Übermittlung an ein Drittland?
PSP Case Study zur DSGVO: Praxisfall 24

DSGVO: Praktischer Fall (basiert auf Fall 23)

Die Maier GmbH erwägt, eine Software zur Mitarbeiter-Einsatzplanung individuell programmieren zu lassen. Zu diesem Zweck lädt sie Herrn Smirnow, einen Mitarbeiter des russischen Softwareentwicklungshauses „Russia Software OOO“, zu sich ein, damit dieser danach ein Angebot für die Softwareentwicklung erstellen kann. Während seines Besuches werden Herrn Smirnow die bestehenden Systeme bzw. Datenbanken der Personalabteilung der Maier GmbH gezeigt, um Herrn Smirnow die Möglichkeit zu geben, den Aufwand der gewünschten automatischen Datenübernahme aus diesen Systemen abschätzen zu können. Dabei werden spontan anhand einiger Beispiele verschiedene Datenfelder und deren Inhalt angesehen. Es handelt sich beispielsweise um Mitarbeiternamen, Krankheitsmeldungen, Leistungsbeurteilungen etc. Herr Smirnow macht sich jeweils allgemeine Aufzeichnungen über die Datenstrukturen und hin und wieder fertigt er als Erinnerungsstütze Screenshots mit seinem Tablet-PC an, den er wieder mit nach Russland nimmt. Die Russia Software OOO gibt ein Angebot ab, das aber von der Maier GmbH nicht angenommen wird.

Wenn man unterstellt, dass es sich überhaupt um einen Anwendungsfall der DSGVO handelt (s. Fall 23), so würde die Aufnahme der Screenshots wohl ein „Erheben“ von Daten durch die „Russia Software OOO“ (repräsentiert durch Herrn Smirnow) darstellen. Im Unterschied zu Fall 23 werden diese Daten nun in ein Drittland – Russland – „exportiert“, für das kein Angemessenheitsbeschluss der EU-Kommission (Art. 45 DSGVO) vorliegt. Für eine „Übermittlung“ in ein Drittland gelten nun nach Art. 44 bis 50 DSGVO vergleichsweise strenge Anforderungen. Der Begriff der „Übermittlung“ wird in der DSGVO nicht weiter definiert, sondern nur als Fall der „Offenlegung“ bezeichnet (Art. 4 Nr. 2 DSGVO) und dann überwiegend in den genannten Artikeln 44 bis 50 benutzt (s. auch Fall 1). Nach gängigem Verständnis ist das Übermitteln in ein Drittland weit zu verstehen, „sei es durch das Weitergeben von Daten an einen Empfänger im Drittland bzw. sonstige Bereitstellung, Zugänglichkeit im bzw. Abrufbarkeit aus dem Drittland, oder sei es in Form der Speicherung auf Servern, die im Drittland belegen sind“. Jedenfalls muss eine „Offenlegung im Drittland“ erfolgen.

Im vorliegenden Fall erhebt die „Russia Software OOO“ die Daten in der EU, nämlich vor Ort in Deutschland bei der Maier GmbH. Vorausgesetzt, hierbei werden sämtliche einschlägigen Pflichten (Pflichthinweise etc.) eingehalten und es gibt eine taugliche Legitimationsgrundlage (s. Fall 23), stellt dies auch gar kein Problem dar. Nun werden sie aber – in der Sprache des Strafrechts – nicht per Datenfernübertragung in ein Drittland „übermittelt“, sondern sie werden auf einem Datenträger (Tablet-PC von Herrn Smirnow) in ein Drittland „verbracht“. Ist dieses Verbringen begrifflich im „Übermitteln“ des Art. 44 DSGVO enthalten? Sprachlich eher weniger. Allerdings sind verschiedene Juristen der Meinung, dass von Art. 44 DSGVO alle Vorgänge erfasst werden sollen, bei denen eine Drittlandsgrenze überschritten wird, also gleich in welcher Weise. Warum hat man dann aber den einengenden Begriff der Übermittlung verwendet und die DSGVO nicht gleich so abgefasst, wenn das so gemeint gewesen wäre? Um die Verwirrung zu komplettieren: In der englischen Sprachfassung der DSGVO wird an dieser Stelle nicht das dort sonst übliche Pendant für das in Art. 4 Nr. 2 DSGVO enthaltene Wort „Übermittlung“, nämlich „transmission“, sondern das sonst in der englischen Sprachfassung nicht genutzte Wort „transfer“ verwendet.

Hinzu kommt, dass im Moment der Überschreitung der EU-Außengrenze (Herr Smirnow sitzt im Flugzeug nach Russland) unklar ist, ob Herr Smirnow seine Screenshots jemals wieder ansehen wird. Vielleicht vergisst er sogar, dass er diese angefertigt hat, und greift ausschließlich auf seine sonstigen Aufzeichnungen zurück. Lässt sich nun im Moment der „Übermittlung“ – eine solche unterstellt – sagen, ob eine „Offenlegung im Drittland“ erfolgen wird?

Eine weitere Dimension derartiger Fälle wird deutlich, wenn man sich vor Augen hält, dass man nicht einmal in ein Drittland ausreisen muss (mit personenbezogenen Daten im Gepäck), um Daten – vielleicht nicht ganz bewusst – in ein Drittland zu „exportieren“. Viele Daten werden automatisch (im „Backend“) „in die Cloud synchronisiert“, d. h. automatisch auf Server von Plattform-, Betriebssystem-, Anwendungs- oder App-Anbietern übertragen, die in einem Drittland liegen. Das kann eine App wie Whatsapp sein, die Chatverläufe inklusive Texte, Bilder, Filme etc. auf ihren Webservern speichert, oder eine Bildergalerie eines Mobiltelefons, die automatisch synchronisiert wird, damit diese auch auf anderen Endgeräten (oder als Back-up bei Datenverlust) zur Verfügung steht etc. Die von Herrn Smirnow erhobenen Daten könnten schneller als er selbst in Russland ankommen, wenn er einen entsprechenden Dienst auf russischen Servern nutzt. Und wer liest schon die Feinheiten dazu in AGB und prüft, ob dort eine „ordentliche“ Auftragsverarbeitungsvereinbarung enthalten und eine Legitimationsgrundlage für die Übermittlung in Drittländer vorhanden ist? Thematisch ist diese Fallgestaltung auch dafür prädestiniert, Privatpersonen als Verantwortliche zu betreffen (s. Fall 18). Mit einer noch „subtileren“ Datenübertragung an die Server von Software-Herstellern beschäftigt sich Fall 36.

Diese News könnten Sie auch interessieren
Alle News
Mehr laden
Diese Vorträge & Veröffentlichungen könnten Sie interessieren
Alle Vorträge & Veröffentlichungen
Mehr laden