Die Artikel-29-Datenschutzgruppe hat den Entwurf von Leitlinien zu Art. 49 DSGVO vorgelegt. Bis am 26. März 2018 können sich interessierte Kreise dazu äussern.
Art. 49 DSGVO erlaubt die Bekanntgabe von Personendaten in einen Drittstaat in bestimmten Ausnahmefällen, u.a. mit der ausdrücklichen Einwilligung der betroffenen Personen, für die Erfüllung oder die Vorbereitung eines Vertrags das anderen Gründen. Die Art.-29-Gruppe schlägt darin u.a. folgende Leitlinien vor:
-
- Die Ausnahmebestimmungen von Art. 49 DSGVO sind generell restriktiv auszulegen und können nur in Einzelfällen angerufen werden;
- Art. 49 DSGVO kann nicht angerufen werden, um Art. 48 DSGVO auszuhebeln. Datenübermittlungen, die auf ein Rechtshilfeübereinkommen (Mutual Legal Assistance Treaty, MLAT) gestützt werden können, sollten daher nicht auf durch Art. 49 DSGVO legitimiert werden;
- die Einwilligung in die übermittlung von Personendaten in Drittländer ist nur wirksam, wenn sie ausdrücklich erfolgt und sich spezifisch auf die Datenübermittlung bezieht; die einwilligende Person muss zudem ausreichend informiert werden, u.a. über die folgenden Punkte:
- die konkreten Risiken, die mit der Bekanntgabe verbunden sind, etwa dass Bearbeitungsgrundsätze nicht gelten oder keine Aufsichtsbehörde existiert (je nachdem; diese Hinweise können aber ausdrücklich standardisiert werden, müssen also nicht in jeden Einzelfall angepasst werden);
- die Empfänger,
- die Empfängerstaaten,
- die Tatsache, dass die Übermittlung auf der Einwilligung beruhen soll,
- die Tatsache, dass für die Empfängerstaaten ein Adequacy Finding fehlt.
- bei der Übermittlung zur Vertragserfüllung bzw. ‑anbahnung wird ein strenger Masstab angewandt. Die Übermittlung an andere Konzerngesellschaften für Shared Services im HR-Bereich etwa könne nicht auf diesen Tatbestand gestützt werden;
- die Übermittlung aus wichtigen Gründen des öffentlichen Interesses komme nicht schon deshalb infrage, weil eine ausländische Behörde eine Untersuchung im öffentlichen Interesse führe. Erforderlich sei vielmehr, dass auch die Übermittlung an die untersuchende ausländische Behörde im öffentlichen Interesse der EU oder eines Mitgliedstaats liege; dabei seien auch Gegenseitigkeitserwägungen zu beachten (dazu vgl. hier);
- die Übermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen umfasst u.a. die Übermittlung im Zusammenhang mit straf- oder verwaltungsrechtlichen Verfahren, auch etwa im Rahmen einer pre-trial-Discovery oder zur Prozessvorbereitung, solange das entsprechende Verfahren nicht nur eine theoretische Möglichkeit darstellt. Zulässig sei jeweils aber nur die für die betreffenden Zwecke notwendigen Daten.