Rz. 10
Der globale Transfer personenbezogener Daten findet in einem Spannungsfeld statt. Einerseits ist er für die Wertschöpfung einer digital vernetzen Welt unerlässlich. Andererseits droht er das hohe EU-Datenschutzniveau zu untergraben, da sich eine DSGVO-widrige Datenverarbeitung schlichtweg auf ein Drittland auslagern ließe. Um solch eine Umgehung zu verhindern, erklärt Art. 44 S. 1 DSGVO die Übermittlung und Weiterübermittlung von personenbezogenen Daten an ein Drittland oder eine internationale Organisation nur dann für zulässig, wenn mindestens ein Erlaubnistatbestand der Art. 45–49 DSGVO erfüllt wird und auch die sonstigen Bestimmungen der DSGVO eingehalten werden.
Dieses präventive Verbot mit Erlaubnisvorbehalt hat zwei praktische Auswirkungen: Einerseits werden die Mindeststandards der DSGVO perpetuiert, indem ihre räumliche Umgehung verhindert wird. Andererseits strahlt das hohe Datenschutzniveau auf Drittländer aus. Um nämlich einen redlichen EU-Datenexporteur zu finden, muss sich ein nicht in der EU ansässiger Importeur personenbezogener Daten (über die Art. 44 ff. DSGVO zumindest mittelbar) den Regelungen der DSGVO unterwerfen – selbst bei einer Weiterübermittlung an ein weiteres Drittland.
1. Tatbestand
a) Internationale Organisation
Rz. 11
Art. 4 Nr. 26 DSGVO definiert die internationale Organisation als "eine völkerrechtliche Organisation und ihre nachgeordneten Stellen oder jede sonstige Einrichtung, die durch eine zwischen zwei oder mehr Ländern geschlossene Übereinkunft oder auf der Grundlage einer solchen Übereinkunft geschaffen wurde". Ein Beispiel hierfür ist die Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD).
b) Drittland
Rz. 12
Drittländer (nicht legaldefiniert) sind alle Länder, in denen die DSGVO aufgrund eines fehlenden unionsrechtlichen Rechtsanwendungsbefehls nicht gilt. Im Grundsatz sind damit alle Staaten gemeint, die außerhalb der EU (bzw. des EWR) liegen.
c) Übermittlung
Rz. 13
Art. 44 S. 1 DSGVO verbietet "Jedwede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland […] verarbeitet werden sollen", ohne aber den Begriff der Übermittlung zu definieren. Richtigerweise ist unter Übermittlung jeder analoge oder digitale Vorgang zu verstehen, bei dem personenbezogene Daten zu einem Empfänger im Drittland oder in einer internationalen Organisation gelangen. Diese weite Definition umfasst jede Form der Datenübertragung und verhindert damit – im Sinne des Art. 44 S. 2 DSGVO – eine technische Umgehung der Art. 44 ff. DSGVO.
Rz. 14
Aus dem Wortlaut des Art. 4 Nr. 26 DSGVO geht nicht eindeutig hervor, ob es sich bei der grenzüberschreitenden Datenübermittlung um eine Form der Datenverarbeitung handelt. Nach herrschender Meinung ist jedenfalls dann von einer Datenüberverarbeitung auszugehen, wenn es zu einer Offenlegung im Drittland kommt. Die Annahme einer Datenverarbeitung hat zur Folge, dass die Übermittlung (zusätzlich zu den Art. 44 ff. DSGVO) auch an allgemeinen Datenverarbeitungsnormen (im Beschäftigtenkontext also § 26 BDSG) zu messen ist.
Rz. 15
Praxistipp
Die Übermittlung von Beschäftigtendaten sollte (zusätzlich zu den Anforderungen nach Art. 44 ff. DSGVO) sicherheitshalber auch als eigenständige Datenverarbeitungs-Tätigkeit i.S.v. Art. 4 Nr. 2, 30 DSGVO dokumentiert und an § 26 BDSG gemessen werden.
d) Weiterübermittlung
Rz. 16
Art. 44 Abs. 1 S. 1 Hs. 2 DSGVO erstreckt das präventive Verbot auch auf "die etwaige Weiterübermittlung personenbezogener Daten durch das betreffende Drittland […] in ein anderes Drittland". Weiterleitung meint also jede Übermittlung von solchen Daten, die Gegenstand einer bereits nach Art. 44 ff. DSGVO vollzogenen Übermittlung waren. Erwägungsgrund 104 S. 4 DSGVO ("In jedem Fall") stellt klar, dass die Anforderungen der Art. 44 ff. DSGVO auch von im Drittland ansässigen Empfängern strikt beachtet werden müssen, wenn eine Weiterübermittlung erfolgt. Insofern weitet die Spezialnorm Art. 44 Abs. 1 S. 1 Hs. 2 DSGVO die räumliche Reichweite der DSGVO gegenüber den allgemeinen Bestimmungen des Art. 3 DSGVO erheblich aus. Im Ergebnis haftet das hohe DSGVO-Schutzniveau den aus der EU stammenden Daten also dauerhaft an, wird also perpetuiert.
2. Rechtsfolgen
Rz. 17
Verstöße gegen das präventive Verbot des Art. 44 S. 1 DSGVO sind bußgeldbewehrt. Wer Daten ohne Erlau...