Datentransfer in Drittländer 

Eine Auslegungsfrage. Und auch die Lösung?

Datentransfer in Drittländer

Ich nehme es vorweg:
Die nachstehend dargestellte Auffassung ist definitiv kein Allheilmittel. Hat man sämtliche Datentransfers in Drittländer ermittelt kann diese Auslegung aber zur weitergehenden Prüfung genutzt werden. Es bleibt jedoch die Möglichkeit, dass die Behörden dies nicht akzeptieren, bei ihrer Auffassung verbleiben.

Nochmals zur Ausgangssituation:
Durch das Schrems-II-Urteil des EuGH wurde das Privacy Shield für unwirksam erklärt. Die bisherigen Standarddatenschutzklauseln (SDK) sollen hingegen im Grundsatz geeignet sein, die Übermittlung aus der EU in ein Drittland (d. h. alle Staaten, die nicht Mitglied der EU oder EWR-Staaten sind) zu gewährleisten, soweit zusätzliche, allen voran technische Maßnahmen zum Schutz gegen die als unrechtmäßig eingestuften Zugriffe durch US-Behörden ergriffen werden. Mit Blick auf die Schlussbemerkungen der Stellungnahmen des Europäischen Datenschutzausschusses (EDSA) zu aktuellen BCR werden diese aller Voraussicht nach ein ähnliches Schicksal teilen. Am 7.6.2021 wurde schließlich auch der lange erwartete Beschluss der EU-Kommission veröffentlicht, um Art. 46 Abs. 3 lit. c DS-GVO und den Anforderungen der Schrems-II-Entscheidung durch neue SDK nachzukommen (SDK-neu, ABl. L 199 v. 7.6.2021, S. 31–61).  Die DS-GVO sieht jedoch Ausnahmen in dem Sinne vor, dass der Datentransfer in Drittländer unter den genannten Voraussetzungen, in einigen Ausnahmefällen gleichwohl rechtmäßig erfolgen kann.
Eine dieser Vorschriften sind die in der Praxis bisher weniger diskutierten „Ausnahmen“ des Art. 49 DS-GVO. Der EDSA und große Teile der Literatur legen die Vorschrift, insbesondere die von Absatz 1 UAbs. 1 erfassten Fallgruppen, sehr restriktiv aus. Daher kommt dieser Vorschrift bisher kaum praktische Bedeutung zu.  Leibold/Roth (aaO, s. unten) kommen zu dem Schluss: „Es ist daher nach alldem für eine weite Auslegung des Art. 49 Abs. 1 UAbs. 1 DS-GVO zu plädieren. Rechtspolitisch sollte sich der EDSA dringend mit einer entsprechenden Evaluierung seiner Leitlinie zu Art. 49 DS-GVO befassen. Dies ist einerseits geboten, um in einer Linie mit den Anforderungen der …  Rechtsprechung des EuGH zu handeln, und andererseits, um Verantwortlichen und Auftragsverarbeitern den notwendig verfügbaren Spielraum aufzuzeigen, wenn diese z. B. die Anforderungen der SDK-neu nicht erfüllen können.“

Nach Art. 44 ff. DSG-VO ist jedwede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, nur zulässig, wenn der Verantwortliche bzw. Auftragsverarbeiter die niedergelegten Bedingungen einhält und auch die sonstigen Bestimmungen eingehalten werden (kurz: außereuropäischer Datentransfer).  Kommen weder ein Angemessenheitsbeschluss (Art. 45 DS-GVO) noch geeignete Garantien nach Art. 46 DS-GVO (z. B. SDK, BCR) in Frage, bleibt für den datenexportierenden Verantwortlichen bzw. Auftragsverarbeiter als letzter Rettungsanker nur der Weg über Art. 49 DS-GVO. Art. 49 DS-GVO sieht hierfür ausweislich seiner Überschrift „Ausnahmen für bestimmte Fälle“ vor. Für die Praxis besonders relevante Tatbestände sind im Absatz 1 UAbs. 1 aufgeführt Nach Ansicht des EDSA ist die Vorschrift als Ausnahmeregelung anzusehen, die nur bei gelegentlichen bzw. nicht wiederholten Datenübermittlungen in ein Drittland zur Anwendung gelange. Die deutschen Aufsichtsbehörden schließen sich der Ansicht des EDSA an. 

In der deutschen Literatur wird überwiegend die Auffassung des EDSA teilweise ohne nähere Begründung oder Auseinandersetzung wiedergegeben und ebenfalls eine restriktive Auslegung der Vorschrift befürwortet: „Gelegentlich“ sei eine Übermittlung nur dann, wenn sie nicht wiederholt oder i. R. e. Vielzahl ähnlicher Fälle erfolgt.  Nach Leibold/Roth sprechen die besseren Gründe gegen eine restriktive Auslegung des Art. 49 DS-GVO:

„Einerseits äußert der EDSA in seiner Leitlinie 2/2018 die Rechtsauffassung, dass auch diejenigen Ausnahmen, die nicht ausdrücklich auf „gelegentliche“ oder „nicht wiederholte“ Übermittlungen beschränkt sind, so auszulegen seien, dass nicht gegen das Wesen einer Ausnahmeregelung verstoßen werde. Die zur Begründung angeführte Fußnote 8 führt jedoch ins Leere. Eine Nachfrage beim EDSA ergab, dass selbst der EDSA nicht mehr in der Lage sei, herauszufinden, welcher Beleg in dieser entscheidenden Fußnote 8 aufgeführt werden sollte (vgl. Tweet von @Artikel91 v. 1.6.2021). Andererseits scheint der EDSA in seinen „Leitlinien 3/2020 für die Verarbeitung von Gesundheitsdaten für wissenschaftliche Forschungszwecke im Zusammenhang mit dem COVID-19-Ausbruch“, insbesondere mit Rückgriff auf Art. 168 AEUV, eine zeitweilige Ausnahme von seiner eigenen restriktiven Auslegung zu tolerieren: „Behörden und private Einrichtungen können angesichts der derzeitigen Pandemie – wenn es nicht möglich ist, sich auf einen Angemessenheitsbeschluss nach Art. 45 Abs. 3 oder geeignete Garantien nach Art. 46 zu berufen – die o. g. geltenden Ausnahmeregelungen [Art. 49 Abs. 1 UAbs. 1 lit. a, lit. d DS-GVO] als vorübergehende Maßnahme auf Grund der Dringlichkeit der medizinischen Lage weltweit anwenden“ (Rn. 66).

Des Weiteren sprechen systematische Erwägungen gegen eine restriktive Auslegung des Art. 49 DS-GVO: Eine Feststellung des EuGH im Urteil zu Schrems II deutet zunächst auf ein substitutives Verständnis beim Verhältnis des Art. 49 DS-GVO zu den übrigen Vorgaben des Kapitel V hin. So soll die Vorschrift des Art. 49 DS-GVO trotz Wegfall des Privacy Shield oder trotz Fehlen geeigneter Garantien nach Art. 46 DS-GVO ein „rechtliches Vakuum“ vermeiden können, was andernfalls die Aufrechterhaltung des das Privacy Shield tragenden DSS-Beschluss hätte womöglich rechtfertigen können (EuGH, a. a. O., Rn. 202). Der EuGH verweist hierzu zunächst auf Rn. 106 seines U. v. 28.4.2016 – C-191/14 u. a., die wiederum auf die Rn. 61 eines vorhergehenden U. v. 28.2.2012 – C-41/11 referenziert. Fazit aus beiden Entscheidungen: Würde die Ungültigkeit eines Kommissionsbeschlusses dazu führen, dass die Erreichung der mit einem EU-Sekundärrechtsakt verfolgten Ziele gefährdet würde, kann der EuGH bei zwingenden Erfordernissen der Rechtssicherheit die Fortgeltung einzelner Wirkungen des ungültig erklärten Beschlusses feststellen.
Übertragen auf die Schrems-II-Entscheidung bedeutet dies:
Ziele der DS-GVO sind der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten sowie der freie Verkehr solcher Daten (Art. 1 Abs. 1). Hätte der EuGH befürchten müssen, dass diese beiden Ziele durch den Wegfall des Privacy Shield oder der „geeigneten Garantie“ nach Art. 46 DS-GVO gefährdet würden, hätte er die Aufhebung des DSS-Beschlusses zeitlich bedingen können. Dies ist nicht geschehen. Daraus kann gefolgert werden, dass der EuGH die Vorschrift des Art. 49 DS-GVO dahingehend für geeignet hält, die von den Art. 45 und 46 DS-GVO abgedeckten außereuropäischen Datentransfers in einer Weise zu bedienen, die den beiden Zielen der DS-GVO nicht zuwiderlaufen. Insbesondere mit Blick auf das benannte Ziel der Datenverkehrsfreiheit wäre es nun widersprüchlich, per se all die Fallgruppen außereuropäischen Datentransfers aus dem Anwendungsbereich des Art. 49 DS-GVO herauszunehmen, die nicht nur „gelegentlich“ oder „nicht wiederholend“ erfolgen.

Eine an der Auffassung des EDSA und an dem Wortlaut des Erwägungsgrunds 111 S. 1 orientierte Übersicht der IAPP stellt anhand praktischer Beispiele, insbesondere mit Blick auf deren Vereinbarkeit mit Art. 49 Abs. 1 UAbs. 1 lit. b, lit. c und lit. f DS-GVO, plastisch dar, wie viele rechtliche Unsicherheiten oder datenwirtschaftliche Unmöglichkeiten bei einer derart restriktiven Interpretation für etablierte außereuropäische Datentransfers bestehen würden. Die Folgen einer solch restriktiven Auslegung von Art. 49 Abs. 1 UAbs. 1 DS-GVO würden zu einem Vakuum führen, das in seiner Wirkung auch Art. 16 GRCh widersprechen könnte. Der EuGH billigt daher Art. 49 DS-GVO zu Recht eine kompensierende Wirkung zu, die durch eine weitere Interpretation ermöglicht wird.

Der EuGH stellt in der Rs. Schrems II ausdrücklich fest, dass alle Vorgaben des Kapitel V im Lichte des Art. 44 DS-GVO auszulegen sind, um das nach der DS-GVO geforderte Schutzniveau zu gewährleisten (EuGH, a. a. O., Rn. 92). Hätte der Normgeber Art. 49 DS-GVO die Möglichkeit absprechen wollen, diese Vorgabe erfüllen zu können, so hätte er dies in Art. 44 DS-GVO ausdrücklich benannt. Dass er dies bewusst nicht getan hat, zeigt auch der Umstand, dass Art. 49 DS-GVO verschiedene Korrektive enthält, um vermeintlich ausufernde, dem Schutzniveau entgegenlaufende Übermittlungen zu verhindern: Z. B. muss im Fall von Art. 49 Abs. 1 UAbs. 1 lit. a DS-GVO die „Einwilligung“ des Betroffenen „ausdrücklich“ und unter Hinweis auf die mit der Übermittlung verbundenen „Risiken“ erfolgen. Die Einwilligung an sich ist bereits ein die Datenverarbeitung legitimierender Tatbestand, dem über Art. 8 Abs. 2 GRCh ein Regelcharakter zugewiesen wird. Die Einwilligung als Ausprägung des Selbstbestimmungsrechts des Betroffenen mit einem Gelegenheitscharakter zu brandmarken würde dem zuwiderlaufen. Im Fall von lit. b gilt es, die „Erforderlichkeit“ speziell für die Übermittlung nachzuweisen. Fehlen diese Korrektive, ordnet Art. 49 Abs. 1 UAbs. 2 DS-GVO strenge Voraussetzungen an: die Übermittlung dürfe insbesondere nicht wiederholend sein, nur eine begrenzte Zahl von betroffenen Personen betreffen, für die Wahrung der zwingenden berechtigten Interessen des Verantwortlichen erforderlich sein und es müssen zusätzliche Informations- und Dokumentationspflichten erfüllt sein. Rechtsgüterabwägungen sind auch anderen Instrumenten des Kapitel V nicht unbekannt. Die EU-Kommission sieht, in Umsetzung von Art. 46 Abs. 2 lit. c DS-GVO, mit Art. 14 SDK-neu eine solche Abwägung in Form eines Transfer Impact Assessment (TIA) vor. Die Instrumente in Kapitel V müssen in ihrer Anwendung also nacheinander geprüft werden, stehen aber in keinem Regel-Ausnahme-Verhältnis, das es erlauben würde, Art. 49 Abs. 1 UAbs. 1 DS-GVO durch die Heranziehung weiterer Merkmale, wie dargestellt, streng restriktiv auszulegen. 

Ein wesentliches Argument gegen eine restriktive Interpretation des Art. 49 Abs. 1 UAbs. 1 DS-GVO ist, dass der Wortlaut von Art. 49 DS-GVO durch die Heranziehung der einengenden Merkmale aus dem Erwägungsgrund 111 S. 1 in unzulässiger Weise erweitert wird. Dies widerspricht dem eindeutigen Wortlaut des Art. 49 DS-GVO. Der EuGH vertritt in seiner Rspr. den Standpunkt, dass „die Begründungserwägungen eines Gemeinschaftsrechtsakts rechtlich nicht verbindlich sind und weder herangezogen werden können, um von den Bestimmungen des betreffenden Rechtsakts abzuweichen, noch, um diese Bestimmungen in einem Sinne auszulegen, der ihrem Wortlaut offensichtlich widerspricht“ (seit EuGH U. v. 19.11.1998 – C-162/97 – Nilsson u. a.; EuGH U. v. 19.6.2014 – C-345/13, Rn. 31 – Karen Millen Fashions Ltd/Dunnes Stores u. a.). Selbst die EU spricht den Erwägungsgründen Unverbindlichkeit zu (EU, Gemeinsamer Leitfaden des Europäischen Parlaments, des Rates und der Kommission für Personen, die an der Abfassung von Rechtstexten der Europäischen Union mitwirken, 2016, Kap. 10.1). Art. 49 Abs. 1 UAbs. 2 DS-GVO besagt eindeutig, dass eine „nicht wiederholte“ Übermittlung nur dann stattzufinden hat, wenn die Übermittlung personenbezogener Daten weder auf eine Bestimmung der Art. 45, 46 DS-GVO gestützt werden kann und Art. 49 Abs. 1 UAbs. 1 DS-GVO nicht einschlägig ist. Nur wenn all diese Bestimmungen nicht einschlägig sind, kann die Übermittlung in ein Drittland erfolgen, soweit diese „nicht wiederholt“ erfolgt und die übrigen Voraussetzungen des Art. 49 Abs. 1 UAbs. 2 DS-GVO erfüllt sind.“

Diese Ansicht wird gestützt auf ebensolche weitergehenden Interpretationen in der Literatur:  Moos/Rothkegel lehnen die restriktive Auffassung ab, da das Merkmal „gelegentlich“ ausschließlich in den Erwägungsgründen der DS-GVO, nicht aber im Normtext des Art. 49 Abs. 1 UAbs. 1 DS-GVO genannt wird. Eine verbindliche Wirkung komme den Erwägungsgründen nicht zu (Moos/Rothkegel, Anm. zu EuGH, ZD 2020, 522 (527)).

Kühling/Klar/Sackmann merken an, dass lediglich Art. 49 Abs. 1 UAbs. 2 DS-GVO ausdrücklich die nicht wiederholende Datenübermittlung für die dort erfassten Fälle vorsieht. Für die Anwendbarkeit des Art. 49 Abs. 1 UAbs. 1 DS-GVO sei gerade nicht Voraussetzung, dass diese nur gelegentlich oder nur nicht wiederholend erfolge (Kühling/Klar/Sackmann, Datenschutzrecht, 5. Aufl. 2021, Rn. 599; ebenso Hansen-Oest, a. a. O., wonach sich der Begriff „gelegentlich“ i. S. d. Erwägungsgrunds 111 S. 1 nicht auf den Unterabsatz 1 beziehe).

Nach Albrecht beziehen sich die Begriffe „gelegentlich“ und „nicht wiederholt“ zumindest nicht auf die Einwilligung nach Art. 49 Abs. 1 UAbs. 1 lit. a DS-GVO (Albrecht, Rechtliche Einschätzung: Einordnung des Schrems-II-Urteil (Privacy Shield) und Handlungsvorschläge, S. 5; ähnl. Lange/Filip, a. a. O.).

Nach Schröder sei die Auffassung des EDSA zwar nachvollziehbar, jedoch weist der Autor auf die praktischen Probleme hin, welche diese Auffassung in der Praxis nach sich ziehe (als Beispiel wird die Frage aufgeworfen, wie eCommerce-Anbieter aus Drittstaaten noch mit EU-Bürgern in einen Handel treten könnten). Gegen ein zu enges Verständnis der Vorschrift spreche bereits der Wortlaut des Art. 49 DS-GVO („eine Übermittlung oder eine Reihe von Übermittlungen“). Nach Ansicht von Schröder erfassen die Ausnahmen grundsätzlich auch regelmäßige Datenübermittlungen. Nur Art. 49 Abs. 1 UAbs. 2 DS-GVO schränke dies entsprechend ein. Es liege in der Entscheidung des Einzelnen als Ausfluss seines Selbstbestimmungsrechts, ob er mit Anbietern aus unsicheren Drittstaaten Verträge abschließe. Zumindest für die Ausnahmevorschrift des Art. 49 Abs. 1 UAbs. 1 lit. b DS-GVO dürfe die Anforderung der gelegentlichen Datenübermittlung nicht gelten (Schröder, a. a. O., Rn. 11 a, 19 a).

Lange/Filip meinen, dass auf Grund der Nichtbezugnahme des Begriffs „gelegentlich“ in Erwägungsgrund 111 S. 1 auf die Ausnahmen des Art. 49 Abs. 1 UAbs. 1 lit. d, lit. f, und lit. g DS-GVO auch wiederholte, systematische Übermittlungen gestützt werden können (Lange/Filip, a. a. O.: „Dieser Ansatz des Gesetzgebers muss angesichts des Fehlens jeglicher Schutzvorkehrungen bei Übermittlungen auf Basis von Art. 49 DS-GVO indes kritisch gesehen werden“).

Quelle: Leibold/Roth: Gelegentliche bzw. nicht wiederholte Datenverarbeitung? Auslegungsschwierigkeiten bei Art. 49 DS-GVO, ZD-Aktuell 2021, 05247 / Kevin Leibold, LL. M., ist Rechtsreferendar am Saarländischen Oberlandesgericht und Doktorand an der Universität des Saarlandes, Heiko Markus Roth, LL. M., ist interner Datenschutzbeauftragter im Konzern eines international agierenden Herstellers für medizinische Laboratoriumsdiagnostik