produkt Deutsches Anwalt Office Premium. Sie wollen mehr?

Jetzt kostenlos 4 Wochen testen

Anmelden und Beitrag in meinem Produkt lesen


Meistgelesene beiträge