Zuletzt ist es ein wenig ruhiger geworden um den Brexit. Wann, unter welchen Umständen und ob überhaupt das Vereinigte Königreich (UK) die Europäische Union (EU) verlassen wird, ist derzeit noch völlig offen. Aus Datenschutzsicht ist jedenfalls eines klar: Sollte es zu einem ungeregelten Brexit kommen, dann gilt das UK datenschutzrechtlich als Drittland ohne angemessenes Schutzniveau und steht nicht besser da als beispielsweise Indien, die Türkei oder der Iran.
In diesem Beitrag will ich speziell die Frage beleuchten, wie es eigentlich datenschutzrechtlich aussieht, wenn deine nächste Dienstreise dich nicht in einen EU-Mitgliedstaat oder in ein anderes Land des europäischen Wirtschaftsraums führt, sondern in ein Drittland – ganz egal, ob das UK künftig ebenfalls dazu zählt oder nicht.
Datenschutz in Drittländern
Unternehmen in EU-Staaten, die personenbezogene Daten in das UK übermitteln, haben inzwischen hoffentlich ihre Hausaufgaben gemacht und sich sicherheitshalber auf einen ungeregelten Brexit vorbereitet. Da ist einiges zu tun: Denn während man personenbezogene Daten von einem EU-Land in ein anderes „einfach so“ übermitteln darf, ist das bei Übermittlungen in Drittländer oder an internationale Organisationen nicht der Fall.
Die Überlegung dabei ist folgende: Die DSGVO stellt für natürliche Personen ein bestimmtes Schutzniveau her. Dieser Schutz existiert überall dort, wo die DSGVO gilt. Außerhalb dieses Geltungsbereiches sieht es allerdings anders aus: Dort kann man nicht ohne weiteres von einem angemessenen Datenschutz ausgehen. Doch auch außerhalb der EU will der europäische Gesetzgeber alles tun, was ihm möglich ist, um die Rechte und Freiheiten von Menschen zu schützen.
Daher müssen Verantwortliche, die der DSGVO unterliegen und personenbezogene Daten in Drittländer übermitteln wollen, sich an die Bestimmungen des Kapitels 5 der DSGVO mit den Artikeln 44 bis 50 halten. Diese Bestimmungen sollen sicherstellen, „dass das durch diese Verordnung gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird”, so Artikel 44 Satz 2.
Der Kerngedanken ist der Schutz von Menschen. Dieser Schutz soll nicht untergraben werden. Das behalten wir im Folgenden immer im Hinterkopf.
Mit Handy und Laptop im Reisegepäck
Wer eine Dienstreise macht, hat sein Smartphone dabei und meist auch sein Notebook. Und auf diesen Geräten sind typischerweise personenbezogene Daten gespeichert: Kontaktdaten, E-Mails, Messenger-Nachrichten, Notizen und vieles mehr. Womöglich kommen auch noch ein USB-Stick oder sonstige Geräte oder Medien mit personenbezogenen Daten hinzu. Vielleicht sogar ganz altmodische Unterlagen auf Papier. Das alles wirft datenschutzrechtliche Fragen auf.
Wirklich? Wer Artikel 44 DSGVO aufmerksam liest, stellt fest, dass dort von der Übermittlung personenbezogener Daten die Rede ist. Aber wenn ich mein Smartphone – oder die übrigen oben genannten Dinge – nur mit mir herumtrage? Wenn ich die darin gespeicherten personenbezogenen Daten überhaupt nicht sende, sondern immer bei mir behalte? Wenn ich damit lediglich die Grenze zu einem Drittland überschreite? Kein Sender, kein Empfänger, keine Übermittlung – also kein Problem. Leider doch!
Zum einen ist dies deswegen ein Problem, weil es dem Geist oder, etwas bodenständiger formuliert, dem Ziel der DSGVO widerspräche. Denn wie wir bereits gesehen haben, verbietet es Artikel 44 DSGVO, das Schutzniveau für natürliche Personen zu untergraben.
Gefahr für Leib und Leben nicht ausgeschlossen
Wie sieht das in unserem Fall aus? Nehmen wir an, ich habe Kontaktdaten von Kollegen und Ansprechpartnern bei Kunden auf meinem Smartphone und reise damit in ein Drittland ohne angemessenes Datenschutzniveau. Leider konfiszieren die Behörden bei der Einreise mein Smartphone, um es auszulesen. Ist es verschlüsselt und gesperrt – was es natürlich sein sollte –, werde ich durch Androhung von Beugehaft oder anderen Zwangsmaßnahmen dazu genötigt, die Zugangsdaten herauszugeben.
Das wäre ziemlich blöd! Vor allem dann, wenn sich unter meinen Kontakten jemand befindet, der im Drittland nach dessen Maßstäben als Straftäter gilt oder zum Beispiel aus religiösen Gründen Repressalien zu befürchten hat. Die Kontaktdaten und womöglich weitere Daten zu dieser Person sind in die falschen Hände geraten. Diese Datenschutzverletzung kann die Freiheit dieses Menschen gefährden und unter Umständen sogar Gefahr für Leib und Leben bedeuten.
Dass damit das Schutzniveau, das die DSGVO natürlichen Personen bietet, untergraben würde, ist offensichtlich. Das kann niemand wollen!
Was ist eine „Übermittlung“?
Wir haben es also auf jeden Fall mit einem Verstoß gegen den Geist der DSGVO zu tun. Aber wie steht es mit dem Buchstaben der Verordnung? Können wir auch da einen Verstoß ausmachen? Ist ein Grenzübertritt mit dem Smartphone in der Hosentasche etwa doch eine Übermittlung im Sinne der DSGVO? Kommt Artikel 44 zur Anwendung oder nicht?
Dazu müssen wir zunächst klären, was eine »Übermittlung« eigentlich ist. Erste Anlaufstelle für solche Fragen ist immer Artikel 4 DSGVO. Denn dieser Artikel definiert eine Reihe von Begriffen, die die DSGVO immer wieder verwendet und für sie von zentraler Bedeutung ist. Dummerweise steht „Übermittlung“ nicht auf dieser Liste. Wir müssen uns also den Text der DSGVO vornehmen, schauen, wie das Wort „Übermittlung“ dort verwendet wird, und erschließen, was eine „Übermittlung“ wohl sein könnte.
Wenig überraschend deckt sich das Ergebnis dieser Untersuchung mit unserer intuitiven Vorstellung. Insbesondere hat eine Übermittlung einen Empfänger, wie beispielsweise aus Erwägungsgrund 101 hervorgeht. Dieser Erwägungsgrund spricht von der „Übermittlung personenbezogener Daten aus der Union an Verantwortliche, Auftragsverarbeiter oder andere Empfänger“.
Jetzt müssen wir noch herausfinden, was ein „Empfänger“ ist. Da hilft uns erfreulicherweise eine Definition in Artikel 4 Punkt 9 DSGVO (Hervorhebung von mir): „‚Empfänger‘ [ist] eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht.“
Entscheidend ist hier die Tatsache, dass beim Auslesen des Smartphones durch Behörden des Drittlandes „einer natürlichen oder juristischen Person, Behörde, Einrichtung oder anderen Stelle personenbezogene Daten offengelegt werden“. Dieser Vorgang macht die Einreisebehörde des Drittlandes – oder welche seiner Behörden auch immer – zu einem Empfänger. Das heißt, der ganze Vorgang ist sehr wohl eine Übermittlung personenbezogener Daten in ein Drittland, und folglich kommt das Kapitel 5 der DSGVO zur Anwendung.
Anmerkung: Unter bestimmten Umständen gilt dies übrigens nicht für Behörden von EU-Mitgliedstaaten. Das ist ebenfalls in Artikel 4 Punkt 9 DSGVO nachzulesen: „Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung.“
Andere Länder, andere Datenschutz-Sitten
Wie lässt sich nun der Schutz der personenbezogenen Daten auf Smartphone und so weiter sicherstellen?
Glücklicherweise ist der Schutz personenbezogener Daten nicht in allen Drittländern gleichermaßen gefährdet. Einige Drittländer sind gleicher als andere. Hier hat die EU-Kommission den Datenschutz geprüft, hält ihn für angemessenen und hat gemäß Artikel 45 DSGVO eine Angemessenheitsentscheidung getroffen. In diese Länder darf man ohne weiteres personenbezogene Daten übermitteln, inklusive Einreise mit dem Smartphone.
Welche Länder das sind, kann man bei der EU-Kommission erfahren. Derzeit handelt es sich dabei um Andorra, Argentinien, Färöer, Guernsey, Israel, Insel Man, Japan, Jersey, Neuseeland, die Schweiz und Uruguay.
Auch für Kanada und die USA liegen Angemessenheitsentscheidungen vor. Die erstrecken sich aber nicht pauschal auf das ganze Land, sondern beschränken sich im Fall von Kanada auf kommerzielle Organisationen und im Fall der USA auf Wirtschaftsunternehmen, die sich dem EU-US-Privacy-Shield-Framework unterworfen haben. Da die Angemessenheitsentscheidungen für Kanada und die USA für Behörden nicht gelten, ist die Einreise mit Smartphone und Notebook dadurch nicht abgedeckt.
Artikel 46 DSGVO beschreibt eine Reihe von Möglichkeiten, mit denen ein Verantwortlicher oder Auftragsverarbeiter in einem Drittland für geeignete Garantien sorgen kann, die eine Datenübermittlung ermöglichen. Für die Smartphonekontrolle durch staatliche Behörden ist dieser Artikel aber meines Erachtens nicht anwendbar. Gleiches gilt für Artikel 47 DSGVO: Dort geht es um verbindliche interne Datenschutzvorschriften in Unternehmen, typischerweise multinationale Konzerne.
Zuflucht zu Artikel 49
Für die Dienstreise ins Drittland bleibt jetzt nur noch Artikel 49 DSGVO als letztes Mittel. Dieser Artikel regelt Ausnahmen für bestimmte Fälle und nennt in Absatz 1 sieben Bedingungen. Ist mindestens eine davon erfüllt, ist die Datenübermittlung zulässig:
- Die betroffene Person, also derjenige, um dessen Daten es geht, hat in die vorgeschlagene Datenübermittlung eingewilligt – und zwar ausdrücklich. Solch eine ausdrückliche Einwilligung lässt man sich am besten schriftlich geben. Vorher muss man die betroffene Person über die für sie bestehenden möglichen Risiken unterrichtet haben. Für Dutzende oder gar Hunderte von Kontakten im Smartphone ist das eher unpraktisch. Und wenn es um Beschäftigte geht, ist die Sache nochmals schwieriger. Der laut § 26 Absatz 2 Bundesdatenschutzgesetz (BDSG) bestehende Zwang zur Schriftform ist noch recht einfach zu erfüllen. Schwieriger wird es mit dem Nachweis, dass der Beschäftigte tatsächlich freiwillig eingewilligt hat und nicht etwa aus Furcht vor Nachteilen.
- Die Übermittlung ist zur Erfüllung eines Vertrags erforderlich. Das kann natürlich nicht irgendein Vertrag sein, sondern einer mit der betroffenen Person. Entsprechendes gilt für vorvertragliche Maßnahmen auf Antrag des Betroffenen.
- Der Vertrag wurde zwar nicht mit der betroffenen Person abgeschlossen, liegt aber in ihrem Interesse.
- Die Übermittlung ist aus wichtigen Gründen des öffentlichen Interesses notwendig.
- Die Übermittlung ist zur Durchsetzung von Rechtsansprüchen erforderlich.
- Es stehen lebenswichtige Interessen der betroffenen Person auf dem Spiel.
- Die Übermittlung erfolgt aus einem öffentlich zugänglichen Register.
Falls auch von diesen Bedingungen keine zieht, wird es wirklich schwierig und für den Anwendungsfall »Ich nehme mein Smartphone mit« viel zu aufwendig und unpraktisch.
Auf die Übermittlung müssen dann nämlich sämtliche der folgende Bedingungen zutreffen:
- Sie erfolgt nicht wiederholt. Gut, das lässt sich je nach den konkreten Umständen für eine Dienstreise oft noch plausibel darstellen.
- Nur eine begrenzte Zahl von Personen ist betroffenen. Das dürfte für den Smartphone-Nutzer mit einer durchschnittlichen Anzahl von Kontakten in der Regel auch erfüllt sein.
- Die Übermittlung ist für die Wahrung der zwingenden berechtigten Interessen des Verantwortlichen erforderlich. Hier wird es schon schwieriger, weil die Interessen nicht nur berechtigt, sondern auch zwingend sein müssen. Da stellt sich insbesondere die Frage, ob die Dienstreise wirklich nötig ist und sich der Zweck nicht auch anders erreichen lässt.
- Die Interessen oder die Rechte und Freiheiten der betroffenen Personen dürfen nicht überwiegen.
- Der Verantwortliche muss alle Umstände der Datenübermittlung beurteilen und auf der Grundlage dieser Beurteilung angemessene Garantien in Bezug auf den Schutz personenbezogener Daten vorsehen.
- Der Verantwortliche muss die Aufsichtsbehörde von der Übermittlung in Kenntnis setzen.
- Der Verantwortliche muss die betroffenen Personen über die Übermittlung und seine zwingenden berechtigten Interessen unterrichten, zusätzlich zu den Informationen, die er gemäß der Artikel 13 oder 14 mitzuteilen hat.
- Und schließlich ist alles im Verzeichnis der Verarbeitungstätigkeiten zu dokumentieren.
Reisetipps
Wenn du eine Dienstreise ins Ausland machst, ist datenschutzrechtlich interessant, wohin die Reise geht:
- In einen Mitgliedstaat der Europäischen Union oder in ein Land des Europäischen Wirtschaftsraums, in dem die DSGVO gilt: Hier brauchst du nichts Besonderes zu beachten.
- In eines der Länder, für die eine Angemessenheitsentscheidung der EU-Kommission vorliegt: Auch hier ist alles unkompliziert.
- In ein anderes Drittland: Das ist kompliziert, weil der Datenschutz in diesem Land nicht angemessen ist oder dies zumindest nicht rechtssicher festgestellt wurde.
Wer dienstlich in solch ein Drittland ohne angemessenes Datenschutzniveau reist, sollte sein übliches Diensthandy und Laptop zu Hause oder im Büro liegen lassen. Stattdessen sollte er Geräte mitnehmen, auf denen ausschließlich diejenigen Kontakte und sonstigen personenbezogenen Daten gespeichert sind, die im Rahmen dieser Dienstreise zwingend erforderlich sind, beispielsweise die Kontaktdaten der Personen, die man besuchen will, oder Kontaktdaten von Personen außerhalb des besuchten Landes, die man zwingend während dieser Dienstreise kontaktieren muss.
Natürlich müssen die Anforderungen von Artikel 49 Absatz 1 DSGVO erfüllt sein. Im geschäftlichen Umfeld heißt das in der Regel, dass die betroffenen Personen ausdrücklich eingewilligt haben oder dass es eine vertragliche Grundlage gibt, die die Übermittlung ihrer Daten durch das Mitführen auf dem Smartphone oder auf einem anderen Gerät rechtfertigt.
Unternehmen, die ihre Mitarbeiter in Drittländer ohne angemessenen Datenschutz schicken, müssen sich auf diese besonderen Umstände einstellen und beispielsweise Reise-Smartphones und -Notebooks vorhalten. Außerdem sollten sie sich überlegen, ob die jeweilige Dienstreise wirklich notwendig ist und ob der Zweck nicht auch anders erreicht werden kann.
Kommentare