Zuletzt ist es ein wenig ruhiger geworden um den Brexit. Wann, unter welchen Umständen und ob überhaupt das Vereinigte Königreich (UK) die Europäische Union (EU) verlassen wird, ist derzeit noch völlig offen. Aus Datenschutzsicht ist jedenfalls eines klar: Sollte es zu einem ungeregelten Brexit kommen, dann gilt das UK datenschutzrechtlich als Drittland ohne angemessenes Schutzniveau und steht nicht besser da als beispielsweise Indien, die Türkei oder der Iran.
In diesem Beitrag will ich speziell die Frage beleuchten, wie es eigentlich datenschutzrechtlich aussieht, wenn deine nächste Dienstreise dich nicht in einen EU-Mitgliedstaat oder in ein anderes Land des europäischen Wirtschaftsraums führt, sondern in ein Drittland – ganz egal, ob das UK künftig ebenfalls dazu zählt oder nicht.
Unternehmen in EU-Staaten, die personenbezogene Daten in das UK übermitteln, haben inzwischen hoffentlich ihre Hausaufgaben gemacht und sich sicherheitshalber auf einen ungeregelten Brexit vorbereitet. Da ist einiges zu tun: Denn während man personenbezogene Daten von einem EU-Land in ein anderes „einfach so“ übermitteln darf, ist das bei Übermittlungen in Drittländer oder an internationale Organisationen nicht der Fall.
Die Überlegung dabei ist folgende: Die DSGVO stellt für natürliche Personen ein bestimmtes Schutzniveau her. Dieser Schutz existiert überall dort, wo die DSGVO gilt. Außerhalb dieses Geltungsbereiches sieht es allerdings anders aus: Dort kann man nicht ohne weiteres von einem angemessenen Datenschutz ausgehen. Doch auch außerhalb der EU will der europäische Gesetzgeber alles tun, was ihm möglich ist, um die Rechte und Freiheiten von Menschen zu schützen.
Daher müssen Verantwortliche, die der DSGVO unterliegen und personenbezogene Daten in Drittländer übermitteln wollen, sich an die Bestimmungen des Kapitels 5 der DSGVO mit den Artikeln 44 bis 50 halten. Diese Bestimmungen sollen sicherstellen, „dass das durch diese Verordnung gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird”, so Artikel 44 Satz 2.
Der Kerngedanken ist der Schutz von Menschen. Dieser Schutz soll nicht untergraben werden. Das behalten wir im Folgenden immer im Hinterkopf.
Wer eine Dienstreise macht, hat sein Smartphone dabei und meist auch sein Notebook. Und auf diesen Geräten sind typischerweise personenbezogene Daten gespeichert: Kontaktdaten, E-Mails, Messenger-Nachrichten, Notizen und vieles mehr. Womöglich kommen auch noch ein USB-Stick oder sonstige Geräte oder Medien mit personenbezogenen Daten hinzu. Vielleicht sogar ganz altmodische Unterlagen auf Papier. Das alles wirft datenschutzrechtliche Fragen auf.
Wirklich? Wer Artikel 44 DSGVO aufmerksam liest, stellt fest, dass dort von der Übermittlung personenbezogener Daten die Rede ist. Aber wenn ich mein Smartphone – oder die übrigen oben genannten Dinge – nur mit mir herumtrage? Wenn ich die darin gespeicherten personenbezogenen Daten überhaupt nicht sende, sondern immer bei mir behalte? Wenn ich damit lediglich die Grenze zu einem Drittland überschreite? Kein Sender, kein Empfänger, keine Übermittlung – also kein Problem. Leider doch!
Zum einen ist dies deswegen ein Problem, weil es dem Geist oder, etwas bodenständiger formuliert, dem Ziel der DSGVO widerspräche. Denn wie wir bereits gesehen haben, verbietet es Artikel 44 DSGVO, das Schutzniveau für natürliche Personen zu untergraben.
Wie sieht das in unserem Fall aus? Nehmen wir an, ich habe Kontaktdaten von Kollegen und Ansprechpartnern bei Kunden auf meinem Smartphone und reise damit in ein Drittland ohne angemessenes Datenschutzniveau. Leider konfiszieren die Behörden bei der Einreise mein Smartphone, um es auszulesen. Ist es verschlüsselt und gesperrt – was es natürlich sein sollte –, werde ich durch Androhung von Beugehaft oder anderen Zwangsmaßnahmen dazu genötigt, die Zugangsdaten herauszugeben.
Das wäre ziemlich blöd! Vor allem dann, wenn sich unter meinen Kontakten jemand befindet, der im Drittland nach dessen Maßstäben als Straftäter gilt oder zum Beispiel aus religiösen Gründen Repressalien zu befürchten hat. Die Kontaktdaten und womöglich weitere Daten zu dieser Person sind in die falschen Hände geraten. Diese Datenschutzverletzung kann die Freiheit dieses Menschen gefährden und unter Umständen sogar Gefahr für Leib und Leben bedeuten.
Dass damit das Schutzniveau, das die DSGVO natürlichen Personen bietet, untergraben würde, ist offensichtlich. Das kann niemand wollen!
Wir haben es also auf jeden Fall mit einem Verstoß gegen den Geist der DSGVO zu tun. Aber wie steht es mit dem Buchstaben der Verordnung? Können wir auch da einen Verstoß ausmachen? Ist ein Grenzübertritt mit dem Smartphone in der Hosentasche etwa doch eine Übermittlung im Sinne der DSGVO? Kommt Artikel 44 zur Anwendung oder nicht?
Dazu müssen wir zunächst klären, was eine »Übermittlung« eigentlich ist. Erste Anlaufstelle für solche Fragen ist immer Artikel 4 DSGVO. Denn dieser Artikel definiert eine Reihe von Begriffen, die die DSGVO immer wieder verwendet und für sie von zentraler Bedeutung ist. Dummerweise steht „Übermittlung“ nicht auf dieser Liste. Wir müssen uns also den Text der DSGVO vornehmen, schauen, wie das Wort „Übermittlung“ dort verwendet wird, und erschließen, was eine „Übermittlung“ wohl sein könnte.
Wenig überraschend deckt sich das Ergebnis dieser Untersuchung mit unserer intuitiven Vorstellung. Insbesondere hat eine Übermittlung einen Empfänger, wie beispielsweise aus Erwägungsgrund 101 hervorgeht. Dieser Erwägungsgrund spricht von der „Übermittlung personenbezogener Daten aus der Union an Verantwortliche, Auftragsverarbeiter oder andere Empfänger“.
Jetzt müssen wir noch herausfinden, was ein „Empfänger“ ist. Da hilft uns erfreulicherweise eine Definition in Artikel 4 Punkt 9 DSGVO (Hervorhebung von mir): „‚Empfänger‘ [ist] eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht.“
Entscheidend ist hier die Tatsache, dass beim Auslesen des Smartphones durch Behörden des Drittlandes „einer natürlichen oder juristischen Person, Behörde, Einrichtung oder anderen Stelle personenbezogene Daten offengelegt werden“. Dieser Vorgang macht die Einreisebehörde des Drittlandes – oder welche seiner Behörden auch immer – zu einem Empfänger. Das heißt, der ganze Vorgang ist sehr wohl eine Übermittlung personenbezogener Daten in ein Drittland, und folglich kommt das Kapitel 5 der DSGVO zur Anwendung.
Anmerkung: Unter bestimmten Umständen gilt dies übrigens nicht für Behörden von EU-Mitgliedstaaten. Das ist ebenfalls in Artikel 4 Punkt 9 DSGVO nachzulesen: „Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung.“
Wie lässt sich nun der Schutz der personenbezogenen Daten auf Smartphone und so weiter sicherstellen?
Glücklicherweise ist der Schutz personenbezogener Daten nicht in allen Drittländern gleichermaßen gefährdet. Einige Drittländer sind gleicher als andere. Hier hat die EU-Kommission den Datenschutz geprüft, hält ihn für angemessenen und hat gemäß Artikel 45 DSGVO eine Angemessenheitsentscheidung getroffen. In diese Länder darf man ohne weiteres personenbezogene Daten übermitteln, inklusive Einreise mit dem Smartphone.
Welche Länder das sind, kann man bei der EU-Kommission erfahren. Derzeit handelt es sich dabei um Andorra, Argentinien, Färöer, Guernsey, Israel, Insel Man, Japan, Jersey, Neuseeland, die Schweiz und Uruguay.
Auch für Kanada und die USA liegen Angemessenheitsentscheidungen vor. Die erstrecken sich aber nicht pauschal auf das ganze Land, sondern beschränken sich im Fall von Kanada auf kommerzielle Organisationen und im Fall der USA auf Wirtschaftsunternehmen, die sich dem EU-US-Privacy-Shield-Framework unterworfen haben. Da die Angemessenheitsentscheidungen für Kanada und die USA für Behörden nicht gelten, ist die Einreise mit Smartphone und Notebook dadurch nicht abgedeckt.
Artikel 46 DSGVO beschreibt eine Reihe von Möglichkeiten, mit denen ein Verantwortlicher oder Auftragsverarbeiter in einem Drittland für geeignete Garantien sorgen kann, die eine Datenübermittlung ermöglichen. Für die Smartphonekontrolle durch staatliche Behörden ist dieser Artikel aber meines Erachtens nicht anwendbar. Gleiches gilt für Artikel 47 DSGVO: Dort geht es um verbindliche interne Datenschutzvorschriften in Unternehmen, typischerweise multinationale Konzerne.
Für die Dienstreise ins Drittland bleibt jetzt nur noch Artikel 49 DSGVO als letztes Mittel. Dieser Artikel regelt Ausnahmen für bestimmte Fälle und nennt in Absatz 1 sieben Bedingungen. Ist mindestens eine davon erfüllt, ist die Datenübermittlung zulässig:
Falls auch von diesen Bedingungen keine zieht, wird es wirklich schwierig und für den Anwendungsfall »Ich nehme mein Smartphone mit« viel zu aufwendig und unpraktisch.
Auf die Übermittlung müssen dann nämlich sämtliche der folgende Bedingungen zutreffen:
Wenn du eine Dienstreise ins Ausland machst, ist datenschutzrechtlich interessant, wohin die Reise geht:
Wer dienstlich in solch ein Drittland ohne angemessenes Datenschutzniveau reist, sollte sein übliches Diensthandy und Laptop zu Hause oder im Büro liegen lassen. Stattdessen sollte er Geräte mitnehmen, auf denen ausschließlich diejenigen Kontakte und sonstigen personenbezogenen Daten gespeichert sind, die im Rahmen dieser Dienstreise zwingend erforderlich sind, beispielsweise die Kontaktdaten der Personen, die man besuchen will, oder Kontaktdaten von Personen außerhalb des besuchten Landes, die man zwingend während dieser Dienstreise kontaktieren muss.
Natürlich müssen die Anforderungen von Artikel 49 Absatz 1 DSGVO erfüllt sein. Im geschäftlichen Umfeld heißt das in der Regel, dass die betroffenen Personen ausdrücklich eingewilligt haben oder dass es eine vertragliche Grundlage gibt, die die Übermittlung ihrer Daten durch das Mitführen auf dem Smartphone oder auf einem anderen Gerät rechtfertigt.
Unternehmen, die ihre Mitarbeiter in Drittländer ohne angemessenen Datenschutz schicken, müssen sich auf diese besonderen Umstände einstellen und beispielsweise Reise-Smartphones und -Notebooks vorhalten. Außerdem sollten sie sich überlegen, ob die jeweilige Dienstreise wirklich notwendig ist und ob der Zweck nicht auch anders erreicht werden kann.