Während man europäischen Datentransfers noch halbwegs über den Weg traut, sieht es mit sog. Drittstaaten (also Staaten außerhalb der EU bzw. des EWR) ganz anders aus. Genau dieses Thema ist jedoch für den Online-Handel relevant, denn beispielsweise übermitteln zahlreiche Tracking- und Analysetools personenbezogene Daten ins Ausland.
Grenzüberschreitender Fluss personenbezogener Daten nicht aufzuhalten
Ganz aktuell landete wieder die Verwendung von Google Analytics vor Gericht: Und zwar ist das Tool nicht generell unzulässig. Es muss jedoch der betroffene Webseitenbesucher genau darüber informiert werden, welche Daten Google Analytics erhebt, wohin die Daten übermittelt werden und vor allem: an wen (Landgericht Hamburg, Beschluss vom 09.08.2016, Az. 406 HKO 120/16)? Außerdem muss das Tool auch in dergestalt programmiert sein, dass eine Anonymisierung der IP-Adresse stattfindet.
Datenerhebungen sind nur zulässig, wenn das deutsche Datenschutzrecht es erlaubt oder der Betroffene eingewilligt hat. Das ist bereits nach dem aktuellen Bundesdatenschutzgesetz zu beachten. Die DSGVO will an diesen bewährten Grundfesten auch nicht viel rütteln. In den Erwägungsgründen zur DSGVO heißt es: „Die Technik hat das wirtschaftliche und gesellschaftliche Leben verändert und dürfte den Verkehr personenbezogener Daten innerhalb der Union sowie die Datenübermittlung an Drittländer und internationale Organisationen noch weiter erleichtern, wobei ein hohes Datenschutzniveau zu gewährleisten ist.“.
DSGVO für internationale Datentransfers zu beachten
Die DSGVO verkennt auch nicht die große Bedeutung der Globalisierung für den internationalen Handel und die internationale Zusammenarbeit. Durch diese grenzüberschreitenden Datenströme werden die Datenschutzvorschriften jedoch vor große Herausforderungen gestellt. Die in der EU einheitlich geltenden hohen Standards dürfen international nicht untergraben werden - und zwar auch dann nicht, wenn personenbezogene Daten in ein Drittland übermittelt werden.
Deshalb gilt die DSGVO auch bei Datenübermittlung an Drittländer. Eine Datenübermittlung über die EU-Grenzen hinaus ist daher nur erlaubt, wenn die strikten Regelungen und Bedingungen der DSGVO eingehalten werden. Die Übermittlung der Daten an ein Drittland, welches kein angemessenes Datenschutzniveau bietet, muss verboten werden, es sei denn, bestimmte Ausnahmen liegen vor. Die Europäische Kommission stellt hierfür fest, ob ein Drittland oder ein Gebiet eines Drittlandes ein angemessenes Datenschutzniveau (mehr) bietet.
Datenübermittlung an Drittstaaten mit hohen Anforderungen
Voraussetzung für die Übermittlung von personenbezogenen Daten ist – wie bereits erwähnt –, dass das Drittland ein angemessenes Datenschutzniveau gewährleistet. Hierzu bedarf es eines gesonderten Beschlusses der Europäischen Kommission. Bisher hat die Europäische Kommission dies lediglich für einzelne Länder (z.B. Kanada, Schweiz, Argentinien) festgelegt und entsprechende Feststellungen getroffen. Für alle anderen Länder muss im Einzelfall geprüft werden, ob ein angemessenes Schutzniveau angenommen werden kann.
Falls kein solcher Beschluss vorliegt (z.B. für die USA), kann eine Datenübermittlung auch durch die Hintertür erfolgen, beispielsweise wenn der Betroffene aufgeklärt wurde und daraufhin in den Datentransfer eingewilligt hat. Das ist besonders deshalb diffizil, da der Betroffene neben allgemeinen Informationen (u.a. Grund, Weiterverarbeitung) auch über die möglichen Risiken des Datentransfers in ein „unsicheres“ Drittland aufzuklären ist. Beim Kunden macht das sicherlich keinen guten Eindruck.
Alternativ können Daten auch an Drittstaaten übermittelt werden, wenn der Datentransfer im Einzelfall von der zuständigen Aufsichtsbehörde genehmigt wurde oder das die Daten empfangende Unternehmen sich europäischen Verhaltensregelungen unterworfen hat.
Laut Artikel 13 der DSGVO haben die Verantwortlichen der betroffenen Personen zum Zeitpunkt der Erhebung der Daten im Rahmen ihrer allgemeinen Informationspflichten mitzuteilen, dass sie die Daten an ein Drittland senden werden und auf welche Rechtsgrundlage man sich bei diesem Datentransfer beruft.
Territoriale Ausweitung europäischer Datenschutzvorschriften
Nicht nur der Schutz von Daten, die von einem hier ansässigen Unternehmen an andere Länder übermittelt werden, stehen unter dem Schutz der DSGVO. Auch Unternehmen, die ihren Sitz außerhalb haben, aber mit Daten von Unionsbürgern arbeiten, fallen unter den Schutz der DSGVO. Hoffentlich schenkt man diesem Umstand in Übersee künftig mehr Beachtung. Wird es jetzt auch für Facebook, Google und Co. Haarig? Dazu im nächsten Teil mehr.
Die Themenreihe zur Datenschutzgrundverordnung (DSGVO)
Teil 1: Newsletterversand
Teil 2: Informationspflichten
Teil 3: Auskunftspflichten
Teil 4: Betroffenenrechte
Teil 5: Umgang mit Datenpannen
Teil 6: Neuerungen beim Umgang mit Kundendaten
Teil 7: Übermittlung von Daten ins Ausland
Teil 8: Auftragsdatenverarbeitung
Teil 9: Der Einsatz von Cookies
Teil 10: Social Plugins
Teil 11: Der Datenschutzbeauftragte
Teil 12: Verfahrensverzeichnis, Vorabkontrolle und Folgenabschätzung
Teil 13: Aufsichtsbehörden
Teil 14: Befugnisse und Sanktionsmaßnahmen
Teil 15: Praxisteil - Maßnahmen zur Vorbereitung (Checkliste)
Teil 16: Glossar
Der DSGVO-Countdown: Wie plane ich die nächsten 157 Tage? (Teil 1)
Der DSGVO-Countdown: Wie plane ich die nächsten 135 Tage? (Teil 2)
Der Händlerbund hat Online-Händler zur DSGVO befragt. Die Infografik zeigt, wie Händler sich auf die DSGVO vorbereitet fühlen und was sich bisher bei der Umsetzung getan hat.
Kommentar schreiben