Art. 44 DSGVO: Allgemeine Grundsätze der Datenübermittlung
| veröffentlicht am |
04.07.2022 |
|---|---|
| Änderung | Neu aufgenommen |
| Stand | 14.02.2022 |
|---|---|
| Erstellungsgrundlage | in der Fassung der Datenschutz-Grundverordnung vom 27.04.2016 in Kraft getreten am 25.05.2018 |
| Rechtsgrundlage | |
| Version | 001.00 |
Inhalt der Regelung
In Art. 44 DSGVO sind die allgemeinen Grundsätze der Übermittlung von personenbezogenen Daten an Drittländer oder an internationale Organisationen geregelt.
Ergänzende/korrespondierende Regelungen
Art. 44 DSGVO wird ergänzt durch weitere Regelungen in Kapitel V der DSGVO (Art. 45 DSGVO bis Art. 50 DSGVO) sowie für Sozialdaten durch den § 77 SGB X. Weitere Erläuterungen und Auslegungshilfen finden sich in den Erwägungsgründen (ErwG 101 DSGVO-ErwG und ErwG 102 DSGVO-ErwG).
Allgemeines
Art. 44 DSGVO beinhaltet die grundsätzlichen Regelungen, die für die Übermittlung personenbezogener Daten an Empfänger in Drittländern und an internationale Organisationen gelten, und verweist hierbei insbesondere auf die die weiteren Regelungen des Kapitels V der DSGVO (Art. 45 DSGVO bis Art. 50 DSGVO).
Kapitel V der DSGVO enthält keine Erlaubnistatbestände, aufgrund derer die Übermittlung personenbezogener Daten an Empfänger in einem Drittland oder an internationale Organisationen allein gestützt werden können. Daher ist immer zuerst die grundsätzliche Zulässigkeit und Rechtmäßigkeit der Übermittlung personenbezogener Daten nach Art. 5 DSGVO und Art. 6 DSGVO zu prüfen.
Für Sozialdaten ist die Zulässigkeit einer Übermittlung nach §§ 67e bis 77 SGB X zu prüfen.
Gelangt man hierbei zu dem Ergebnis, dass die Übermittlung zulässig ist, sind für Empfänger in einem Drittland oder an eine internationale Organisation die Regelungen des Kapitels V DSGVO zu prüfen.
Für Sozialdaten schränkt § 77 SGB X die Übermittlung zusätzlich ein (siehe GRA zu § 77 SGB X).
Ziel ist es, sicherzustellen, dass das durch die DSGVO gewährleistete Schutzniveau für natürliche Personen durch die Datenübermittlung in ein Drittland oder an einer internationalen Organisation nicht unterschritten wird.
Die Regelungen des Kapitels V gelten sowohl für Verantwortliche (Art. 4 Nr. 7 DSGVO) als auch für Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO).
Art. 44 DSGVO gilt für „personenbezogene Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung verarbeitet werden sollen“. Erfasst werden damit alle personenbezogenen Daten (Art. 4 Nr. 1 DSGVO), sowohl vor als auch nach der Verarbeitung (Art. 4 Nr. 2 DSGVO), es kommt nicht auf deren Zustand an. Damit werden beispielsweise auch telefonisch übermittelte Daten, die bisher noch nicht gespeichert waren, einbezogen.
Übermittlung
Der Begriff „Übermittlung“ ist in der DSGVO nicht definiert. Lediglich in der Definition des Begriffs „Verarbeitung“ findet sich in Art. 4 Nr. 2 DSGVO der Passus „…die Offenlegung durch Übermittlung…“. Daraus resultierend gelten die Regelungen des Art. 44 DSGVO für jede Offenlegung personenbezogener Daten gegenüber einem Empfänger in einem Drittland oder einer internationalen Organisation.
Als Offenlegung bezeichnet man in diesem Zusammenhang die Bereitstellung oder Einstellung personenbezogener Daten auf einer Plattform, auf die von einer internationalen Organisation oder von einem Drittland aus zugegriffen werden kann.
§ 67d Abs. 1 Satz 1 SGB X definiert die Übermittlung als Bekanntgabe von Sozialdaten durch ihre Weitergabe an einen Dritten oder durch die Einsichtnahme oder den Abruf eines Dritten von zur Einsicht oder zum Abruf bereitgehaltenen Daten. Der Begriff des „Dritten“ ist in Art. 4 Nr. 10 DSGVO beschrieben.
Drittland
Als Drittländer werden solche Staaten bezeichnet, in denen die Regelungen der DSGVO keine Anwendung finden. Aufgrund der Tatsache, dass die DSGVO nur für die EU-Mitgliedstaaten verbindlich ist, gelten als Drittländer damit alle Staaten, die nicht Mitglied der EU sind. Folglich zählen grundsätzlich auch die EWR-Staaten Island, Liechtenstein und Norwegen zur Gruppe der Drittländer. Durch den Beschluss des Gemeinsamen EWR-Ausschusses Nr. 83/1 1999 vom 25.6.1999, ABl. EU 2000 L 296, 41) trat die DSGVO ab dem 20.07.2018 auch in Island, Liechtenstein und Norwegen in Kraft, wodurch diese Länder nicht mehr als Drittländer gelten.
Nach dem Austritt Großbritanniens aus der Europäischen Union (Brexit) zum 01.02.2021 ist das Vereinigte Königreich grundsätzlich als Drittland zu behandeln. Aufgrund des Marktortprinzips sind jedoch auch in diesem Fall Unternehmen mit Sitz im Vereinigten Königreich, die Waren und Dienstleistungen in der EU anbieten, an die DSGVO gebunden. Die EU-Kommission hat am 28.06.2021 einen Angemessenheitsbeschluss für das Vereinigte Königreich erlassen. Der Angemessenheitsbeschluss besitzt vorläufig eine Gültigkeit bis zum 27.06.2025. Aus diesem Grund kann muss bei der Übermittlung von personenbezogenen Daten in das Vereinigte Königreich auf die Regelungen des Art. 45 DSGVO zurückgegriffen werden.
Internationale Organisationen
Der Begriff der internationalen Organisation ist in Art. 4 Nr. 26 DSGVO definiert. Umfasst sind etwa internationale humanitäre Organisationen (ErwG 112 DSGVO-ErwG) und die Vereinten Nationen.
Übermittlung von personenbezogenen Daten
Bei der Übermittlung von personenbezogenen Daten an Empfänger und an internationale Organisationen sind folgende Regelungen der DSGVO zu beachten:
- Die Übermittlung personenbezogener Daten an Empfänger in Drittländern und an internationale Organisationen müssen muss die außerhalb des Kapitels V (Art. 44 DSGVO bis Art. 50 DSGVO) genannten Zulässigkeitsvoraussetzungen der DSGVO erfüllen, dies betrifft insbesondere die Regelungen des Kapitels II (Art. 5 DSGVO bis Art. 11 DSGVO). Werden Sozialdaten übermittelt, ist die Zulässigkeit nach §§ 67e ff SGB X zu prüfen.
- In der zweiten Stufe ist für die Übermittlung personenbezogener Daten an Empfänger in Drittländern und an internationale Organisationen sind zu prüfen, ob mindestens ein Tatbestand des Kapitels V (Art. 44 DSGVO bis Art. 50 DSGVO) Anwendung findet. Für Sozialdaten ist außerdem § 77 SGB X zu prüfen.
- Art. 44 ff DSGVO finden auch auf Weiterübermittlungen durch das betreffende Drittland und oder die betreffende internationale Organisation Anwendung.
- Die Regelungen des Kapitels V (Art. 44 DSGVO bis Art. 50 DSGVO) sind immer unter der Prämisse anzuwenden, dass das von der DSGVO der betroffenen Person garantierte Schutzniveau nicht unterschritten wird (ErwG 101 DSGVO-ErwG).
| Verordnung (EU) 2016/679 des Europäischen Parlaments und Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) |
Inkrafttreten: 24.05.2016, Gültigkeit: 25.05.2018 Quelle: Amtsblatt der Europäischen Union vom 04. Mai 2016 unter L 119/1 |
Die Datenschutzgrundverordnung (DSGVO) trat am 24.05.2016 in Kraft und gilt ab dem 25.05.2018 unmittelbar in allen Mitgliedstaaten der Europäischen Union.