Mit Geltung der Datenschutz‑Grundverordnung (DSGVO) folgt der Artikel‑29‑Datenschutzgruppe nunmehr der Europäische Datenschutzausschuss nach. Unter Bezugnahme auf Art 70 Abs 1 lit e) DSGVO hat er bereits am 25.5.2018 die „Guidelines 2/2018 on Derogations of Article 49 under Regulation 2016/679“ verabschiedet. Darin äußert sich der Datenschutzausschuss auch zur neu geschaffenen Möglichkeit, den Drittlandtransfer personenbezogener Daten ausnahmsweise mit einem (zwingenden) berechtigten Interesse des Verantwortlichen zu legitimieren.
In den Guidelines 2/2018 beschäftigt sich der Datenschutzausschuss mit den Bedingungen, unter denen ein internationaler Datentransfer ausnahmsweise auch dann erlaubt ist, wenn weder ein Angemessenheitsbeschluss nach Art 45 Abs 3 DSGVO vorliegt noch geeignete Garantien nach Art 46 DSGVO bestehen.
Art 49 Abs 1 Unterabs 1 DSGVO sieht als Ausnahmetatbestände grundsätzlich die ausdrückliche Einwilligung der betroffenen Person, die Erforderlichkeit zur Erfüllung eines Vertrags, wichtige Gründe des öffentlichen Interesses, die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen, den Schutz lebenswichtiger Interessen oder die Übermittlung aus einem öffentlichen Register vor.
Nur für den Fall, dass auch keine dieser genannten Ausnahmebestimmungen zur Anwendung kommt, darf nach Art 49 Abs 1 Unterabs 2 ein Drittlandtransfer dann erfolgen, wenn er nicht wiederholt erfolgt, nur eine begrenzte Zahl von betroffenen Personen betrifft, für die Wahrung der zwingenden berechtigten Interessen des Verantwortlichen erforderlich ist – sofern die Interessen oder die Rechte und Freiheiten der betroffenen Person nicht überwiegen – und der Verantwortliche alle Umstände der Datenübermittlung beurteilt sowie darauf aufbauend geeignete Garantien in Bezug auf den Schutz personenbezogener Daten vorgesehen hat: Die Vielzahl der Voraussetzungen für die Anwendbarkeit dieses Ausnahmetatbestand erklärt sich aus dem Verhandlungsprozess, in dem die Legitimation von Auslandstransfers auf Basis (zwingender) berechtigter Interessen vielfach kritisch bis ablehnend gesehen wurde (siehe dazu etwa Fercher/Riedl, DSGVO: Entstehungsgeschichte und Problemstellungen aus österreichischer Sicht, in Knyrim (Hrsg), Datenschutz-Grundverordnung, 27f).
Berechtigte Interessen als Ausnahmetatbestand
Angesichts dieser engen Voraussetzungen wird der Ausnahmetatbestand daher nicht umsonst als „last resort“ bezeichnet (European Data Protection Board, Guidelines 2/2018 on Derogations of Article 49 under Regulation 2016/679, 14). Um nämlich den Datentransfer überhaupt grundsätzlich auf Art 49 Abs 1 Unterabsatz 2 DSGVO stützen zu dürfen, soll der Datenexporteur darlegen, dass er sich ernstlich bemüht hat, den Datentransfer anders zu legitimieren (European Data Protection Board, Guidelines 2/2018, 15).
Ist dann der Anwendungsbereich von Art 49 Abs 1 Unterabs 2 DSGVO eröffnet, ist das Vorliegen von zwingenden berechtigten Interessen des Verantwortlichen zu prüfen. Im Gegensatz zu Art 6 Abs 1 lit f) DSGVO, wonach die Verarbeitung personenbezogener Daten rechtmäßig ist, wenn dies zur Wahrung (einfach) berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sind die Grenzen von Art 49 Abs 1 Unterabs 2 DSGVO somit schon insoweit enger gezogen: Nicht alle denkbaren berechtigten Interessen iSd Art 6 Abs 1 lit f) DSGVO werden zwingend und somit anwendbar sein (European Data Protection Board, Guidelines 2/2018, 15); berechtigte Interessen Dritter sind überhaupt irrelevant (so auch Klug in Gola, DS-GVO, Art 49 Rz 12).
Zwingende berechtigte Interessen sollen etwa vorliegen, wenn der Verantwortliche verpflichtet ist, personenbezogene Daten zu übermitteln, um seine Organisation bzw. Systeme vor ernstzunehmenden Schäden oder schwerwiegenden Sanktionen zu schützen, die seine Geschäftstätigkeit wesentlich beeinträchtigen könnten (European Data Protection Board, Guidelines 2/2018, 15). In ErwG 113 DSGVO werden in diesem Zusammenhang auch wissenschaftliche oder historische Forschungszwecke bzw statistische Zwecke als berücksichtigungswürdig genannt.
Erforderlichkeit einer Interessenabwägung
Im Hinblick auf die Abwägung der zwingenden berechtigten Interessen des Verantwortlichen gegen die Interessen oder Rechte und Freiheiten der betroffenen Person muss der Datenexporteur sämtliche Umstände – nach ErwG 113 DSGVO insbesondere die Art der personenbezogenen Daten, den Zweck und die Dauer der Verarbeitung, die Situation im Herkunftsland, im Drittland und im Endbestimmungsland – des Datentransfers beurteilen.
Mögliche negative Effekte für die betroffenen Personen bzw Risiken des Datentransfers, insbesondere unter Berücksichtigung deren Eintrittswahrscheinlichkeit und Schwere, sind dabei ins Kalkül zu ziehen, wobei mögliche Schäden materieller wie immaterieller Natur zu berücksichtigen sind (European Data Protection Board, Guidelines 2/2018, 16).
Der Datenexporteur muss im Hinblick auf die identifizierten Risiken auch (zusätzliche) geeignete Garantien in Bezug auf den Schutz personenbezogener Daten vorsehen; andernfalls sollen die Interessen oder Rechte und Freiheiten der betroffenen Personen das Interesse des Verantwortlichen am Datentransfer jedenfalls überwiegen: Der Datenschutzausschuss nennt hier neben technischen und organisatorischen Maßnahmen auch die Sicherstellung der möglichst umgehenden Datenlöschung nach dem Datentransfer, die Begrenzung der Zwecke, für die die Daten nach dem Transfer verarbeitet werden sollen oder die Prüfung, ob auch die Übermittlung pseudonymisierter oder verschlüsselter Daten ausreichend ist (European Data Protection Board, Guidelines 2/2018, 16).
Keine wiederholte Übermittlung, begrenzte Betroffenenzahl, Information an Behörde
Abgesehen davon verlangt Art 49 Abs 1 Unterabs 2 DSGVO auch, dass die Übermittlung nicht wiederholt erfolgt, was bedeutet, dass zwar solche Übermittlungen mehr als einmal stattfinden können, jedoch nicht regelmäßig, weshalb etwa der direkte Zugriff auf eine Datenbank durch den Datenimporteur keinesfalls als nicht wiederholt beurteilt werden kann (European Data Protection Board, Guidelines 2/2018, 4f). In der Literatur wird als Kriterium für „wiederholt“ auch gesehen, wenn der Verantwortliche bei der ersten oder zweiten Übermittlung bereits häufigere Übermittlungen intendiert (Laue/Nink/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, 190).
Um einen Datentransfer auf zwingende berechtigte Interessen stützen zu können, ist es auch notwendig, dass die Zahl betroffener Personen begrenzt ist. Wenn etwa der Datenexporteur zur Analyse eines schweren Sicherheitsvorfalls Daten übermitteln muss, um seine Organisation zu schützen, soll der Datentransfer jedenfalls nicht im Hinblick auf sämtliche Beschäftigte des Verantwortlichen durchzuführen sein, sondern lediglich im Hinblick auf einige bestimmte wenige; generell ist aber die Beurteilung, was unter einer begrenzten Zahl zu verstehen ist, anhand des konkreten Einzelfalls vorzunehmen (European Data Protection Board, Guidelines 2/2018, 15). Vertreten wird in diesem Zusammenhang auch, dass es auf die Relation der übermittelten zu den tatsächlich vorhandenen Daten ankommen soll (Laue/Nink/Kremer, 190).
Zuletzt muss auch die Aufsichtsbehörde von einem entsprechenden Datentransfer auf Basis von Art 49 Abs 1 Unterabs 2 DSGVO informiert werden, wobei eine gesonderte Genehmigung dafür nicht erforderlich ist (European Data Protection Board, Guidelines 2/2018, 16). Neben der Behörde sind auch die entsprechenden betroffenen Personen vom Datentransfer zu unterrichten.
Voraussichtlich geringer Anwendungsbereich
Aufgrund der Subsidiarität des Art 49 Abs 1 Unterabs 2 DSGVO und der hohen Anforderungen an den Auffangtatbestand wird dessen Anwendungsbereich voraussichtlich gering (Laue/Nink/Kremer, 190) und die Gefahr zu extensiver Auslegung (so aber etwa Fercher/Riedl, in Knyrim (Hrsg), 28) auch angesichts der strengen Sichtweise des Datenausschusses wohl nicht gegeben sein.
In jedem Fall ist es ratsam, zunächst allen anderen von der DSGVO zur Verfügung gestellten Instrumenten und Ausnahmebestimmungen zur Legitimation des internationalen Datentransfers den Vorzug zu geben, bevor man die Heranziehung von Art 49 Abs 1 Unterabs 2 DSGVO ernsthaft in Erwägung zieht.
Mit Geltung der Datenschutz‑Grundverordnung (DSGVO) folgt der Artikel‑29‑Datenschutzgruppe nunmehr der Europäische Datenschutzausschuss nach. Unter Bezugnahme auf Art 70 Abs 1 lit e) DSGVO hat er bereits am 25.5.2018 die „Guidelines 2/2018 on Derogations of Article 49 under Regulation 2016/679“ verabschiedet. Darin äußert sich der Datenschutzausschuss auch zur neu geschaffenen Möglichkeit, den Drittlandtransfer personenbezogener Daten ausnahmsweise mit einem (zwingenden) berechtigten Interesse des Verantwortlichen zu legitimieren.
In den Guidelines 2/2018 beschäftigt sich der Datenschutzausschuss mit den Bedingungen, unter denen ein internationaler Datentransfer ausnahmsweise auch dann erlaubt ist, wenn weder ein Angemessenheitsbeschluss nach Art 45 Abs 3 DSGVO vorliegt noch geeignete Garantien nach Art 46 DSGVO bestehen.
Art 49 Abs 1 Unterabs 1 DSGVO sieht als Ausnahmetatbestände grundsätzlich die ausdrückliche Einwilligung der betroffenen Person, die Erforderlichkeit zur Erfüllung eines Vertrags, wichtige Gründe des öffentlichen Interesses, die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen, den Schutz lebenswichtiger Interessen oder die Übermittlung aus einem öffentlichen Register vor.
Nur für den Fall, dass auch keine dieser genannten Ausnahmebestimmungen zur Anwendung kommt, darf nach Art 49 Abs 1 Unterabs 2 ein Drittlandtransfer dann erfolgen, wenn er nicht wiederholt erfolgt, nur eine begrenzte Zahl von betroffenen Personen betrifft, für die Wahrung der zwingenden berechtigten Interessen des Verantwortlichen erforderlich ist – sofern die Interessen oder die Rechte und Freiheiten der betroffenen Person nicht überwiegen – und der Verantwortliche alle Umstände der Datenübermittlung beurteilt sowie darauf aufbauend geeignete Garantien in Bezug auf den Schutz personenbezogener Daten vorgesehen hat: Die Vielzahl der Voraussetzungen für die Anwendbarkeit dieses Ausnahmetatbestand erklärt sich aus dem Verhandlungsprozess, in dem die Legitimation von Auslandstransfers auf Basis (zwingender) berechtigter Interessen vielfach kritisch bis ablehnend gesehen wurde (siehe dazu etwa Fercher/Riedl, DSGVO: Entstehungsgeschichte und Problemstellungen aus österreichischer Sicht, in Knyrim (Hrsg), Datenschutz-Grundverordnung, 27f).
Berechtigte Interessen als Ausnahmetatbestand
Angesichts dieser engen Voraussetzungen wird der Ausnahmetatbestand daher nicht umsonst als „last resort“ bezeichnet (European Data Protection Board, Guidelines 2/2018 on Derogations of Article 49 under Regulation 2016/679, 14). Um nämlich den Datentransfer überhaupt grundsätzlich auf Art 49 Abs 1 Unterabsatz 2 DSGVO stützen zu dürfen, soll der Datenexporteur darlegen, dass er sich ernstlich bemüht hat, den Datentransfer anders zu legitimieren (European Data Protection Board, Guidelines 2/2018, 15).
Ist dann der Anwendungsbereich von Art 49 Abs 1 Unterabs 2 DSGVO eröffnet, ist das Vorliegen von zwingenden berechtigten Interessen des Verantwortlichen zu prüfen. Im Gegensatz zu Art 6 Abs 1 lit f) DSGVO, wonach die Verarbeitung personenbezogener Daten rechtmäßig ist, wenn dies zur Wahrung (einfach) berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sind die Grenzen von Art 49 Abs 1 Unterabs 2 DSGVO somit schon insoweit enger gezogen: Nicht alle denkbaren berechtigten Interessen iSd Art 6 Abs 1 lit f) DSGVO werden zwingend und somit anwendbar sein (European Data Protection Board, Guidelines 2/2018, 15); berechtigte Interessen Dritter sind überhaupt irrelevant (so auch Klug in Gola, DS-GVO, Art 49 Rz 12).
Zwingende berechtigte Interessen sollen etwa vorliegen, wenn der Verantwortliche verpflichtet ist, personenbezogene Daten zu übermitteln, um seine Organisation bzw. Systeme vor ernstzunehmenden Schäden oder schwerwiegenden Sanktionen zu schützen, die seine Geschäftstätigkeit wesentlich beeinträchtigen könnten (European Data Protection Board, Guidelines 2/2018, 15). In ErwG 113 DSGVO werden in diesem Zusammenhang auch wissenschaftliche oder historische Forschungszwecke bzw statistische Zwecke als berücksichtigungswürdig genannt.
Erforderlichkeit einer Interessenabwägung
Im Hinblick auf die Abwägung der zwingenden berechtigten Interessen des Verantwortlichen gegen die Interessen oder Rechte und Freiheiten der betroffenen Person muss der Datenexporteur sämtliche Umstände – nach ErwG 113 DSGVO insbesondere die Art der personenbezogenen Daten, den Zweck und die Dauer der Verarbeitung, die Situation im Herkunftsland, im Drittland und im Endbestimmungsland – des Datentransfers beurteilen.
Mögliche negative Effekte für die betroffenen Personen bzw Risiken des Datentransfers, insbesondere unter Berücksichtigung deren Eintrittswahrscheinlichkeit und Schwere, sind dabei ins Kalkül zu ziehen, wobei mögliche Schäden materieller wie immaterieller Natur zu berücksichtigen sind (European Data Protection Board, Guidelines 2/2018, 16).
Der Datenexporteur muss im Hinblick auf die identifizierten Risiken auch (zusätzliche) geeignete Garantien in Bezug auf den Schutz personenbezogener Daten vorsehen; andernfalls sollen die Interessen oder Rechte und Freiheiten der betroffenen Personen das Interesse des Verantwortlichen am Datentransfer jedenfalls überwiegen: Der Datenschutzausschuss nennt hier neben technischen und organisatorischen Maßnahmen auch die Sicherstellung der möglichst umgehenden Datenlöschung nach dem Datentransfer, die Begrenzung der Zwecke, für die die Daten nach dem Transfer verarbeitet werden sollen oder die Prüfung, ob auch die Übermittlung pseudonymisierter oder verschlüsselter Daten ausreichend ist (European Data Protection Board, Guidelines 2/2018, 16).
Keine wiederholte Übermittlung, begrenzte Betroffenenzahl, Information an Behörde
Abgesehen davon verlangt Art 49 Abs 1 Unterabs 2 DSGVO auch, dass die Übermittlung nicht wiederholt erfolgt, was bedeutet, dass zwar solche Übermittlungen mehr als einmal stattfinden können, jedoch nicht regelmäßig, weshalb etwa der direkte Zugriff auf eine Datenbank durch den Datenimporteur keinesfalls als nicht wiederholt beurteilt werden kann (European Data Protection Board, Guidelines 2/2018, 4f). In der Literatur wird als Kriterium für „wiederholt“ auch gesehen, wenn der Verantwortliche bei der ersten oder zweiten Übermittlung bereits häufigere Übermittlungen intendiert (Laue/Nink/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, 190).
Um einen Datentransfer auf zwingende berechtigte Interessen stützen zu können, ist es auch notwendig, dass die Zahl betroffener Personen begrenzt ist. Wenn etwa der Datenexporteur zur Analyse eines schweren Sicherheitsvorfalls Daten übermitteln muss, um seine Organisation zu schützen, soll der Datentransfer jedenfalls nicht im Hinblick auf sämtliche Beschäftigte des Verantwortlichen durchzuführen sein, sondern lediglich im Hinblick auf einige bestimmte wenige; generell ist aber die Beurteilung, was unter einer begrenzten Zahl zu verstehen ist, anhand des konkreten Einzelfalls vorzunehmen (European Data Protection Board, Guidelines 2/2018, 15). Vertreten wird in diesem Zusammenhang auch, dass es auf die Relation der übermittelten zu den tatsächlich vorhandenen Daten ankommen soll (Laue/Nink/Kremer, 190).
Zuletzt muss auch die Aufsichtsbehörde von einem entsprechenden Datentransfer auf Basis von Art 49 Abs 1 Unterabs 2 DSGVO informiert werden, wobei eine gesonderte Genehmigung dafür nicht erforderlich ist (European Data Protection Board, Guidelines 2/2018, 16). Neben der Behörde sind auch die entsprechenden betroffenen Personen vom Datentransfer zu unterrichten.
Voraussichtlich geringer Anwendungsbereich
Aufgrund der Subsidiarität des Art 49 Abs 1 Unterabs 2 DSGVO und der hohen Anforderungen an den Auffangtatbestand wird dessen Anwendungsbereich voraussichtlich gering (Laue/Nink/Kremer, 190) und die Gefahr zu extensiver Auslegung (so aber etwa Fercher/Riedl, in Knyrim (Hrsg), 28) auch angesichts der strengen Sichtweise des Datenausschusses wohl nicht gegeben sein.
In jedem Fall ist es ratsam, zunächst allen anderen von der DSGVO zur Verfügung gestellten Instrumenten und Ausnahmebestimmungen zur Legitimation des internationalen Datentransfers den Vorzug zu geben, bevor man die Heranziehung von Art 49 Abs 1 Unterabs 2 DSGVO ernsthaft in Erwägung zieht.