Unter welchen Umständen ist eine Einwilligung zur Datenübermittlung nach Artikel 49 DSGVO grundsätzlich zulässig?

Eine Einwilligung ist nur dann zulässig, wenn ein Angemessenheitsbeschluss oder geeignete Garantien vorliegen. Zudem muss die Übermittlung für einen kleinen Personenkreis und ohne nennung der Risiken erfolgen.

Welche besonderen Einschränkungen gelten für Einwilligungen zur Datenübermittlung an Drittländer?

Einwilligungen sind nur für gelegentliche Datenübermittlungen und ohne Nennung der Risiken zulässig. Zudem muss die Übermittlung auf einen kleinen Personenkreis beschränkt sein, um die Anforderungen von Artikel 49 DSGVO zu erfüllen.

Was ist bei der Beurteilung von Einwilligungen nach Artikel 49 DSGVO zu beachten?

Bei der Beurteilung von Einwilligungen ist zu prüfen, ob ein Angemessenheitsbeschluss oder geeignete Garantien vorliegen. Außerdem muss die Übermittlung auf einen kleinen Personenkreis beschränkt sein und die betroffene Person über die Risiken informiert werden.

Unter welchen Bedingungen ist die Übertragung von Daten in Länder außerhalb der EU erlaubt?

Daten dürfen nur mit Einwilligung der betroffenen Person oder wenn dies für einen Vertragsabschluss erforderlich ist, übertragen werden. Es gibt keine generelle Erlaubnis zur Datenübertragung.

Warum ist die Verwendung von Google Plugins oft datenschutzrechtlich problematisch?

Google Plugins können Daten in die USA übertragen, wo der Datenschutzstandard niedriger ist als in der EU. Dies stellt eine potenzielle Gefahr für die Privatsphäre der Nutzer dar.

Was bedeutet Artikel 49 DSGVO im Zusammenhang mit Datenübertragungen?

Artikel 49 DSGVO legt die spezifischen Bedingungen für die Übertragung personenbezogener Daten in Drittländer fest, um sicherzustellen, dass die Datenschutzrechte der Betroffenen gewahrt bleiben.

Sichere KI, digitaler Datenschutz & Website-Compliance

Kategorien: Datenschutz, Recht und Übersicht

Der Artikel 49 definiert Ausnahmen für Datentransfers. Insbesondere besagt er, dass eine erteilte Einwilligung, die nicht unter Nennung der vorhandenen Risiken erfolgt, nur ausnahmsweise und für einen kleinen Personenkreis erfolgen darf.

Gesetzestext

(1) Falls weder ein Angemessenheitsbeschluss nach Artikel 45 Absatz 3 vorliegt noch geeignete Garantien nach Artikel 46, einschließlich verbindlicher interner Datenschutzvorschriften, bestehen, ist eine Übermittlung oder eine Reihe von Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation nur unter einer der folgenden Bedingungen zulässig:

a) die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde,

b) die Übermittlung ist für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich,

c) die Übermittlung ist zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einer anderen natürlichen oder juristischen Person geschlossenen Vertrags erforderlich,

d) die Übermittlung ist aus wichtigen Gründen des öffentlichen Interesses notwendig,

e) die Übermittlung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich,

f) die Übermittlung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder anderer Personen erforderlich, sofern die betroffene Person aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben,

g) die Übermittlung erfolgt aus einem Register, das gemäß dem Recht der Union oder der Mitgliedstaaten zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offensteht, aber nur soweit die im Recht der Union oder der Mitgliedstaaten festgelegten Voraussetzungen für die Einsichtnahme im Einzelfall gegeben sind.

Falls die Übermittlung nicht auf eine Bestimmung der Artikel 45 oder 46 – einschließlich der verbindlichen internen Datenschutzvorschriften – gestützt werden könnte und keine der Ausnahmen für einen bestimmten Fall gemäß den Buchstaben a bis g des vorliegenden Absatzes anwendbar ist, darf eine Übermittlung an ein Drittland oder eine internationale Organisation nur dann erfolgen, wenn die Übermittlung nicht wiederholt erfolgt, nur eine begrenzte Zahl von betroffenen Personen betrifft, für die Wahrung der zwingenden berechtigten Interessen des Verantwortlichen erforderlich ist, sofern die Interessen oder die Rechte und Freiheiten der betroffenen Person nicht überwiegen, und der Verantwortliche alle Umstände der Datenübermittlung beurteilt und auf der Grundlage dieser Beurteilung angemessene Garantien in Bezug auf den Schutz personenbezogener Daten vorgesehen hat. Der Verantwortliche setzt die Aufsichtsbehörde von der Übermittlung in Kenntnis. Der Verantwortliche unterrichtet die betroffene Person über die Übermittlung und seine zwingenden berechtigten Interessen; dies erfolgt zusätzlich zu den der betroffenen Person nach den Artikeln 13 und 14 mitgeteilten Informationen.

(2) Datenübermittlungen gemäß Absatz 1 Buchstabe g dürfen nicht die Gesamtheit oder ganze Kategorien der im Register enthaltenen personenbezogenen Daten umfassen. Wenn das Register der Einsichtnahme durch Personen mit berechtigtem Interesse dient, darf die Übermittlung nur auf Anfrage dieser Personen oder nur dann erfolgen, wenn diese Personen die Adressaten der Übermittlung sind.

(3) Absatz 1 Unterabsatz 1 Buchstaben a, b und c und sowie Absatz 1 Unterabsatz 2 gelten nicht für Tätigkeiten, die Behörden in Ausübung ihrer hoheitlichen Befugnisse durchführen.

(4) Das öffentliche Interesse im Sinne des Absatzes 1 Buchstabe d ist im Unionsrecht oder im Recht des Mitgliedstaats, dem der Verantwortliche unterliegt, anerkannt.

(5) Liegt kein Angemessenheitsbeschluss vor, so können im Unionsrecht oder im Recht der Mitgliedstaaten aus wichtigen Gründen des öffentlichen Interesses ausdrücklich Beschränkungen der Übermittlung bestimmter Kategorien von personenbezogenen Daten an Drittländer oder internationale Organisationen vorgesehen werden. Die Mitgliedstaaten teilen der Kommission derartige Bestimmungen mit.

(6) Der Verantwortliche oder der Auftragsverarbeiter erfasst die von ihm vorgenommene Beurteilung sowie die angemessenen Garantien im Sinne des Absatzes 1 Unterabsatz 2 des vorliegenden Artikels in der Dokumentation gemäß Artikel 30.

Gesamter Gesetzestext

Bemerkungen

Im März 2023 hat das LG Köln geurteilt, dass Übermittlung der IP-Adresse an Google ein Datenschutzproblem darstellt ("Telekom.de", Urteil vom 23.03.2023 – 33 O 376/22).

Gemäß Erwägungsgrund 111 und der Überschrift des obigen Art. 49 DSGVO sind Einwilligungen nur für gelegentliche Datenübermittlungen zulässig, nicht fortwährend. Auf Webseiten können somit Einwilligungen für Google Plugins nicht rechtskonform abgefragt werden, weil Google eine Muttergesellschaft in den USA hat und zudem Daten oft planmäßig weltweit oder mindestens in die USA hinein verteilt.

Die Datenschutzbehörde der Republik Österreich hat für Google Analytics entschieden, dass eine Einwilligung gemäß Art. 49 Abs. 1 a DSGVO erforderlich ist.

Die Datenschutzbehörde von Frankreich, die CNIL, hat Google Analytics in der Standardvariante sogar gänzlich eine Absage erteilt und sieht den rechtskonformen Einsatz höchstens dann gegeben, wenn ein serverseitiger Mechanismus mitsamt Datenanonymisierung stattfindet.

Kernaussagen dieses Beitrags

Daten dürfen an Länder außerhalb der EU nur unter bestimmten Bedingungen übertragen werden, zum Beispiel mit Einwilligung der Person oder wenn es für einen Vertrag notwendig ist.

Die Verwendung von Google Plugins auf Webseiten ist oft nicht datenschutzkonform, weil Google Daten möglicherweise in die USA überträgt, wo ein niedrigerer Datenschutzstandard gilt.

Über diese Kernaussagen