Der Europäische Datenschutzausschuss (EDSA) hat auf seiner jüngsten Plenarsitzung die endgültige Fassung seiner Leitlinien für Datenübermittlungen an Behörden von Drittstaaten verabschiedet. Dem Beschluss war eine öffentliche Konsultation vorausgegangen. Mit dem Papier gehen die EU-Datenschutzbehörden vor allem näher auf Artikel 48 der Datenschutz-Grundverordnung (DSGVO) ein. Dabei halten sie insbesondere fest, dass Urteile oder Entscheidungen von Ämtern aus Staaten jenseits der Gemeinschaft in Europa nicht automatisch anerkannt oder vollstreckt werden können.
In Artikel 48 DSGVO geht es um Transfers oder die Offenlegung von personenbezogenen Informationen, die nach dem EU-Recht nicht zulässig sind. Grundsätzlich könne ein internationales Abkommen sowohl eine Rechtsgrundlage als auch einen Grund für eine Übermittlung vorsehen, erläutert der EDSA nun. Anwendbare Übereinkünfte müssten aber unter anderem vorschreiben, "dass die wichtigsten Datenschutzgrundsätze von beiden Parteien gewährleistet werden". Durchsetzbare und wirksame Rechte der betroffenen Personen sollten also gewährleistet und Schranken für den Weitertransfer und den Datenaustausch enthalten sein. Dazu kommen müssten Schutzmaßnahmen für sensible Daten sowie unabhängige Rechtsbehelfs- und Kontrollmechanismen.
Die Leitlinien konzentrieren sich auf Anfragen, die auf die direkte Zusammenarbeit zwischen einer Behörde eines Drittlandes und einem privaten Unternehmen in der EU abzielen. Solche Ersuchen können dem EDSA zufolge von allen möglichen Ämtern gestellt werden. Dazu gehörten auch solche, die den privaten Sektor kontrollieren wie Bankenaufsichts- und Steuerbehörden.
Ohne Abkommen ist Einzelfallprüfung nötig
In solchen Fällen greife die DSGVO, konstatiert der Ausschuss. Dies bedeute, dass wie bei jeder entsprechenden Übermittlung eine Rechtsgrundlage für die Verarbeitung in Artikel 6 und ein Grund für einen Transfer in Kapitel V DSGVO vorliegen müsse. In diesem ist etwa festgeschrieben, dass erfasste Informationen bei Übertragungen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Form verarbeitet werden müssen. Vorsicht gilt hier vor allem, da viele Drittstaaten Datenschutzgesetze haben, die nicht das gleiche Schutzniveau wie die DSGVO bieten.
Ohne ein geeignetes internationales Abkommen "können in Ausnahmefällen und im Einzelfall andere Rechtsgrundlagen oder andere Gründe für die Übermittlung in Betracht gezogen werden", unterstreicht der EDSA. Dies gelte prinzipiell auch, wenn der Empfänger einer Anfrage ein Auftragsverarbeiter sei. Allgemeine Aussagen ließen sich aufgrund der Vielzahl möglicher Situationen nur eingeschränkt treffen. Grundsätzlich komme auch eine Einwilligung nach Artikel 6 als Basis für einen Transfer in Drittstaaten in Betracht. In bestimmten Bereichen sei dieses Instrument jedoch "in der Regel ungeeignet, insbesondere wenn die Verarbeitung der Daten mit der Ausübung behördlicher Befugnisse verbunden ist".
Das prinzipiell mögliche Abstellen auf "lebenswichtige Interessen einer anderen natürlichen Person" sollte der Richtlinie zufolge grundsätzlich nur dann erfolgen, wenn offensichtlich keine andere Rechtsgrundlage greife. Grundsätzlich sei zudem jede Verarbeitung auf Basis eines weiterhin in Frage kommenden berechtigten Interesses auf das beschränkt, was nachweislich und spezifisch dafür erforderlich sei.
Bereich der Strafverfolgung ist weitgehend außen vor
Für Zwecke der Strafverfolgung und der nationalen Sicherheit finde der Datenaustausch üblicherweise zwischen den beteiligten Behörden statt, erklären die Kontrolleure. Artikel 48 beziehungsweise die DSGVO insgesamt seien daher nicht anwendbar. Für die Bereiche Justiz und Strafverfolgung gibt es eine eigene Datenschutzrichtlinie. Der EDSA bekräftigt daher, dass in Situationen, in denen etwa ein Rechtshilfeabkommen bestehe, EU-Unternehmen direkte Anfragen grundsätzlich ablehnen und die anfragende Drittstaatsbehörde auf das verfügbare Werkzeug verweisen sollten.
In jüngster Zeit würden aber vermehrt internationale Abkommen abgeschlossen, die auch direkte Anfragen von Strafverfolgungsbehörden in Drittstaaten um Zugriff auf personenbezogene Daten vorsehen, die privaten Einrichtungen in der EU verarbeiten, beklagt das Gremium ein Aushebeln dieses Grundsatzes. Es verweist etwa auf das Zusatzprotokoll zum Übereinkommen über Computerkriminalität für die Offenlegung elektronischer Beweismittel (E-Evidence). Trotzdem gälten auch hier die Strafprozessregeln des Mitgliedstaats der Stelle, die ein entsprechendes Ersuchen erhalte.
Diese Leitlinien decken ferner Szenarien nicht ab, in dem eine Behörde eines Drittlandes persönliche Daten von einer auf ihrem Hoheitsgebiet ansässigen Muttergesellschaft anfordert, wobei die begehrten Informationen aber bei deren Tochter in der EU liegen. In einem solchen Fall müsse der Ableger als Exporteur die DSGVO einhalten. Je nach Umfang könne dann ein Angemessenheitsbeschluss wie der EU-US-Datenschutzrahmen ein relevantes Instrument für derartige Übermittlungen sein. Der Europäische Gerichtshof (EuGH) befand 2020 im "Schrems-II"-Urteil aber noch, dass einzelne US-Gesetze weiterhin eine Massenüberwachung ermöglichten und der Datenschutzstandard in den USA so nicht dem in der EU entspreche.
(nen)
English (US) ·