Informations- und Transparenzpflichten bei Datenübermittlungen an Drittländer

Im Rahmen der Datenschutz-Grundverordnung (DSGVO) sind Verantwortliche verpflichtet, betroffene Personen umfassend über die Übermittlung ihrer personenbezogenen Daten an Drittländer zu informieren. Insbesondere bei Auskunftsersuchen nach Artikel 15 DSGVO ist es wichtig, dass die Verantwortlichen nicht nur die Datenverarbeitung selbst, sondern auch die geeigneten Garantien, die im Zusammenhang mit der Datenübermittlung bestehen, transparent darlegen.

Wenn eine Datenübermittlung nicht auf einem Angemessenheitsbeschluss basiert, müssen die Verantwortlichen die betroffenen Personen über die spezifischen Garantien informieren, die gemäß Artikel 46 Absatz 2 DSGVO zur Anwendung kommen. Diese Garantien können unter anderem aus den Standardvertragsklauseln (SCC) bestehen, die sicherstellen, dass ein angemessenes Schutzniveau für die personenbezogenen Daten gewährleistet ist. Es ist zu beachten, dass die SCC nicht nur abgeschlossen werden müssen, sondern dass auch alle erforderlichen Maßnahmen ergriffen werden müssen, um das notwendige Datenschutzniveau tatsächlich zu gewährleisten. Hierzu zählen unter anderem das Transfer Impact Assessment (TIA) sowie eine detaillierte Darstellung der spezifischen Ausfüllungen der SCC.

Im Jahresbericht 2023 der Berliner Beauftragten für Datenschutz und Informationssicherheit wird auf einen Beschwerdefall verwiesen, welcher diese praxisrelevante Thematik nochmals vor Augen führt: Eine betroffene Person äußerte ihre Bedenken hinsichtlich einer unvollständigen Auskunftserteilung. Sie bemängelte, die unzureichenden Informationen über die geeigneten Garantien im Zusammenhang ihrer Datenübermittlung an ein Drittland. 

Gemäß Artikel 15 Absatz 2 DSGVO trifft den Verantwortlichen die Pflicht, folgende Informationen an die betroffene Person zu übermitteln:

  1. Die betroffene Person muss über die geeigneten Garantien aus Art. 46 Abs. 2 DSGVO, die im Zusammenhang mit der Datenübermittlung stehen informiert werden.

  2. Zudem hat sie das Recht, die im konkreten Fall abgeschlossenen Module, ausgewählten Optionen und Eintragungen der SCC zu erfahren.

  3. Eine Zusammenfassung der technisch-organisatorischen Maßnahmen zu erhalten, die sich aus der Anlage II der SCC ergeben.

  4. Über die Ergebnisse eines durchgeführten Transfer Impact Assessments informiert zu werden.

  5. Falls zusätzlichen Maßnahmen zum Schutz ergriffen worden sind, muss auch über diese informiert werden

Es ist zu beachten, dass die SCC vorsehen, dass eine Kopie an die betroffenen Personen herausgegeben wird, wobei Geschäftsgeheimnisse, durch eine Zusammenfassung ersetzt werden dürfen und müssen.

Zusätzlich sind Verantwortliche verpflichtet, die Übermittlungen personenbezogener Daten an Drittländer außerhalb des Europäischen Wirtschaftsraums in den Datenschutzinformationen nach Artikel 13 und 14 DSGVO sowie in Datenschutzerklärungen klar und transparent darzustellen. Hierbei ist es von großer Bedeutung, die konkreten Empfänger der Daten und die Absicht der Datenübermittlung an ein Drittland deutlich anzugeben.

Zusammenfassend lässt sich festhalten, dass Verantwortliche bei der Beantwortung von Auskunftsersuchen nach Artikel 15 DSGVO besonders darauf achten sollten, die betroffenen Personen umfassend über die geeigneten Garantien zu informieren. Die Transparenzpflichten nach Artikel 13 und 14 DSGVO erfordern eine klare Kommunikation über die Übermittlungen in Drittländer und die entsprechenden Empfänger, um den Schutz der personenbezogenen Daten zu gewährleisten.

Quelle: Jahresbericht 2023 Berliner Beauftragte für Datenschutz und Informationsfreiheit

Share