Öffnungsklauseln und Drittstaaten: Eine übersehene Lücke?
In einem der letzten Artikel ging es um nationale datenschutzrechtliche Regelungen außerhalb der DSGVO, die aufgrund von sog. Öffnungsklauseln entstehen: Die Mitgliedstaaten können dieses System nutzen, um eigenes nationales Datenschutzrecht zu erlassen. Und in einem weiteren Artikel haben wir beschrieben, dass die DSGVO auch „extraterritoriale“ Wirkung haben kann, d.h. in Ländern außerhalb der EU (hier abrufbar).
Ein wichtiges Problem, das in der Praxis bislang ungelöst ist, entsteht, wenn man die beiden Aspekte zusammen betrachtet. Denn einerseits gilt die DSGVO auch in anderen Staaten – andererseits fehlt aber diesen Staaten die Möglichkeit zur Nutzung der Öffnungsklauseln.
Einführung
Obwohl die DSGVO europäisches Recht ist, gilt sie in sehr vielen Fällen auch für Datenverarbeitungen, die nicht innerhalb der EU stattfinden, sondern auf dem Boden von anderen Staaten. Der Grund dafür ist Art. 3 Abs. 1 und 2 DSGVO, mit dem sich der letzte Artikel ausführlich beschäftigte.
Fügt man diese Thematik des räumlichen Anwendungsbereichs auf Drittstaaten mit dem Thema „Öffnungsklauseln” (hier abrufbar) zusammen, gibt es aber ein besonderes Problem, auf das die DSGVO keine wirkliche Antwort hat.
Die DSGVO enthält viele sog. „Öffnungsklauseln”. Solche Regelungen sind Ausnahmen vom Anwendungsvorrang der DSGVO. Sie schaffen quasi „Öffnungen”, innerhalb derer die Mitgliedstaaten (oder auch die EU selbst) für bestimmte Bereiche eigene Regelungen treffen können. Das Problem hieran ist in Bezug auf Drittstaaten jedoch, dass diese Öffnungsklauseln eben nur für die Mitgliedstaaten der EU bzw. des EWR gelten (oder die EU selbst).
Beispielsweise gilt das für die Öffnungsklauseln in Artikel 6:
Art. 6 DSGVO – Rechtmäßigkeit der Datenverarbeitung:
(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens einer der nachstehenden Bedingungen erfüllt ist:
[…]
c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
[…]
e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
[…]
(2) Die Mitgliedstaaten können spezifischere Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung in Bezug auf die Verarbeitung zur Erfüllung von Absatz 1 Buchstaben c und e beibehalten oder einführen […].
(3) Die Rechtsgrundlage für die Verarbeitungen […] wird festgelegt durch
a) Unionsrecht oder
b) das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt.
(Hervorhebung hinzugefügt)
Gerade die Öffnungsklausel in Art. 6 Abs. 2 und 3 DSGVO ist eigentlich von essenzieller Wichtigkeit, um die rechtlichen Anforderungen des Datenschutzrechts mit Anforderungen anderer Rechtspflichten in Ausgleich zu bringen. Denn Art. 6 Abs. 1 lit. c und e DSGVO sagen sinngemäß: Wenn du etwas sollst (als öffentliche Aufgabe) oder musst (als Rechtspflicht), dann darfst du auch die dafür notwendige Datenverarbeitung vornehmen. Mitgliedstaaten können deshalb bestimmte Datenverarbeitungen „legalisieren”, indem sie eine dementsprechende Rechtspflicht festsetzen. Ein typisches Beispiel hierfür wäre eine Pflicht, bestimmte Buchungsbelege zu Zwecken des Steuerrechts noch mehrere Jahre aufzubewahren (vgl. § 147 AO).
Die EU-Mitgliedsstaaten können die Öffnungsklauseln des Art. 6 DSGVO also nutzen, indem sie selbst eine rechtliche Pflicht zur Datenverarbeitung in ihr Gesetz aufnehmen – in der Diktion der DSGVO ist dies dann eine „Rechtsgrundlage” der Datenverarbeitung.
Drittstaaten wie beispielsweise die Schweiz können nach dem Wortlaut der DSGVO aber solche „Rechtsgrundlagen” nicht erlassen. Die Folge: Einerseits gilt zwar die DSGVO auch in einem Drittstaat, wenn die Anforderungen des Art. 3 Abs. 1 oder Abs. 2 DSGVO erfüllt sind; die Anforderungen an inner- und außereuropäische Verarbeiter sind also gleich. Andererseits besteht für diese Drittstaaten aber keine Möglichkeit, in ihrem nationalen Recht Rechtsgrundlagen für die bei ihnen stattfindende Datenverarbeitung im Zusammenhang mit der geltenden DSGVO zu schaffen. Das kann zu Problemen führen, weil dadurch den Drittstaaten die Möglichkeit fehlt, über Rechtsvorschriften bestimmte Datenverarbeitungen zu „legalisieren”. Oder anders herum formuliert: Wenn es solche Rechtsvorschriften im Drittstaat bereits gibt, dann fehlt diesen Rechtsvorschriften die legalisierende Wirkung.
Ein Beispiel:
Ein Online-Versandhändler aus der Schweiz bietet auch die Versendung nach Deutschland und die Zahlung in Euro an, er unterfällt deshalb der DSGVO (Art. 3 Abs. 2 lit. a DSGVO). Nun verpflichtet ihn aber das Schweizer Recht, bestimmte Daten über seine Kunden zu speichern (z.B. zur Umsatzsteuerabrechnung).
Würde die Datenverarbeitung in der EU stattfinden, würde Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) greifen und die Datenverarbeitung wäre rechtmäßig. Die sich darauf beziehende Öffnungsklausel, Art. 6 Abs. 2, Abs. 3 DSGVO, gilt nach ihrem Wortlaut allerdings nur für EU-bzw. Mitgliedstaaten.Wie geht also nun der Versandhändler mit dem Schweizer Steuerrecht um?
Die DSGVO gibt auf diese Frage keine klare Antwort.
Klar ist: Die Schweiz ist aus Sicht der DSGVO ein Drittstaat. Zwar können auch Drittstaaten ihre eigenen Datenschutzgesetze überarbeiten und auch teilweise an die DSGVO anpassen. Das macht die Schweiz beispielsweise durch eine Änderung ihres DSG, denn die Schweiz verfügt über ein sog. „angemessenes Schutzniveau” im Sinne von Art. 45 DSGVO und will sicherstellen, dass dies nach Inkrafttreten der DSGVO auch so bleibt. Dazu muss die Schweiz ihr Datenschutzrecht an das EU-Recht anpassen. Dieses reformierte DSG soll voraussichtlich Ende 2019 in Kraft treten.
Das ändert aber nichts an der Tatsache, dass die Öffnungsklauseln für Staaten außerhalb der EU nicht gelten. Auch Staaten mit „angemessenem” Datenschutzrecht sind nach der DSGVO keine Staaten, die die Öffnungsklauseln nutzen dürfen.
Lösungsversuche
Wie kann man dieses Problem lösen? Einschlägige Literatur oder Rechtsprechung gibt es dazu bisher mit einer Ausnahme nicht. Lediglich Ehmann/Selmayr äußern sich im Beck’schen Kurzkommentar zur DSGVO hinsichtlich der Öffnungsklausel des Art. 6 Abs. 2 DSGVO: Sie sagen, dass aus dem Verweis auf Union und Mitgliedstaaten in den Öffnungsklauseln zwingend folgt, dass ein Drittland nicht die Maßstäbe für Art. 6 Abs. 1 lit. c und e DSGVO festlegen darf. Rechtliche Verpflichtungen des Verantwortlichen (Buchstabe c) und öffentliche Interessen (Buchstabe e) darf ein Drittstaat also nicht festlegen. Begründung: Öffentliche Interessen eines Drittlandes seien nur dann relevant, wenn diese auch von der Union oder dem jeweiligen Mitgliedstaat rechtlich explizit anerkannt sind. Als Beispiel führen Ehmann/Selmayr Art. 48 DSGVO an: Hier geht es um die Anerkennung von Urteilen und verwaltungsrechtlichen Entscheidungen aus Drittländern. Solche Urteile bzw. Entscheidungen erkennt die DSGVO nur an, wenn sie auf eine wirksame internationale Übereinkunft gestützt sind.
In diesen Kontext der Drittlandübermittlung passt auch der Erwägungsgrund 115 der DSGVO. Dieser betrifft Vorschriften von Drittländern, die nicht mit der DSGVO übereinstimmen. Die Zulässigkeit von Datenübermittlungen knüpft dabei ebenfalls an anerkannte öffentliche Interessen nur der Union oder der Mitgliedstaaten an.
Wenn man diesem Auslegungsergebnis folgt, führt dies allerdings zu unsinnigen Ergebnissen. Denn in solchen Fällen zwingt die DSGVO Unternehmen aus Drittstaaten in Situationen, in denen sie entweder die DSGVO verletzen (wegen Datenverarbeitung ohne Rechtsgrundlage) oder das Recht ihres jeweiligen Sitzlands (wegen Missachtung einer Pflicht zur Datenverarbeitung). Das gilt selbst für solche Drittstaaten, deren Datenschutzrecht von der EU-Kommission als angemessen anerkannt wurde.
Gibt es Lösungsmöglichkeiten, die zu einem anderen Ergebnis führen?
Lösung über eine teleologisch ergänzende Auslegung?
Ist aber diese Wortlautauslegung die einzige Antwort auf das dargestellte Problem? Dagegen lässt sich einiges einwenden. Denn aus Sicht von Staaten wie der Schweiz wäre ein solches Auslegungsergebnis ein „unfreundlicher Akt”, und die DSGVO würde zu völlig unnötigen Handelsbarrieren führen.
Man kann deshalb daran denken, die Regelungen der DSGVO in teleologischer Hinsicht zu erweitern: Man dehnt dazu die relevante Öffnungsklausel des Art. 6 Abs. 2, Abs. 3 DSGVO teleologisch dahingehend aus, dass auch betroffene Drittländer eigene Regelungen für den Fall treffen können, dass die bei ihnen aktiven Datenverarbeiter unter die DSGVO fallen. Begründen kann man dies mit dem Sinn und Zweck der DSGVO: Sie soll den Schutz von natürlichen Personen im Zusammenhang mit persönlichen Daten bewirken, und zwar einheitlich im Gebiet der EU als einem Raum der Freiheit. Wenn die DSGVO ihren räumlichen Anwendungsbereich aber auch exterritorial ausweitet (vgl. Art. 3 Abs. 2 und Abs. 3 DSGVO), dann ist es doch eigentlich nur konsequent, den Drittstaaten jedenfalls für ihr eigenes Staatsgebiet auch Ausgestaltungsmöglichkeiten zuzusprechen.
Lösung über Art. 6 Abs. 1 lit. f DSGVO – Interessenabwägung?
Zu einem ähnlichen Ergebnis kommt man, wenn man die Regelungen der Drittstaaten unter Art. 6 Abs. 1 lit. f DSGVO fasst. Dieser lautet:
Art. 6 DSGVO: Rechtmäßigkeit der Datenverarbeitung:
(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens einer der nachstehenden Bedingungen erfüllt ist:
[…]
f) die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, […].
(Hervorhebung hinzugefügt)
Art. 6 Abs. 1 lit. f DSGVO besagt also, dass die Verarbeitung personenbezogener Daten dann zulässig ist, wenn sie erforderlich ist, um berechtigte Interessen des Verarbeiters oder eines Dritten zu wahren; diese Interessen müssen aber die Interessen und Grundrechte des Betroffenen überwiegen. Dieser allgemeine „Auffangtatbestand” bietet viel Spielraum für eine flexible Argumentation, er kann eine Vielzahl von Sachverhalten erfassen. Also theoretisch auch genau die Sachverhalte, die im Inland eine Frage von Art. 6 Abs. 1 lit. c oder e i.V.m. Abs. 2, Abs. 3 DSGVO wären.
Mit anderen Worten: Selbst wenn ein „Drittstaats”-Datenverarbeiter bei der Beachtung von Datenverarbeitungspflichten seines Heimatstaats nicht über Art. 6 Abs. 1 lit. c und e DSGVO gerechtfertigt ist, doch vielleicht zumindest über die Interessenabwägung (lit. f). Der Datenverarbeiter, auf den wegen Art. 3 Abs. 1 oder Abs. 2 DSGVO die DSGVO anwendbar ist, hat also zumindest ein überwiegendes berechtigtes Interesse daran, die Datenverarbeitungspflichten im jeweiligen Drittland zu beachten.
Im Ergebnis führt diese Auslegung der DSGVO dazu, dass auch Drittstaaten bei exterritorialer Geltung der DSGVO an den Öffnungsklauseln „teilhaben” können; denn nur dann kann die exterritoriale Geltung in diesen Staaten ausgeformt und konkretisiert werden. Völlig identisch zur Rechtslage in der EU ist diese „Ausweichlösung” über Art. 6 Abs. 1 lit. f DSGVO aber nicht. Denn es kann auch zu Fällen kommen, in denen im Drittland eine Datenverarbeitung vorgeschrieben ist, in denen nach EU-Maßstäben aber kein legitimes überwiegendes Interesse an der Datenverarbeitung besteht. Beispielsweise im Bereich der nationalen Sicherheit gibt es in vielen Drittländern sehr umfangreiche Speicher- und Datenverarbeitungspflichten. Ob diese immer als „überwiegendes legitimes Interesse” des Art. 6 Abs. 1 lit. f DSGVO durchgehen, ist zweifelhaft.
Ergebnis: Offen
Das Problem ist im jetzigen Stadium ungelöst. Verschiedene Auslegungsmöglichkeiten sind denkbar. Einige Auslegungsvarianten der DSGVO machen es möglich, dass auch das Recht von Drittstaaten als Nutzung der Öffnungsklauseln der DSGVO durchgeht – entweder direkt (aufgrund einer teleologischen Ergänzung) oder indirekt (durch „Hineinlesen” des Rechts des Drittstaats in die Interessenabwägung). Welche Auslegung sich durchsetzt, ist aber unklar. Und auch wie sich die Datenschutzbehörden zu dem Thema verhalten, ist bislang völlig offen. Eines ist jedenfalls klar: Für einen einheitlichen, „gleichberechtigten” Datenschutz und den Schutz natürlicher Personen und ihrer Daten im Anwendungsbereich der DSGVO bedarf es in jedem Fall einer Lösung.
Telemedicus zum internationalen Anwendungsbereich der DSGVO
Telemedicus zu Öffnungsklauseln: Datenschutz jenseits der DSGVO: Ein langer Weg bis zum Ziel
Die Telemdicus-Themenseite zur DSGVO
Dieser Artikel entstand im Rahmen der Ausbildungsreihe „Recht und Kommunikation”, die gemeinsam von Bird&Bird und Telemedicus angeboten wird. Wollen Sie sich im Rahmen eines Praktikums oder einer Referendarstation als Teilnehmer*in an der Ausbildungsreihe bewerben? Hier gibt es weitere Informationen.
