Wann liegt eine rechtfertigungsbedürftige (Weiter-) Übermittlung nach Kapitel V der DS-GVO vor?
Stand: 03.09.2024
Kapitel V der Datenschutz-Grundverordnung (DS-GVO) (Art. 44 ff. DS-GVO) stellt besondere Voraussetzungen an die Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen und etwaige sich daran anschließende Weiterübermittlungen.
Der Begriff der „Übermittlung“ in diesem Sinne wird in der DS-GVO aber nicht definiert.
Auf dieser Seite gehen wir deshalb einzelnen Punkten und Fragestellungen dazu nach.
Der vollständige Inhalt des Dokuments steht nur den mit ZENDAS kooperierenden Hochschulen zur Verfügung
(nähere Informationen finden Sie hier
).
Für eine Übermittlung im Sinne des Kapitel V der DS-GVO ist nach Ansicht des EDSA Voraussetzung, dass es sich um zwei unterschiedliche getrennte Parteien handelt, also auf Exporteur- und Importeur-Seite ein anderer Verantwortlicher/Auftragsverarbeiter steht (Leitlinien 5/2021 Rn. 17).
Es handle sich deshalb um keine Übermittlung, wenn eine beschäftigte Person eines Verantwortlichen ihren Laptop mit auf Dienstreise in ein Drittland nimmt und von dort „nur“ mittels Fernzugriff auf personenbezogene Daten ihres Unternehmens zugreift. Die beschäftigte Person sei „wesentlicher Bestandteil“ des Verantwortlichen, also keine getrennte Partei. Die Übermittlung (Mitbringen des Laptops und Fernzugriff) erfolge daher nicht zwischen zwei getrennten Parteien, sondern innerhalb desselben Verantwortlichen. Nur, wenn die beschäftigte Person einem anderen Verantwortlichen/Auftragsverarbeiter in dem Drittland personenbezogene Daten offenlegt (sei es „freiwillig“ bei Geschäftspartner oder „unfreiwillig“ bei Behörden des Drittlands), liege eine rechtfertigungsbedürftige Übermittlung im Sinne der Art. 44 ff. DS-GVO vor (siehe zum Ganzen Leitlinien 5/2021 Rn. 20).