Am 23. Januar 2019 hat die Europäische Kommission einen Angemessenheitsbeschluss in Bezug auf Japan erlassen. Damit zählt Japan, seit vergangenem Mittwoch, zu einem sicheren Drittland. Aufgrund dessen können personenbezogene Daten, auf Grundlage des neuen Angemessenheitsbeschlusses, leichter zwischen Japan und der Europäischen Union übertragen werden.
Internationaler Datentransfer – Angemessenheitsbeschluss für Japan
Der sogenannte Angemessenheitsbeschluss stellt die einfachste Möglichkeit dar, ein angemessenes Datenschutzniveau für eine Datenübermittlung in ein Drittland vorzuweisen. Bei dem Beschluss prüft die Europäische Kommission, ob ein angemessen hoher Schutz für den Datentransfer in das Drittland gewährleistet werden kann. Hierfür betrachtet die Kommission insbesondere die Rechtsstaatlichkeit, die Achtung der Menschenrechte und Grundfreiheiten, Regelungen zur Weiterübermittlung von Daten an andere Drittländer, das Vorhandensein unabhängiger Aufsichtsbehörden und vom Drittstaat eingegangene Verpflichtungen in Bezug auf personenbezogene Daten.
Zu den bereits geprüften sicheren Drittstaaten
- Andorra,
- Argentinien,
- Kanada (nur kommerzielle Organisationen),
- Färöer,
- Guernsey,
- Israel,
- Isle of Man,
- Jersey,
- Neuseeland,
- Schweiz,
- Uruguay und
- den USA (sofern sich der Datenimporteur dem Privacy Shield unterworfen hat)
reiht sich nun auch Japan mit ein. Im Hinblick darauf war der Beschluss jetzt nun möglich geworden, da die Regierung in Tokio weitere Zugeständnisse bei den Verhandlungen über ein Freihandelsabkommen mit der EU gemacht hatte. Hierzu gehören vor allem zusätzliche Garantien für Einzelpersonen in der EU, deren personenbezogene Daten nach Japan übermittelt werden. Zudem wurde ein Verfahren zur Bearbeitung, Untersuchung und Klärung von Beschwerden von Europäern über den Zugang japanischer Behörden zu ihren Daten etabliert.
Allgemeines zur Datenübermittlung
Bei einem Datentransfer außerhalb der EU / des EWR spricht man von einer Datenübermittlung in ein sogenanntes Drittland. Für den Vorgang der Übermittlung muss aus Datenschutzsicht zunächst geprüft werden, ob eine Übermittlung überhaupt zulässig ist. Im Datenschutzrecht gilt das Verbot mit Erlaubnisvorbehalt. Dies bedeutet, dass jede Verarbeitung, worunter auch eine Übermittlung fällt, personenbezogener Daten einer Rechtsgrundlage oder informierter Einwilligung des Betroffenen bedarf.
Daneben muss eines ein angemessenes Datenschutzniveau sichergestellt werden.
Man prüft demnach in zwei Prüfschritten,
- ob ein Erlaubnistatbestand (Rechtsgrundlage) besteht und
- ob ein angemessenes Datenschutzniveau für das Drittland sichergestellt werden kann.
Wichtig ist in diesem Zusammenhang, dass ein reiner Angemessenheitsbeschluss der EU-Kommission noch keine Übermittlung rechtfertigt, sondern das beide Prüfschritte erfüllt sein müssen.
Zwei Prüfschritte zur sicheren Übermittlung in Drittländer
Im ersten Prüfschritt orientiert man sich, aufgrund des Verbots mit Erlaubnisvorbehalt, an den Rechtfertigungstatbeständen nach Art. 6 DS-GVO. Sofern besondere Kategorien personenbezogener Daten verarbeitet werden, sollte Art. 9 DS-GVO berücksichtigt werden.
Im nächsten Schritt muss nun sichergestellt werden, dass für eine Datenübermittlung in das Drittland ein geeignetes Datenschutzniveau vorhanden ist. Hierfür fordert die DS-GVO für den Datentransfer in Drittstaaten, sofern kein Angemessenheitsbeschluss vorliegt, geeignete Garantien und sieht diesbezüglich unter anderem folgende Möglichkeiten vor:
- Eine Möglichkeit besteht in dem Abschluss von Binding Corporate Rules. Diese werden insbesondere bei international tätigen Konzernen für unternehmsintere Datenübermittlungen in unsichere Drittlänger eingesetzt. Die Binding Corporate Rules werden von der zuständigen Aufsichtsbehörde genehmigt und gelten für alle Unternehmen der Unternehmensgruppe.
- Daneben gibt es noch EU-Standardvertragsklauseln, welche zwischen dem Datenexporteur und dem Datenimporteur abgeschlossen werden können. Der Inhalt der Standardverträge ist vorgegeben und darf nicht abgeändert werden.
- Eine weitere Möglichkeit bietet der Abschluss von individuellen Verträgen, welche aber von der zuständigen Aufsichtsbehörde geprüft und genehmigt werden müssen.
- Zudem können Datenübermittlungen auch auf Grundlage von Zertifizierungen zulässig sein, allerdings liegt es aktuell bei den Aufsichtsbehörden, hierfür Rahmenbedingungen zu erarbeiten.
- Zusätzlich haben Unternehmen in den USA die Möglichkeit sich dem EU-US-Privacy Shield Abkommen zu unterwerfen. Das Abkommen ist allerdings regelmäßig in der Kritik.
Ausnahmen für einen Drittlandtransfer
Eine Datenübermittlung ist aber nicht gänzlich ausgeschlossen, sofern weder ein Angemessenheitsbeschluss noch eine der aufgeführten Garantien besteht. Die DS-GVO sieht ebenfalls Ausnahmen vor, mit denen ein Datentransfer in Drittländer erfolgen kann. Demzufolge dürfen nach Art. 49 DS-GVO personenbezogene Daten übermittelt werden, wenn
- eine ausdrückliche informierte Einwilligung des Betroffenen vorliegt,
- die Übermittlung für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist,
- die Übermittlung zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einer anderen natürlichen oder juristischen Person geschlossenen Vertrags erforderlich ist,
- die Übermittlung aus wichtigen Gründen des öffentlichen Interesses notwendig ist,
- die Übermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist,
- die Übermittlung zum Schutz lebenswichtiger Interessen der betroffenen Person oder anderen Personen erforderlich ist, sofern die betroffene Person aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben oder
- die Übermittlung aus einem Register erfolgt, welches gemäß dem Recht der Union oder der Mitgliedsstaaten zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offensteht, aber nur soweit die im Recht der Union oder der Mitgliedsstaaten festgelegten Voraussetzungen für die Einsichtnahme im Einzelfall gegeben sind.
Fazit
Durch den Beschluss der Europäischen Kommission wird der Datenverkehr zwischen der EU und Japan erleichtert. Es sollte allerdings berücksichtigt werden, dass zwar die Prüfung, ob ein angemessenes Datenschutzniveau herrscht, entfällt, allerdings dennoch geprüft werden muss, ob eine Übermittlung überhaupt zulässig ist. Auch sollten die Informationspflichten nach Art. 13 und 14 DS-GVO berücksichtigt werden, wonach der Betroffene unter anderem über Drittlandübermittlungen informiert werden sollte.
Sofern Sie zukünftig eine Zusammenarbeit mit einem japanischen Unternehmen planen und eine Übermittlung personenbezogener Daten stattfinden soll, sollten Sie unbedingt Ihren Datenschutzbeauftragten frühzeitig einbinden.