Datenübermittlung in Drittländer nach der DS-GVO

Die DS-GVO sieht für die Übermittlung personen­bezogener Daten in ein Land außerhalb der EU/ des EWR besondere Regelungen in Art. 44-49 vor.
Länder außerhalb der EU/ des EWR werden in der DS-GVO als "Drittländer" bezeichnet.
Bei der Datenübermittlung in ein Drittland muss zunächst überprüft werden, ob unabhängig von den in den Art. 45 ff. geregelten spezifischen Anforderungen an Datenüber­mittlungen in Drittländer auch alle übrigen Anforderungen der DS-GVO an die in Rede stehende Datenver­arbeitung eingehalten werden.
Steht nach diesem Prüfungsschritt einer Verarbeitung nichts entgegen, müssen gemäß Art. 44 zusätzlich die spezifischen Anforderungen der Art. 45 ff. an die Übermittlung in Drittländer beachtet werden.

Die DS-GVO sieht für Datentransfers in Drittländer folgende Möglichkeiten vor:

Feststellung der Angemessenheit des Datenschutzniveaus im Drittland durch die EU-Kommission (Art. 45 DS-GVO)
Die Kommission hat die Möglichkeit, nach entsprechender Prüfung das Bestehen eines angemessenen Schutzniveaus in einem bestimmten Drittland festzustellen.
Ein angemessenes Schutzniveau besteht dann, wenn in dem Drittland auf Grundlage seiner innerstaatlichen Rechtsvor­schriften und deren Anwendung, der Existenz und der wirksamen Funktionsweise einer oder mehrerer unabhängiger Aufsichtsbehörden sowie seiner eingegangenen internationalen Verpflichtungen ein Schutzniveau existiert, welches dem in der DS-GVO gewährten Schutzniveau gleichwertig ist.
Die DS-GVO sieht eine Fortgeltung der bereits erlassenen Angemessen­heits­beschlüsse vor.
Für den EU-US Privacy Shield hat die Kommission die Angemessenheit des Datenschutzniveaus festgestellt.

Vorliegen geeigneter Garantien (Art. 46 DS-GVO)
Eine Datenübermittlung in ein Drittland ist weiter zulässig, wenn der Verantwortliche oder Auftrags­verarbeiter geeignete Garantien zur Gewährleistung eines angemessenen Schutzniveaus vorgesehen hat.
Folgende Garantien kommen in Betracht:
Verbindliche interne Datenschutz­vor­schriften (Binding Corporate Rules = BCR)
Dabei legt das Unternehmen Regelungen für den Umgang mit personen­bezogenen Daten auch in Drittländern fest.
Die BCR müssen einen Schutz bieten, der im Wesentlichen der DS-GVO entspricht. Zudem müssen die BCR für alle betreffenden Mitglieder der Unterneh­mensgruppe rechtlich bindend sein und den betroffenen Personen durchsetzbare Rechte gewähren. Die Genehmigung der BCR erfolgt gemäß dem Kohärenz­verfahren durch die zuständige Aufsichtsbehörde.
Standard­da­ten­schutzklauseln der Kommission oder einer Aufsichtsbehörde 
Schließen der Datenexporteur und der Datenimporteur einen Vertrag unter Verwendung der Standard­da­ten­schutzklauseln der Kommission, ist der darauf basierende Datentransfer ohne weitere Genehmigung durch die Aufsichtsbehörde zulässig.
Die bereits bestehenden EU-Standard­ver­tragsklauseln gelten ausdrücklich fort. sofern die Standard­da­ten­schutzklauseln in unveränderter Form verwendet werden, sind die Datenüber­mittlungen genehmigungsfrei.
Genehmigte Verhaltensregeln und genehmigter Zertifizie­rungs­me­chanismus
Es besteht die Möglichkeit, Datenüber­mittlungen auf Grundlage von branchespe­zifischen Verhaltensregeln zu legitimieren, sofern diese mit rechtsver­bindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftrags­ver­arbeiters versehen sind und von der zuständigen Aufsichtsbehörde genehmigt worden sind.
Einzeln ausgehandelte Vertragsklauseln
Ebenso können einzeln ausgehandelte individuelle Vertragsklauseln eine Datenübermittlung in ein Drittland legitimieren, allerdings nur nach Genehmigung der Aufsichtsbehörde und Durchführung des Kohärenz­verfahrens nach Art. 63 DS-GVO.
Rechte der betroffenen Personen
Es ist bei allen in Betracht kommenden Garantien zusätzlich erforderlich, den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe einzuräumen.

Ausnahmen für bestimmte Fälle
Eine Datenübermittlung kann in einer Reihe besonderer, vom Gesetz explizit genannter und abschließender Fälle, auch zulässig sein, wenn weder ein Angemessen­heits­beschluss der Kommission noch geeignete Garantien vorliegen.
Einwilligung (Art. 49 Abs. 1 UAbs. 1 lit. a)
Eine wirksame Einwilligung der betroffenen Person in die Datenübermittlung in ein Drittland setzt zunächst eine ausdrückliche Einwilligung in die Weitergabe ihrer Daten für den konkreten Fall voraus. Weiter ist die betroffene Person vorher explizit über bestehende mögliche Risiken derartiger Datenüber­mittlungen aufzuklären, d.h. insbesondere darüber, dass kein angemessenes Datenschutzniveau gegeben ist und Betroffe­nenrechte ggf. nicht durchgesetzt werden können, als auch darüber, dass sie die Einwilligung jederzeit widerrufen kann.
Erforderlichkeit zur Vertrags­erfüllung (Art. 49 Abs. 1 UAbs. 1 lit. b und c)
Eine Datenübermittlung in ein Drittland ist zulässig, wenn und soweit die Übermittlung zur Erfüllung eines Vertrags mit der betroffenen Person oder zum Abschluss oder zur Erfüllung eines Vertrages im Interesse der betroffenen Person erforderlich ist.
Wichtige Gründe des öffentlichen Interesses (§49 Abs. 1 UAbs. 1 lit. d)
Die Übermittlung kann auch zulässig sein, wenn sie aus wichtigen Gründen des öffentlichen Interesses notwendig ist. In Betracht kommen nur wichtige öffentliche Interessen, die im Recht der Europäischen Union oder des Mitgliedstaates, dem der Verantwortliche unterliegt, anerkannt sind.
Verfolgung von Rechtsansprüchen (Art. 49 Abs. 1 UAbs. 1 lit. e)
Auch die Verfolgung von Rechtsansprüchen kann eine Datenübermittlung legitimieren, wenn die Datenübermittlung hierzu erforderlich ist.
Schutz lebenswichtiger Interessen (Art. 49 Abs. 1 UAbs. 1 lit. f)
Ist die betroffene Person aus physischen oder rechtlichen Gründen nicht in der Lage, ihre Einwilligung zu erteilen, darf die Datenübermittlung dennoch durchgeführt werden, soweit dies zum Schutz ihrer lebenswichtigen Interessen oder derjenigen anderer Personen erforderlich ist.
Wahrung zwingender berechtigter Interessen (Art. 49 Abs. 1 UAbs. 2 S. 1) 
Im Einzelfall kann eine Datenübermittlung in ein Drittland legitimiert sein, wenn ein zwingendes berechtigtes Interesse des Verantwortlichen an der Übermittlung besteht, die Übermittlung nicht wiederholt erfolgt, nur eine begrenzte Anzahl von Personen betrifft und keine überwiegenden schutzwürdigen Interessen oder Rechte und Freiheiten der betroffenen Person entgegenstehen und der Verantwortliche durch geeignete Garantien den Schutz personen­bezogener Daten gewährleistet.

Quelle: Kurzpapiere der Datenschutz­konferenz