IT-Recht & Datenschutz

Irische Datenschutzaufsichtsbehörde verhängt Bußgeld im Zusammenhang mit der Übermittlung personenbezogener Daten in die China

Veröffentlicht am 11th Juni 2025

Sanktionen für Verstöße bei Datenübertragungen an Drittländer bleiben selten, die ordnungsgemäße Durchführung von TIAs durch Verantwortliche bleibt jedoch essenziell.

Digital smart city skyline

Seit dem Urteil des Europäischen Gerichtshofs (EuGH) in der Rechtssache Schrems II (C-311/18) müssen Verantwortliche und Auftragsverarbeiter ein sog. Transfer Impact Assessment (TIA) durchführen, bevor sie personenbezogene Daten in ein Land übermitteln, das im Vergleich zur EU-Datenschutz-Grundverordnung (DS-GVO) kein angemessenes Schutzniveau bietet (Drittland). Die irische Datenschutzaufsichtsbehörde (Data Protection Commission, DPC) hat jetzt unter anderem wegen eines fehlerhaften TIAs ein Bußgeld von insgesamt EUR 530 Mio. gegen die europäische Anbieterin einer Social-Media-Plattform verhängt, die zu einer in China ansässigem Konzern gehört.

Einzelheiten der Entscheidung

Die DPC stützt ihre bislang nur als Pressemitteilung veröffentlichte Entscheidung auf zwei Punkte:

  • Transparenzdefizite: Zum einen habe das Unternehmen in seinen Datenschutzhinweisen aus dem Jahr 2021 die europäischen Nutzer nicht ausreichend über eine mögliche Übermittlung ihrer personenbezogenen Daten nach China informiert und damit gegen Art. 13 Abs. 1 lit. f) DS-GVO verstoßen. Weder seien Drittländer wie China überhaupt namentlich genannt, noch sei klargestellt worden, dass in den USA und Singapur gespeicherte Nutzerdaten möglichen Fernzugriffen aus China heraus unterlagen. Im Dezember 2022 (während des laufenden Verfahrens der DPC) hatte das Unternehmen seine Datenschutzhinweise überarbeitet, und damit die bemängelten Transparenzverstöße behoben.

  • Internationale Datentransfers: Zum anderen habe das Unternehmen gegen Art. 46 Abs. 1 DS-GVO verstoßen, weil es nicht im erforderlichen Umfang geprüft und sichergestellt habe, ob die für die Übermittlung nach China genutzten EU-Standardvertragsklauseln ausreichten, um die dort gespeicherten personenbezogenen Daten europäischer Nutzer einem der Sache nach gleichwertigen Schutzniveau wie in der EU zu unterstellen. Das Unternehmen habe es dabei insbesondere versäumt, mögliche Zugriffe chinesischer Sicherheitsbehörden auf Daten europäischer Nutzer auf Grundlage des Anti-Terrorismus-Gesetzes, des Spionageabwehrgesetzes, des Cybersicherheitsgesetzes oder des Geheimdienstgesetzes angemessen zu berücksichtigen und die damit verbundenen Grundrechtseingriffe durch geeignete Garantien und ergänzende Maßnahmen zu kompensieren.

    Hinweis: Die Anordnung der DPC, die Übermittlung personenbezogener Daten nach China auszusetzen, wurde in der Zwischenzeit angefochten. Der irische High Court hat daher eine Aussetzung dieses Teils der Entscheidung der DPC angeordnet. Diese Aussetzung gilt bis Anfang Oktober, wenn das Gericht über einen Antrag des Unternehmens auf eine längere Aussetzung entscheiden wird.

Bedeutung der Entscheidung

Obwohl TIAs in der Sanktionierungspraxis europäischer Aufsichtsbehörden bislang eher ein Schattendasein führten, ist das von der DPC nunmehr verhängte Bußgeld das bisher dritthöchste Bußgeld wegen eines DS-GVO-Verstoßes. Dabei hat die DPC bereits berücksichtigt, dass das Unternehmen derzeit ein milliardenschweres Datenschutz-Compliance-Projekt umgesetzt hat. Wie die DPC klarstellt, entfallen auf den oben dargestellten Verstoß gegen die Transparenzvorgaben des Art. 13 DS-GVO „nur“ EUR 45 Mio., während der Verstoß gegen die Vorgaben zum internationalen Datentransfer mit EUR 485 Mio. geahndet wurde.

Damit wurde nun ein signifikant hohes Bußgeld in einem der für die internationale Daten- und Digitalwirtschaft strategisch wichtigsten EU-Mitgliedsstaat verhängt. Die Entscheidung der DPC ist auch deswegen von besonderer Relevanz, weil internationale Datentransfers eine unternehmerische Notwendigkeit darstellen. Gleichzeitig unterliegen Unternehmen einem (theoretisch) hohen Vollzugsrisiko, da europäische Aufsichtsbehörden sehr konkrete Vorgaben zu TIAs formuliert haben und bußgeldbewehrte Verstöße gegen entsprechende Vorgaben damit grundsätzlich leicht feststellbar sind. Darüber hinaus existieren bislang nur wenige Angemessenheitsbeschlüsse der EU-Kommission, so dass die Durchführung eines TIA eher die Regel als die Ausnahme sein sollte.

Vor diesem Hintergrund sollten Unternehmen die erforderlichen Prozesse implementieren, mit denen sichergestellt ist, dass TIAs zum Bestandteil datenschutzrechtlicher Risikobewertung gehören. Ggf. bereits durchgeführte TIAs sollten auf ihre Vollständigkeit und Angemessenheit überprüft und ggf. nachgeschärft werden. Wo nötig, müssen die erforderlichen zusätzlichen Maßnahmen zum Schutz personenbezogener Daten in Drittländern ergriffen werden.

Bisherige Sanktionspraxis europäischer Behörden im Zusammenhang mit TIAs

Europäische Aufsichtsbehörden scheinen bislang eher zurückhaltend gewesen zu sein, Verstöße gegen rechtliche Vorgaben im Zusammenhang mit der Durchführung von TIAs zu ahnden. Jedenfalls sind nur vereinzelte Entscheidungen publik geworden, z.B. in

  • Norwegen: Dort verhängte die Behörde ein Bußgeld von umgerechnet ca. EUR 500.000, unter anderem mit der Begründung, dass das betroffene Unternehmen ohne ausreichende Rechtsgrundlage personenbezogene Daten an einen Auftragsverarbeiter mit Sitz in China übermittelte und in diesem Zusammenhang auch kein TIA durchgeführt hatte.
  • Spanien: Die dortige Aufsichtsbehörde verhängte ein Bußgeld von EUR 6,1 Mio. Diese Entscheidung beruhte zum Teil darauf, dass das betroffene Unternehmen die datenschutzrechtliche Situation in bestimmten Ländern nur unzureichend gewürdigt hatte und das vom Unternehmen durchgeführte TIA im Ergebnis daher nicht den relevanten Anforderungen genügte.

Was muss ein TIA umfassen?

Zwar geht das Erfordernis der Durchführung eines TIAs maßgeblich auf die Rechtsprechung des EuGH zurück, spezifische Vorgaben zu Inhalt und Umfang eines TIAs hat der EuGH allerdings nicht getroffen.

Konkrete Anforderungen an Inhalt und Umfang eines TIAs ergeben sich vielmehr aus den vom Europäischen Datenschutzausschuss veröffentlichten Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten („Empfehlungen“). Danach muss ein TIA im Wesentlichen aus folgenden Elementen bestehen:

Ermittlung und Erfassung der Datenübermittlungen in Drittländer, inkl. der jeweiligen Übermittlungsinstrumente

Zunächst sind die Datenübermittlungen in Drittländer, einschließlich etwaiger Weiterübermittlungen von Auftrags- oder Unterauftragsverarbeitern, zu erfassen. Die Übermittlungszwecke müssen angemessen und auf das notwendige Maß beschränkt sein. Das jeweils gewählte Übermittlungsinstrument nach Art. 46 DS-GVO ist ebenfalls zu dokumentieren.

Bewertung, ob Beeinträchtigungen der Garantien des Übermittlungsinstruments im Drittland drohen

Dies erfordert eine Beurteilung der Rechtslage und der Rechtsvorschriften im Drittland. Insbesondere müssen solche Vorschriften identifiziert und bewertet werden, die eine Offenlegung von Daten gegenüber staatlichen Stellen erfordern. Dazu gehört auch eine Prüfung der Rechtspraxis im Drittland, vor allem dann, wenn offensichtlich Praktiken bestehen oder Rechtsvorschriften unangewendet bleiben, die ein vergleichbares Schutzniveau zur DS-GVO und EU sicherstellen sollen oder entsprechende Rechtsvorschriften oder Praktiken gänzlich fehlen. Eine Beeinträchtigung liegt nach den Empfehlungen in der Regel dann vor, wenn der Wesensgehalt europäischer Grundrechte oder Grundfreiten im Drittland nicht geachtet wird. Diese Prüfung bildet den Schwerpunkt des TIAs und erfordert in der Regel die Hinzuziehung qualifizierter Rechtsberater in der jeweiligen Jurisdiktion.

Auswahl und Anwendung von zusätzlichen Maßnahmen

Diese sollen ein der EU vergleichbares Schutzniveau gewährleisten, falls das lokale Recht dazu führt, dass das durch das gewählte Übermittlungsinstrument gewährleistete Schutzniveau unterlaufen wird. Mögliche Maßnahmen können, z.B. vertraglicher oder technisch-organisatorischer Natur sein und müssen in Abhängigkeit von der Art der Daten und Datenverarbeitung sowie der datenschutzrechtlichen Defizite des Drittlands ausgewählt werden.

Fortlaufendes Monitoring und gegebenenfalls Neubewertung

Dies soll bei Änderung von Umständen im Drittland geschehen.

Die Erstellung eines TIAs ist in der Regel zwar sehr komplex, weil eine Vielzahl von Faktoren und Kriterien für die datenschutzrechtliche Bewertung des Drittlands erforderlich ist. Die zugrundeliegende Prüfstruktur ist jedoch stets gleich, so dass sich TIAs sehr gut in einen standardisierten Compliance-Prozess integrieren lassen. Hierfür bieten sich entsprechende Tools an, die bei der Erstellung eines datenschutzkonformen TIAs unterstützen können.

Folgen für Datenschutzhinweise

Informationen zu Datenübermittlungen in Drittländer sind zwingender Bestandteil von Datenschutzhinweisen. Art. 13 Abs. 1 lit. f) DS-GVO erfordert, dass Verantwortliche über Drittlandübermittlungen und das Vorhandensein oder Fehlen eines Angemessenheitsbeschlusses einschließlich der jeweils getroffenen geeigneten Garantien informieren. Nach Art. 13 Abs. 1 lit. e) DS-GVO müssen außerdem die Empfänger personenbezogener Daten mindestens kategorisch benannt werden. Aus der Entscheidung der DPC lässt sich herauslesen, dass in Datenschutzhinweisen darüber hinaus aber auch die folgenden Informationen bereitgestellt werden müssen:

  • konkrete Benennung und Aufzählung der Drittländer, in die personenbezogene Daten übermittelt werden sowie
  • von der Übermittlung in diese Drittländer betroffene Verarbeitungstätigkeiten

Ausblick und Handlungsempfehlungen

Auch wenn derzeit noch nicht von einer flächendeckenden Sanktionspraxis bei Verstößen gegen datenschutzrechtliche Vorgaben zum Drittstaatentransfer gesprochen werden kann, zeigt das nun verhängte Bußgeld, dass die ordnungsgemäße Durchführung von TIAs und die transparente Information betroffener Personen über internationale Datenübermittlungen wesentliche Pflichten von Verantwortlichen sind, die dementsprechend empfindlich sanktioniert werden

Verantwortliche Unternehmen sollten bereits durchgeführte TIAs daher kritisch auf etwaigen Anpassungsbedarf prüfen und sicherstellen, dass ein Prozess etabliert ist, mit dem die Durchführung von TIAs im erforderlichen Umfang gewährleistet ist. Gleichzeitig sollten Datenschutzhinweise auf ihren Anpassungsbedarf hinsichtlich Drittstaatentransfers geprüft und erforderlichenfalls aktualisiert werden.

Mehr zur tool-basierten Durchführung eines TIAs erfahren Sie hier

Related articles
Data Act: Teil 6 – Der Dateninhaber und der Nutzer als Zentralfiguren der Datenverordnung
26/06/2025 10 mins
Data Act: Teil 5 – Datenbereitstellung an den Staat und die EU
13/05/2025 9 mins
Data Act: Teil 4 – Der Data Act reguliert das Cloud Switching – und beeinflusst das Verhältnis von Kunden und Cloud-Anbietern
22/04/2025 11 mins
ECC CLUB Studie 2025: Intelligence Rising
26/03/2025 2 mins
Interested in hearing more from Osborne Clarke?

Register now for more insights, news and events from across Osborne Clarke

Sign up

* Dieser Artikel entspricht dem aktuellen Stand zum Zeitpunkt seiner Veröffentlichung und spiegelt nicht notwendigerweise den aktuellen Stand des Gesetzes / der Regulatorik wider.

Sprechen Sie uns an

Interested in hearing more from Osborne Clarke?

Register now for more insights, news and events from across Osborne Clarke

Sign up