1. Einleitung
Im Rahmen der Europäischen Datenschutz-Grundverordnung (DSGVO) ist es für jeden Verantwortlichen von entscheidender Bedeutung, Datenübermittlungen in Drittländer oder an internationale Organisationen zu identifizieren. Bislang bestand Unklarheit darüber, was genau eine solche Übermittlung an Dritte in Ländern darstellt.
Der Europäische Datenschutzausschuss (EDSA) hat am 18. November 2021 eine neue Leitlinie zur Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen in die öffentliche Vernehmlassung gegeben (https://edpb.europa.eu/system/files/2021-11/edpb_guidelinesinterplaychapterv_article3_adopted_en.pdf).
Diese Leitlinie gibt Ratschläge darüber, was genau eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation darstellt. Dieser Leitfaden bringt für internationale Unternehmen viel Klarheit bei der Bewertung ihrer internationalen Datenübermittlung und folglich über die Notwendigkeit, ergänzende Massnahmen gemäss Artikel 46 DSGVO zu ergreifen.
2. Übermittlung an Drittländer
Der EDSA hat eine internationale Übermittlung wie folgt definiert:
2.1 Verantwortlicher oder ein Auftragsverarbeiter unterliegt der DSGVO
Der erste Punkt setzt voraus, dass der für der Verantwortliche oder der Auftragsverarbeiter der DSGVO unterliegt. Es ist zu beachten, dass dies auch Verantwortliche oder Auftragsverarbeiter ausserhalb der EU/des EWR einschliesst, die der DSGVO unterliegen. Folglich schliesst dies auch Schweizer Unternehmen ein, die der DSGVO gemäss Artikel 3 DSGVO unterliegen.
2.2. Weitergabe personenbezogener Daten durch Übermittlung oder auf andere Weise
Die zweite Anforderung besagt, dass ein für die Verarbeitung Verantwortlicher oder ein Auftragsverarbeiter personenbezogene Daten an einen für die Verarbeitung Verantwortlichen, einen gemeinsam für die Verarbeitung Verantwortlichen oder einen Auftragsverarbeiter weitergeben oder zur Verfügung stellen muss. Damit wird klargestellt, dass nicht nur der für die Verarbeitung Verantwortliche, sondern auch der Auftragsverarbeiter für die Umsetzung geeigneter Massnahmen bei der Übermittlung personenbezogener Daten in ein Drittland verantwortlich ist.
In der Leitlinie wird ferner klargestellt, dass zwei verschiedene Parteien an einer solchen Übermittlung beteiligt sein müssen, damit es sich um eine relevante Übermittlung personenbezogener Daten handelt. So gilt beispielsweise der Zugriff eines Mitarbeiters eines Auftragsverarbeiters auf seine Daten aus einem Drittland auf einer Geschäftsreise nicht als Übermittlung personenbezogener Daten in ein Drittland im Sinne von Artikel 46 DSGVO. Es müssen jedoch Datensicherheitsmassnahmen für einen solchen Zugriff vorhanden sein.
2.3 Der Importeur befindet sich in einem Drittland oder ist eine internationale Organisation
Die dritte Voraussetzung ist, dass der für die Verarbeitung Verantwortliche, der gemeinsam Verantwortliche oder der Auftragsverarbeiter in einem Drittland ansässig oder eine internationale Organisation ist. Es ist wichtig, darauf hinzuweisen, dass es für die Anwendung von Artikel 46 DSGVO nicht relevant ist, ob die empfangende Partei der DSGVO unterliegt.
3. Konsequenzen
Wenn alle drei Kriterien erfüllt sind, muss die übermittelnde Partei prüfen, ob das Drittland nach Ansicht der EU-Kommission als angemessen gilt. Die folgenden Länder haben derzeit ein angemessenes Datenschutzniveau: Andorra, Argentinien, Kanada (kommerzielle Organisationen), Färöer Inseln, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland und die Schweiz.
Wenn personenbezogene Daten in ein anderes Land übermittelt oder dort zur Verfügung gestellt werden, muss die übermittelnde Partei sicherstellen, dass angemessene Garantien gemäss Artikel 46 DSGVO vorhanden sind. Diese Massnahmen umfassen:
Diese Massnahmen müssen auch umgesetzt werden, wenn die beiden Parteien, die Daten austauschen, in demselben Drittland ansässig sind, sofern die übermittelnde Partei der DSGVO unterliegt.
Für Schweizer Verantwortliche oder Auftragsverarbeiter, die der DSGVO unterliegen und Daten innerhalb der Schweiz übermitteln, ändert sich nichts, solange die EU-Kommission die Schweiz als angemessenes Schutzniveau einstuft.
Wenn sie jedoch Personendaten in ein anderes Drittland übermitteln, können zusätzliche Massnahmen gemäss Art. 46 GDPR erforderlich sein können.
Alle interessierten Kreise können sich bis zum 31. Januar 2022 zur dieser Leitlinie äussern.