Am 24. Februar 2023 hat das European Data Protection Board (EDPB) die finale Version der Leitlinie zu den Kriterien für Drittlandübermittlung veröffentlicht, da die Datenschutzgrundverordnung (DSGVO) keine juristische Definition des Begriffs „Übermittlung personenbezogener Daten an ein Drittland oder ein Land oder an eine internationale Organisation“ beinhaltet. Die Leitlinie soll sowohl den Verantwortlichen als auch den Auftragsverarbeiter Szenarien aufzuzeigen, welche Vorgaben bzw. Vorschriften der DSGVO bei Drittlandübermittlungen zu beachten sind.

Gemäß dieser Leitlinie des EDPB handelt es sich um eine Drittlandübermittlung, sodass Kapitel V der DSGVO berücksichtigt werden muss, wenn bei einer Verarbeitung die folgenden drei Kriterien (gemeinsam) erfüllt sind:

• Ein Verantwortlicher oder ein Auftragsverarbeiter („Exporteur“) unterliegt für die betreffende Verarbeitung der DSGVO.
• Der Exporteur stellt die personenbezogenen Daten, die Gegenstand dieser Verarbeitung sind, durch Übermittlung oder auf andere Weise einer Verarbeitung unterliegen, einem anderen für die Verarbeitung Verantwortlichen, gemeinsam Verantwortlichen oder Auftragsverarbeiter („Importeur“) zur Verfügung.
• Der Importeur befindet sich in einem Drittland, unabhängig davon, ob dieser Importeur für die betreffende Verarbeitung unter die DSGVO für die betreffende Verarbeitung gemäß Art. 3 DSGVO fällt oder eine internationale Organisation ist.

Dies hat zur Folge, dass eine Drittlandübermittlung nur unter bestimmten Voraussetzungen erfolgen darf, z. B.

• Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses (Artikel 45) oder
• Datenübermittlung vorbehaltlich geeigneter Garantien (Artikel 46).

Sind die drei Kriterien hingegen nicht erfüllt, liegt keine Übermittlung vor und Kapitel V der DSGVO findet keine Anwendung. Dabei ist jedoch zu beachten, dass bestimmte Datenübermittlungen zwar nicht als Übermittlung gemäß Kapitel V gelten, dennoch mit erhöhten Risiken verbunden sein können, da sie außerhalb der EU stattfinden. Gründe hierfür können widersprüchliche nationale Gesetze oder ein unverhältnismäßiger staatlicher Zugriff im Drittland sein.

Fazit

Die neue Leitlinie gibt einem Verantwortlichen oder Auftragsverarbeiter neue Möglichkeiten im Umgang mit Drittlandübermittlungen, insbesondere vor dem Hintergrund, dass sich die deutschen Datenschutzbehörden bzw. die deutsche Datenschutzkonferenz Ende Januar geäußert haben und eine andere Auffassung zu extraterritorialen Datenzugriffen vertreten.