Das Thema „internationale Datentransfers“ ist ja im Grunde ein stetiger Dauerbrenner im Datenschutzrecht. Sei es die Umsetzung der Vorgaben des EuGH bzw. des EDSA oder der zwingende Abschluss der neuen SCC vor Dezember 2022, wenn die alten SCC ihre Gültigkeit verlieren.
Eine Datenübermittlung in ein Land außerhalb des EWR hat aber auch (oft übersehene) Konsequenzen auf der Ebene der Transparenzpflichten, konkret in Art. 13 und 14 DSGVO. Nach Art. 13 Abs. 1 lit. f DSGVO muss der Verantwortliche den Betroffenen, etwa in Datenschutzhinwiesen auf der Webseite oder ggü. den Mitarbeitern, die Absicht mitteilen, „die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind“.
Bereits die „Absicht“ von Datentransfers löst hier also eine Informationspflicht aus. Das ist im Grunde ein Vorfeldschutz, vor der eigentlichen Übermittlung. „Absicht“ dürfte aber zumindest so zu verstehen sein, dass der Verantwortliche die Übermittlung auch tatsächlich plant und will; es geht also nicht um zufällig, unbewusste Übermittlungen.
Praktisch stellt sich oft die Frage, ob denn ein Verantwortlicher das konkrete Drittland in den Hinweisen benennen muss, in welches personenbezogene Daten gehen. Je nach eingebundenen Dienstleistern oder etwa der Größe eines Konzerns, kann hier schnell eine größere Anzahl an Drittländern zusammen kommen. Davon zu trennen ist freilich die stets bestehende Möglichkeit, dass Verantwortliche die spezifischen Drittländer einfach immer benennen, unabhängig davon, ob sie nun verpflichtet sind oder nicht.
Der Wortlaut der Norm spricht eher gegen eine genaue Angabe des Drittlandes. Dort heißt es „ein Drittland“, nicht etwa „das betreffende Drittland“ oder ähnlich. Speziell ist die Situation eventuell im Fall eines Angemessenheitsbeschlusses. Wenn man auf den konkreten Beschluss verweisen würde, ist klar, um welches Land es geht.
Der EDSA führt in seinen Leitlinien zur Transparenz (WP 260 rev01, S. 48) aus: „Im Einklang mit dem Grundsatz von Treu und Glauben sollten die zu Datenübermittlungen in Drittländer bereitgestellten Informationen den betroffenen Personen so zweckdienlich wie möglich sein; normalerweise bedeutet dies, dass die Drittländer namentlich angegeben werden“. Auch der EDSA sieht die Benennung der konkreten Drittländer also wohl eher nicht als Pflicht an, sondern empfiehlt deren Angabe. Die Leitlinien sprechen zumindest nicht davon, dass die Information anzugeben ist oder stets angegeben werden muss. Man mag den EDSA hier evtl. aber auch strenger verstehen.
Der BayLfD ist bei dieser Frage sehr klar (Orientierungshilfe „Informationspflichten des Verantwortlichen“, S. 20). Art. 13 Abs. 1 lit. f DSGVO verlange nicht, dass das betreffende Drittland namentlich genannt wird. Gleichwohl empfiehlt der BayLfD (ebenfalls unter Verweis auf Transparenzgründe) diese Information bereitzustellen.
Ein deutliches Argument gegen eine Pflicht zur Angabe des spezifischen Drittlands nach Art. 13 Abs. 1 lit. f DSGVO ist ein systematischer Vergleich mit der Pflicht des Art. 30 Abs. 1 lit. e DSGVO. Danach muss der Verantwortliche in dem Verzeichnis der Verarbeitungstätigkeiten gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands (Hervorhebung durch mich) dokumentieren. Hier sieht der Gesetzgeber ganz klar eine Pflicht zur Benennung des „betreffenden Drittlands“ vor. Wenn es gewollt gewesen wäre, hätte der Gesetzgeber eben diese Pflicht auch in Art. 13 Abs. 1 lit. f DSGVO aufgenommen. Man muss also davon ausgehen, dass dies bewusst nicht erfolgte.