• Tilman Herbrich

Art. 49 DSGVO – Der Vakuum-Killer für Drittlandstransfers?

Sehr geehrte Leserinnen und Leser,


Datenübermittlungen in Drittländer und die datenschutzrechtlichen Hürden, die solchen Transfers entgegenstehen, beschäftigen uns weiterhin. Die durch den EuGH in seinem Schrems II-Urteil und ihm nachfolgend durch den EDSA aufgestellten Anforderungen, stellen datenverarbeitende Stellen in der Praxis vor große Herausforderungen. Denn im Grunde wird stets verlangt, dass Datenexporteure (am besten zusammen mit dem Importeur im Drittland) vorab prüfen, ob personenbezogene Daten in dem Empfangsdrittland angemessen geschützt sind.


Gibt es eine Alternative? Wohl nicht für alle Übermittlungen. Doch meines Erachtens führt weiterhin eine Norm des Kapitel V in der Praxis ein Schattendasein, die jedoch durch den EuGH fast schon als Alternativlösung zu den SCC geadelt wurde. Art. 49 DSGVO.


In seinem Schrems II-Urteil befasste sich der EuGH auch mit der Frage, ob ein rechtliches Vakuum für Drittlandsübermittlungen entstehen würde, wenn man den Beschluss zum EU-US Privacy Shield mit sofortiger Wirkung aufhebt. Die Antwort des Gerichts: nein. Ein solches Risiko besteht nicht. Und zwar selbst dann, „falls weder ein Angemessenheitsbeschluss nach Art. 45 Abs. 3 der DSGVO vorliegt noch geeignete Garantien im Sinne ihres Art. 46 bestehen“. Der Grund ist Art. 49 DSGVO. Nach Ansicht des EuGH ist in dieser Vorschrift „nämlich klar geregelt, unter welchen Voraussetzungen personenbezogene Daten in Drittländer übermittelt werden können“.

Diese Ansicht mag zunächst überraschen. Wird Art. 49 DSGVO in der Praxis doch oft als wirklich letzte Möglichkeit für Drittlandstransfers gesehen. Als Ausnahmevorschrift, deren Anforderungen schwer zu erfüllen und von den Datenschutzbehörden streng ausgelegt werden. Wenig praxistauglich.


Anders offenbar die Ansicht der Richter aus Luxemburg. Der EuGH sieht Art. 49 DSGVO ausdrücklich als Möglichkeit ganz allgemein für Übermittlungen in Drittländern an, wenn gerade kein Angemessenheitsbeschluss existiert und auch SCC nach Art. 46 DGSVO nicht abgeschlossen werden (können). Natürlich, so der EuGH, sind die Voraussetzungen des Art. 49 DSGVO zu beachten.


Und ja, die Voraussetzungen der einzelnen Alternativen in Art. 49 DSGVO sind zum Teil sicher streng. Jedoch dürfen diese Voraussetzungen andererseits auch nicht über ihren Wortlaut überdehnt werden. In diese Richtung tendiert jedoch wohl im Ansatz der Europäische Datenschutzausschuss (EDSA). In seinen Leitlinien 2/2018 weisen die Aufsichtsbehörden zunächst zurecht darauf hin, dass ErwGr. 111 hinsichtlich des Merkmals von „gelegentlichen“ Datenübermittlungen klar zwischen einzelnen Ausnahmetatbeständen des Art. 49 DSGVO differenziert. Die Einwilligung nach Art. 49 Abs. 1 lit. a DSGVO ist gerade nicht auf „gelegentliche“ Übermittlungen begrenzt.


Jedoch, so der EDSA, sollte dieser Ausnahmetatbestand so ausgelegt werden, „dass nicht gegen das Wesen einer Ausnahmeregelung verstoßen wird, nämlich dass es sich dabei um eine Ausnahme von der Regel handelt“. Im Grunde möchte der EDSA hier also die nicht durch die DSGVO auf „gelegentliche“ Übermittlungen beschränkte Ausnahme doch einschränken.


Ein solches Verständnis von Art. 49 Abs. 1 lit. a DSGVO sollte sich meines Erachtens jedoch nicht verfestigen. Sind die (ohnehin schon) strengen Anforderungen an die Einwilligung durch Betroffene erfüllt, bedarf es keiner weiteren Beschränkung dieser Übermittlungsmöglichkeit vor dem Hintergrund ihres Ausnahmecharakters.

Ein Vakuum werden Sie auch in diesem Heft nicht erleben. Erneut haben wir die Freude, Ihnen spannende und praxisrelevante Beiträge zu aktuell relevanten Themen aus dem Datenschutzrecht präsentieren zu dürfen.

Ich wünsche Ihnen eine anregende Lektüre.


Ihr

Dr. Carlo Piltz


Dieser Beitrag erschien als Editorial in der Ausgabe 11/2021 des Datenschutz-Berater.

DSB_aufgeschlagen_streifen.png

Aktuelle Beiträge

Anzeige

 

Hansen-Oest_TOPTITEL.png
>>  Ihr zuverlässiger Partner für Datenschutz und Datensicherheit