BDSG a.F. Kommentare und Erläuterungen

Aus Datenschutz-Wiki
Zur Navigation springen Zur Suche springen

§ 4b Übermittlung personenbezogener Daten ins Ausland sowie an über- und zwischenstaatliche Stellen

§ 4b Text

(1) Für die Übermittlung personenbezogener Daten an Stellen


  1. in anderen Mitgliedstaaten der Europäischen Union,
  2. in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum oder
  3. der Organe und Einrichtungen der Europäischen Gemeinschaften

gelten § 15 Abs. 1, § 16 Abs. 1 und § 28 bis § 30a nach Maßgabe der für diese Übermittlung geltenden Gesetze und Vereinbarungen, soweit die Übermittlung im Rahmen von Tätigkeiten erfolgt, die ganz oder teilweise in den Anwendungsbereich des Rechts der Europäischen Gemeinschaften fallen.

(2) Für die Übermittlung personenbezogener Daten an Stellen nach Absatz 1, die nicht im Rahmen von Tätigkeiten erfolgt, die ganz oder teilweise in den Anwendungsbereich des Rechts der Europäischen Gemeinschaften fallen, sowie an sonstige ausländische oder über- oder zwischenstaatliche Stellen gilt Absatz 1 entsprechend. Die Übermittlung unterbleibt, soweit der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat, insbesondere wenn bei den in Satz 1 genannten Stellen ein angemessenes Datenschutzniveau nicht gewährleistet ist. Satz 2 gilt nicht, wenn die Übermittlung zur Erfüllung eigener Aufgaben einer öffentlichen Stelle des Bundes aus zwingenden Gründen der Verteidigung oder der Erfüllung über- oder zwischenstaatlicher Verpflichtungen auf dem Gebiet der Krisenbewältigung oder Konfliktverhinderung oder für humanitäre Maßnahmen erforderlich ist.

(3) Die Angemessenheit des Schutzniveaus wird unter Berücksichtigung aller Umstände beurteilt, die bei einer Datenübermittlung oder einer Kategorie von Datenübermittlungen von Bedeutung sind; insbesondere können die Art der Daten, die Zweckbestimmung, die Dauer der geplanten Verarbeitung, das Herkunfts- und das Endbestimmungsland, die für den betreffenden Empfänger geltenden Rechtsnormen sowie die für ihn geltenden Standesregeln und Sicherheitsmaßnahmen herangezogen werden.

(4) In den Fällen des § 16 Abs. 1 Nr. 2 unterrichtet die übermittelnde Stelle den Betroffenen von der Übermittlung seiner Daten. Dies gilt nicht, wenn damit zu rechnen ist, dass er davon auf andere Weise Kenntnis erlangt, oder wenn die Unterrichtung die öffentliche Sicherheit gefährden oder sonst dem Wohl des Bundes oder eines Landes Nachteile bereiten würde.

(5) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle.

(6) Die Stelle, an die die Daten übermittelt werden, ist auf den Zweck hinzuweisen, zu dessen Erfüllung die Daten übermittelt werden.


Übermittlungen an Stellen innerhalb der EU, in EWR-Vertragsstaaten oder an Organe und Einrichtungen der Europäischen Gemeinschaft (Abs. 1)

Anwendungsbereich

Die Regelungen des § 4b beruhen weitgehend auf den verbindlichen Vorgaben der EU-Datenschutzrichtlinie. Die Richtlinie verlangt eine Gleichbehandlung grenzüberschreitender Übermittlungen personenbezogener Daten an Stellen in der EU mit solchen an inländische Stellen. Maßgeblich für die inländische Zulässigkeit sind dabei die Erlaubnistatbestände des BDSG wie auch solche des bereichspezifischen Datenschutzrechts.

Entsprechend dem Vertrag über den Europäischen Wirtschaftsraum (EWR) haben die Vertragsstaaten Island, Liechtenstein und Norwegen die Anforderungen des Binnenmarktes ebenso umzusetzen, darunter auch die EG-Datenschutzrichtlinie. Dies ist die Basis für die Gleichbehandlung von Übermittlungen an Stellen in diesen Ländern mit solchen an Stellen in den EU-Mitgliedstaaten.

Mit Nr. 3 wird auch Übermittlung an die Europäische Gemeinschaft als EU-interner Vorgang qualifiziert, auf den die für innerstaatliche Übermittlungen geltenden Vorschriften anzuwenden sind. Erfasst werden Übermittlungen an alle Organe und Einrichtungen der EU. Die Verwendung der erhaltenen Daten unterliegt den Bestimmungen der Datenschutzverordnung der EG (Verordnung (EG) Nr. 45/2001 Art. 1), die ihrerseits mit den Anforderungen der Richtlinie harmonisiert ist.

Gemäß ihrem Art. 3 Abs. 1 ist diese Verordnung von allen Organen der Gemeinschaft und ebenso von den Einrichtungen, die in den Anwendungsbereich des Gemeinschaftsrechts fallen, anzuwenden. Dazu zählen z.B. die EG-Kommission, der EuGH, die EZB, der Wirtschafts- und Sozialausschuss, wie auch Einrichtungen auf der Grundlage des Sekundärrechts (z.B. Europäische Stiftungen und Förderzentren).


Gemeinschaftsrechtsbezug

§ 4b Abs. 1 ist nur auf Übermittlungen anzuwenden, die im Rahmen von Tätigkeiten erfolgen, die ganz oder teilweise in den Anwendungsbereich des Rechts der Europäischen Gemeinschaften fallen. Erforderlich ist damit ein Sachzusammenhang mit einer Materie des Gemeinschaftsrechts. Der Gemeinschaftsrechtsbezug kann sich entweder auf einem von der übermittelnden Stelle verfolgten (eigenen) Übermittlungszweck beziehen oder aus dem von der empfangenden Stelle verfolgten Verwendungszweck. Fehlt ein solcher, gilt nicht Abs. 1 Nr. 3, sondern Abs. 2.


Auftragsverarbeitung

Das Gesetz spricht zwar nur von der Übermittlung, wozu die Übergabe von Daten im Rahmen einer Auftragsverarbeitung an einen Auftragnehmer in der EU oder einem Vertragsstaat des EWR nicht zählt (§ 3 Abs. 8 Satz 3). Abs. 1 ist jedoch seinem Zweck nach sinngemäß anzuwenden. Dies bedeutet, dass auf die Zulässigkeit die gleichen Rechtsvorschriften anzuwenden sind wie bei einer innerstaatlichen Auftragsverarbeitung.


Öffentliche und nicht-öffentliche Stellen

Die Zulässigkeit grenzüberschreitender Übermittlungen an die in Nr.1 bis 3 genannten Stellen wird (bei Anwendbarkeit von § 4b Abs. 1) für alle öffentlichen und nicht-öffentlichen Stellen geregelt. Öffentliche Stellen unterliegen bei Übermittlungen nach § 4b Abs. 1 den Vorschriften des BDSG und sind verpflichtet, zunächst die Regelungen in § 4 Abs. 1, § 15 Abs. 1 und § 16 Abs. 1 zu beachten. Nicht-öffentliche Stellen sind den Vorschriften der § 4 Abs. 1, § 28 bis § 30 und § 32 verpflichtet. Ferner sind bereichsspezifische Regelungen, zu beachten. Unterschiede zu inländischen Übermittlungen können sich aus dem Gemeinschaftsrecht oder sonstigen supranationalen Regelungen ergeben, wie etwa aus Vereinbarungen zwischen einzelnen Mitgliedsstaaten und EU-Einrichtungen.


Zulässigkeit der Übermittlung ins Ausland ohne EU-Bezug (Abs.2)

Voraussetzungen der Zulässigkeit (Sätze 1 und 2)

Abs. 2 behandelt alle Auslandsübermittlungen, die nicht unter Abs. 1 fallen, also solche, die nicht an Adressaten des EU/EWR-Bereichs gehen oder (zwar dorthin gehen, aber) keinen Zusammenhang mit dem Gemeinschaftsrecht haben. Mit der Anordnung, dass Abs. 1 entsprechend gilt, wird klargestellt, dass auch in diesen Fällen zunächst einmal der Grundsatz gilt, dass die Übermittlung (auch) als Inlandsübermittlung zulässig sein müsste. Es gelten jedoch zusätzliche Anforderungen:

  • Der Betroffene darf kein schutzwürdiges Interesse an dem Ausschluss der Übermittlung haben.
  • Dies ist stets der Fall, wenn bei dem Empfänger im Ausland ein angemessenes Datenschutzniveau (dazu näher Abs. 3) nicht gewährleistet ist.

Ebenso wie bei Übermittlungen nach § 4b Abs. 1 kommen neben den Vorschriften des BDSG auch bereichsspezifische Rechtsvorschriften sowie internationalen Übereinkommen und bilaterale Vereinbarungen mit Drittstaaten als Rechtsgrundlage in Frage. Doch auch hier sind die schutzwürdigen Interessen der Betroffenen zu beachten; insbesondere unterliegt der Datentransfer den Bedingungen des angemessenen Datenschutzniveaus. Eine Übermittlung hat mithin zu unterbleiben, wenn das Schutzniveau als nicht angemessen einzustufen ist oder aus anderen Gründen ein höher einzustufendes schutzwürdiges Interesse der Betroffenen anzunehmen ist. Das BDSG gleicht also Datenschutzdefizite internationaler Abkommen nicht aus, sondern gibt dem Gesetzgeber, will er dort vorgesehene Übermittlungen ermöglichen, Veranlassung, bestehende Schutzdefizite zu beheben.

Schutzwürdige Interessen des Betroffenen können einer Übermittlung auch dann entgegenstehen, wenn das Datenschutzniveau im Empfängerland generell als angemessen anzusehen ist. Sie müssen an den grenzüberschreitenden Charakter der Übermittlung anknüpfen. Sie liegen in der Regel vor, wenn im Einzelfall mit einer Verwendung oder einer Verbreitung der Daten zu rechnen ist, die den in der EU geltenden Schutzmaßstäben grob zuwiderlaufen.


Ausnahmen (Satz 3)

Trotz eines fehlenden angemessenen Datenschutzniveaus erlaubt das Gesetz eine unter Abs. 2 fallende Übermittlung nur, wenn kumulativ folgende Voraussetzungen vorliegen (Satz 3)

  • übermittelnde Stelle ist eine öffentliche Stell des Bundes
  • die Übermittlung ist aus zwingenden Gründen zur Erfüllung eigener Aufgaben erforderlich und
  • dient entweder
    • der Verteidigung (dies meint die Landesverteidigung - so Art. 13 Abs. 1 Buchst. b EU-Datenschutzrichtlinie - , schränkt aber nicht auf militärische und sonstige Stellen des Verteidigungsministeriums ein) oder
    • der Erfüllung über- oder zwischenstaatlicher Verpflichtungen auf dem Gebiet der Krisenbewältigung oder Konfliktverhinderung oder
  • für humanitäre Maßnahmen.


Angemessenheit des Schutzniveaus (Abs. 3)

Kriterien

Das Gesetz enthält - der Richtlinie folgend - keine wirkliche Definition der Angemessenheit, sondern nur einen Katalog von Kriterien. Dieser ist ausdrücklich ("insbesondere") als nicht abschließend gekennzeichnet. Vielmehr sollen alle Umstände berücksichtigt werden, die bei einer Übermittlung von Bedeutung sind. "Bedeutung" ist dabei soviel wie datenschutzrechtliche Relevanz. Dazu gehören primär die Auswirkungen auf die informationelle Selbstbestimmung des Betroffenen, aber - entsprechend dem Regelungsansatz des BDSG - auch die Interessen der übermittelnden Stelle und des Empfängers an der Durchführung der Übermittlung.

Mit der Wendung "bei einer Übermittlung" macht das Gesetz deutlich, dass das Schutzniveau nicht ganz allgemein beurteilt wird (wie bei einer Anerkennung des Schutzniveaus eines Drittlandes durch die EU-Kommission nach Art. 25 Abs. 6 der Richtlinie 95/46/EG), sondern in Bezug auf einen jeweiligen Einzelfall oder eine Fallgruppe.

Ausdrücklich nennt das Gesetz folgende Kriterien:

  • Art der Daten
    Hier ist auf Inhalt und Umfang der Daten abzustellen, insbesondere die Frage, ob durch Belange des Betroffenen durch die Tiefe und Breite der Informationen (im Sinne eines Datenprofils) oder durch ihren sensitiven Inhalt im Sinne der besonderen Daten nach § 3 Abs. 9 überdurchschnittlich tangiert werden. In diesem Falle muss auch der Schutz im Empfängerland eine entsprechend gesteigerte Qualität aufweisen.
  • Die Zweckbestimmung
    Je nach Zweck kann die Übermittlung der gleichen Daten ganz unterschiedliche Auswirkungen haben. Relevant ist in diesem Zusammenhang auch, ob die Zweckbindung angemessen ist.
  • Die Dauer der geplanten Verarbeitung
    Eine zeitlich unbefristete Verarbeitung (die hier auch die Verwendung einbezieht) belastet ungleich stärker als eine solche Verarbeitung, deren Endzeitpunkt von Anfang an feststeht.
  • Das Herkunfts- und das Endbestimmungsland
    Der Text wurde aus der Richtlinie übernommen, die für alle Mitgliedstaaten gilt. Für das BDSG ist das Herkunftsland immer Deutschland. Relevant ist daher eine evtl. Differenz zwischen dem hiesigen Schutzniveau und dem des jeweiligen Empfängerlandes.
  • Die für den betreffenden Empfänger geltenden Rechtsnormen
    Abzustellen ist nicht nur darauf, ob ein Datenschutzgesetz besteht und welchen Inhalt es hat, sondern auf das im Empfängerland insgesamt geltende Recht.
  • Die für den betreffenden Empfänger geltenden Rechtsnormen und
    Standesregeln können als ergänzende Schutzinstrumente berücksichtigt werden.
  • Die für den betreffenden Empfänger geltenden Sicherheitsmaßnahmen
    Mit dem (etwas ungewöhnlichen) Ausdruck "geltende Sicherheitsmaßnahmen" sind solche Maßnahmen gemeint, die entweder rechtlich vorgeschrieben sind oder aber faktisch und mit einer Gewähr für dauerhaften Bestand realisiert sind.


Angemessenheit

Das Schutzniveau im Drittland ist dann als angemessen anzusehen, wenn der betroffenen Person dort in Bezug auf die Verarbeitung und Verwendung ihrer Daten ein Schutz zu Teil wird, der dem Kernbereich der Schutzprinzipien der Richtlinie im Wesentlichen gerecht wird. Dabei sind Abstriche bei einzelnen Schutzinstrumenten, etwa dem der Information bei der Erhebung oder bei der Haftung, vom Prinzip her durchaus möglich, ebenso wie eine gewisse Minderung des Schutzniveaus im Ganzen. "Angemessen" ist bedeutet weniger als "gleichwertig" oder "äquivalent".


Die Beurteilung erfolgt fallbezogen. Defizite sind deshalb unschädlich, wenn sie konkret keine Rolle spielen. Ein fehlender Sonderschutz für "besondere" Daten stellt die Angemessenheit daher nicht in Frage, wenn die Übermittlung besonderer Daten in das Drittland nicht zur Debatte steht, noch zu erwarten ist, dass dort solche Daten hinzugefügt werden.


Unterrichtungspflicht (Abs. 4)

Stützt eine öffentliche Stelle eine Übermittlung nach Abs. 2 auf § 16 Abs. 1 Nr. 2, d.h. auf das berechtigte Interesse des Empfängers an der Kenntnis der Daten, dann ist sie nach Abs. 4 verpflichtet, den Betroffenen von der Übermittlung seiner Daten zu unterrichten. Die Regelung (wie auch die Ausnahme des Satz 2) wiederholt § 16 Abs. 3. Insofern ist sie streng genommen redundant. Im Falle der Auslandsübermittlung ist der Inhalt der Unterrichtung jedoch erweitert. Sie muss in der Regel folgende Punkte umfassen:

  • Empfänger
  • Empfängerland
  • Mitteilung, dass dort kein angemessenes Datenschutzniveau besteht
  • Art und Umfang der Daten
  • Zweck der Übermittlung.

Kann nicht ausgeschlossen werden, dass schutzwürdige Interessen des Betroffenen der Übermittlung in der vorgesehenen Form entgegenstehen, ist ihm mit der Unterrichtung Gelegenheit zur Stellungnahme vor einer Übermittlung zu geben.

Im Übrigen wird auf die Kommentierung zu § 16 verwiesen.


Verantwortung (Abs. 5)

Die Verantwortung für die Zulässigkeit der Übermittlung liegt immer bei der übermittelnden Stelle. Abs. 5 stellt damit klar, dass für eine Anwendung des § 15 Abs. 2, der in manchen Fällen der empfangenden öffentlichen Stelle einen Teil der Verantwortung zuweist, kein Raum besteht.


Hinweis auf Zweck (Abs. 6)

Die übermittelnde Stelle hat den Empfänger auf den Zweck hinzuweisen, zu dessen Erfüllung die Daten übermittelt werden. Die Regelung hat zunächst die Funktion, zwischen beiden Beteiligten den Zweck klarzustellen. Dies ist notwendig, weil in der Phase der Vorbereitung unterschiedliche, insbesondere unterschiedlich weite Zwecke genannt worden sein können.


Der Zweckhinweis ist nicht rein informatorisch, sondern enthält auch ein Element rechtlicher Bindung des Empfängers an den genannten Zweck. Dies ist stets dann der Fall, wenn die Übermittlung nur unter der Voraussetzung einer strikt zweckgebundenen Verwendung nicht einem schutzwürdiges Interesse des Betroffenen an dem Ausschluss der Übermittlung zuwiderläuft. Die Zweckbindung beim Empfänger ist damit Geschäftsgrundlage der Übermittlung und deshalb verbindlich.


Über den Gesetzeswortlaut hinaus hat daher die übermittelnde Stelle regelmäßig dem Empfänger den Übermittlungszweck nicht nur mitzuteilen, sondern ihn auch zu verpflichten, die Verwendung auf diesen Zweck zu begrenzen.


Online-Kommentare

← § 4a BDSG a.F. Kommentare   § 4c BDSG a.F. Kommentare →


Bundesdatenschutzgesetz


Dieser Text wurde aus dem Datenschutz-Wiki der BfDI übernommen. Bearbeitungen vor dem 16.April 2016 stehen unter der Lizenz Creative Commons Namensnennung 3.0 Deutschland.