Das europäische Datenschutzrecht setzt dem internationalen Austausch von personenbezogenen Daten Grenzen (Art. 44-50 DSGVO). Dies gilt für Beschäftigtendaten genauso, auch wenn Beschäftigtendaten im Konzernverbund in Drittstaaten verarbeitet werden sollen (siehe Kapitel D V).
Datenübermittlung ins Ausland bedingt generell eine zweistufige Zulässigkeitsprüfung: Auf der ersten Stufe ist anhand der allgemeinen Zulässigkeitsvoraussetzungen (Art. 5 ff. DSGVO) zu fragen, ob für die Datenübermittlung als solche eine hinreichende Rechtsgrundlage besteht; insoweit gelten im Grundsatz die gleichen Anforderungen wie bei jeder Datenverarbeitung im Inland oder innerhalb der EU.
Auf der zweiten Stufe ist dann anhand von Art. 44–50 DSGVO zu prüfen, ob auch die Voraussetzungen für eine Datenübermittlung in ein Drittland oder eine internationale Organisation gegeben sind. Fehlt es bereits an den allgemeinen Voraussetzungen für eine zulässige Datenübermittlung, so kommt es auf die zusätzlichen Anforderungen für eine Drittlandsübermittlung nicht mehr an. Die Datenübermittlung ist dann von vornherein unzulässig.
Wenn den Empfängerländern nicht von der EU-Kommission gem. Art. 45 DSGVO förmlich ein angemessenes Datenschutzniveau (sog. Angemessenheitsbeschlüsse) bescheinigt worden ist, müssen die beteiligten Unternehmen selbst für geeignete Datenschutzgarantien (Art. 46 DSGVO) sorgen.
In der Praxis werden die von der EU-Kommission erlassenen Standardvertragsklauseln (https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A32010D0087) vereinbart. Nach den Vorgaben des Europäischen Gerichtshof (EuGH) ist der Abschluss dieser Vertragsklauseln allein für einen rechtmäßigen Datentransfer in Drittstaaten allerdings nicht ausreichend (EuGH 16.07.2020 – C-311/18 – Schrems II). Die Beteiligten müssen prüfen, ob die vereinbarten Datenschutzpflichten auch eingehalten werden können. Mit einer Daten-Transfer-Folgenabschätzung (Transfer-Impact-Assessment, TIA) ist zu prüfen, ob im Drittland entgegen dem in der EU bestehenden Schutzniveau Gesetze Behörden den Zugriff auf Daten erlauben und ob diese Zugriffe stattgefunden haben oder anzunehmen ist, dass sie in Zukunft stattfinden werden. Wenn z.B. im Drittland unverhältnismäßige Datenzugriffe von Behörden des Drittlandes erfolgen, muss der Datentransfer unterbleiben. Der Europäische Datenschutzausschuss (EDSA) hat Empfehlungen herausgegeben, welche zusätzlichen Maßnahmen neben den Standardvertragsklauseln (Standard Contractual Clause – SCC) ergriffen werden sollten, um einen rechtmäßige Datenübermittlung zu ermöglichen.
Eine weitere Möglichkeit für Unternehmensgruppen, eine Grundlage für den konzerninternen Datenfluss zu schaffen. besteht darin, behördlich genehmigte verbindliche Unternehmensrichtlinien – sogenannte Binding Corporate Rules in allen Konzernunternehmen zu beschließen (Art. 47 DSGVO).
Literatur
Taeger Jürgen / Gabel Detlev (Hrsg.): Kommentar DSGVO – BDSG – TTDSG, 4. Auflage, Frankfurt am Main 2022
Arnold / Günther: Arbeitsrecht 4.0, 2. Auflage, München 2022
Quellen
Datenschutzkonferenz: Kurzpapier Nr. 4 – Datenübermittlung in Drittländer, 11.7.2017
Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data; https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_en