Information bei Daten an Drittländer

Bei nicht weiter eingegrenzten Auskunftsersuchen nach Art. 15 DSGVO wird oft übersehen, dass Verantwortliche die Betroffenen auch über die geeigneten Garantien einer Datenübermittlung an ein Drittland unterrichten müssen, sofern dies nicht auf Grundlage eines Angemessenheitsbeschlusses erfolgt. Darüber hinaus sind Übermittlungen auch im Rahmen der sonstigen Transparenzpflichten abzubilden.

Im vorliegenden Beschwerdefall rügte eine betroffene Person eine ihrer Ansicht nach unvollständige Auskunftserteilung. Sie bemängelte, dass die erforderliche Unterrichtung über die geeigneten Garantien im Zusammenhang mit der Übermittlung personenbezogener Daten an ein Drittland nicht ausreichend gewesen sei.

Nach Art. 15 Abs. 2 DSGVO hat die betroffene Person das Recht, über die geeigneten Garantien im Zusammenhang mit der Übermittlung der Daten unterrichtet zu werden. Solche Garantien können aus den Standardvertragsklauseln (SCC) und ggf. den ergänzenden Maßnahmen bestehen. Auch die SCC sehen die Herausgabe einer Kopie an die betroffenen Personen vor, bei der jedoch bestimmte Geschäftsgeheimnisse durch eine Zusammenfassung ersetzt werden dürfen.

Nach dem Schrems II-Urteil genügt es nicht mehr, die SCC einfach nur abzuschließen, um die geforderten geeigneten Garantien herzustellen. Vielmehr umfassen die geeigneten Garantien alles, was notwendig ist, um das nach Art. 46 DSGVO erforderliche Schutzniveau tatsächlich herzustellen. Dies betrifft neben dem vom EuGH angemahnten sog. Transfer Impact Assessment (TIA) auch etwaige „zusätzliche Maßnahmen“ sowie die Angaben darüber, in welcher Form, mit welchen Modulen und mit welchen Eintragungen im Text und in den Anlagen die SCC konkret ausgefüllt sind. Erst in ihrer Gesamtheit bilden diese Informationen und Maßnahmen geeignete Garantien nach Art. 46 DSGVO.

In der Gesamtschau sind daher jedenfalls die folgenden Angaben nach Art. 15 Abs. 2 DSGVO an die betroffene Person zu beauskunften:

• Angabe, welche Garantien nach Art. 46 Abs. 2 DSGVO im Zusammenhang mit der Übermittlung der personenbezogenen Daten der betroffenen Person zum Einsatz kommen;
• Nennung der im konkreten Fall abgeschlossenen Module;
• Nennung der ausgewählten Optionen, Wahlmöglichkeiten oder Eintragungen innerhalb der SCC;
• Zusammenfassung der technisch-organisatorischen Maßnahmen nach Anhang II der SCC;
• Zusammenfassung bzw. Ergebnis des TIA;
• Zusammenfassung der ergriffenen zusätzlichen Maßnahmen.

Daneben müssen Verantwortliche Übermittlungen personenbezogener Daten an Drittländer außerhalb des Europäischen Wirtschaftsraums (EWR) nach Art. 44 DSGVO auch in den Datenschutzinformationen nach Art. 13 und 14 DSGVO – beispielsweise in Form der Datenschutzerklärung – abbilden. In jedem Fall ist darauf zu achten, dass die konkreten Empfänger:innen und ggf. die Absicht, personenbezogene Daten an ein Drittland zu übermitteln, angegeben werden.

Der Verantwortliche wurde darauf aufmerksam gemacht, welche Informationen den Betroffenen im Fall eines nicht weiter eingegrenzten Auskunftsersuchens zusätzlich mitgeteilt werden müssen.

Sofern personenbezogene Daten an Drittländer außerhalb des EWR übermittelt werden, müssen Verantwortliche dies im Rahmen ihrer sonstigen Pflichten und bei der Gewährung von Betroffenenrechten abbilden. Bei der Beantwortung von nicht weiter eingeschränkten Auskunftsersuchen nach Art. 15 DSGVO muss daher insbesondere darauf geachtet werden, dass Betroffene über die geeigneten Garantien nach Art. 15 Abs. 2 DSGVO unterrichtet werden. Darüber hinaus sind Übermittlungen an Drittländer und die entsprechenden Empfänger:innen der personenbezogenen Daten auch im Rahmen der sonstigen Transparenzpflichten nach Art. 13 und 14 DSGVO anzugeben.

Quelle: Berliner Beauftragte für Datenschutz und Informationsfreiheit

Sind Sie sicher, dass Ihr Unternehmen im Hinblick auf Datenschutz und Datensicherheit optimal aufgestellt ist?

Lassen Sie sich unverbindlich von einem Datenschutzbeauftragten beraten.

Kontakt aufnehmen

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

• Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
• Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
• Tragbarer Tresor für die Reise zum Schutz von Wertsachen
• Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
• Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
• Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
• Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
• Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen

Dieser Absatz enthält Affiliatelinks/Werbelinks