Hinsichtlich des internationalen Handels und Zusammenarbeit ist es in der heutigen Zeit unerlässlich Daten auch an Drittländer übermitteln zu können. Die Zulässigkeitsprüfung einer solchen Übermittlung erfolgt zweistufig.
Zunächst muss die Datenübermittlung an sich zulässig sein. Jedwede Verarbeitung von personenbezogenen Daten unterliegt einem Verbot mit Erlaubnisvorbehalt. Neben der Einwilligung führt Art. 6 DSGVO weitere Rechtmäßigkeitsgründe, wie beispielweise die Erfüllung eines Vertrages oder den Schutz lebenswichtiger Interessen, an. Für besondere personenbezogene Daten, die eines höheren Schutzniveaus bedürfen, gelten die Erlaubnistatbestände des Art. 9 DSGVO.
Erfüllt die geplante Datenübermittlung die allgemeinen Voraussetzungen, ist im zweiten Schritt zu prüfen, ob eine Übermittlung in das Drittland zulässig ist. Dabei wird zwischen sicheren und unsicheren Drittländern unterschieden. Sichere Drittländer sind solche, denen die Europäische Kommission per Angemessenheitsbeschlusses ein angemessenes Datenschutzniveau bestätigt hat. Dort gewährleisten die nationalen Gesetze einen Schutz von personenbezogenen Daten, welcher mit dem des EU-Rechts vergleichbar ist. Zum Zeitpunkt der Anwendbarkeit der Datenschutz-Grundverordnung gehören zu den sicheren Drittstaaten: Andorra, Argentinien, Kanada (nur kommerzielle Organisationen), Färöer, Guernsey, Israel, Isle of Man, Jersey, Neuseeland, Schweiz, Uruguay und Japan. In diese ist die Datenübermittlung daher ausdrücklich gestattet.
Mit dem Urteil „Schrems II“ vom 16.Juli 2020 (Az.: C-311/18) hat der EuGH den Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US-Datenschutzschild (Privacy Shield) gebotenen Schutzes mit sofortiger Wirkung für ungültig erklärt. Datenübermittlungen in die USA können folglich nicht auf das Privacy Shield gestützt werden. Datentransfers in die USA bedürfen anderer Garantien, i. S. v. Art. 44 ff. DSGVO, zur Herstellung eines angemessenen Datenschutzniveaus.
Existiert für ein Land kein Angemessenheitsbeschluss, schließt dies eine Übermittlung in dieses Land nicht grundsätzlich aus. Vielmehr muss der Verarbeiter auf andere Weise sicherstellen, dass die personenbezogenen Daten beim Empfänger ausreichend geschützt werden. Dies kann durch den Einsatz von Standarddatenschutzklauseln, bei Datenübertragungen innerhalb eines Konzerns durch sog. Binding Corporate Rules, durch eine Verpflichtung zur Einhaltung von Verhaltensregeln, die von der Kommission für allgemein gültig erklärt worden sind oder durch die Zertifizierung des Verarbeitungsvorgangs geschehen.
Weiterhin gibt es eine Reihe von Ausnahmen, welche eine Datenübertragung in ein Drittland legitimieren, auch wenn der Schutz der personenbezogenen Daten nicht ausreichend sichergestellt werden kann. Am häufigsten wird hier die Einwilligung des Betroffenen einschlägig sein. Dabei sind insbesondere die Anforderungen an deren Freiwilligkeit zu beachten. Die weiteren Ausnahmen, wie die Übermittlung zur Vertragserfüllung, wichtige Gründe des öffentlichen Interesses und die Geltendmachung von Rechtsansprüchen, werden in der Praxis hingegen meist weniger relevant sein.
Passende Artikel der DSGVO
Art. 40 DSGVO Verhaltensregeln Art. 42 DSGVO Zertifizierung Art. 44 DSGVO Allgemeine Grundsätze der Datenübermittlung Art. 45 DSGVO Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses Art. 46 DSGVO Datenübermittlung vorbehaltlich geeigneter Garantien Art. 47 DSGVO Verbindliche interne Datenschutzvorschriften Art. 48 DSGVO Nach dem Unionsrecht nicht zulässige Übermittlung oder Offenlegung Art. 49 DSGVO Ausnahmen für bestimmte Fälle Art. 63 DSGVOKohärenzverfahren
Passende Erwägungsgründe
(101) Grundsätze des internationalen Datenverkehrs (102) Internationale Abkommen für angemessenes Schutzniveau (103) Adäquates Schutzniveau von Drittländern aufgrund eines Angemessenheitsbeschlusses(104) Kriterien für Angemessenheitsbeschluss (105) Berücksichtigung internationaler Abkommen für Angemessenheitsbeschluss (106) Überwachung und regelmäßige Überprüfung des Schutzniveaus (107) Abänderung, Widerruf und Außerkraftsetzung von Angemessenheitsbeschlüssen (108) Geeignete Garantien(109) Standard-Datenschutzklauseln (110) Verbindliche interne Datenschutzvorschriften (111) Ausnahmen für bestimmte Fälle internationaler Übermittlungen (112) Datenübermittlungen aufgrund wichtiger Gründe des öffentlichen Interesses (113) Nicht wiederholend erfolgende und nur eine begrenzte Zahl von Betroffenen betreffende Übermittlungen (114) Sicherstellung der Durchsetzbarkeit von Rechten und Pflichten bei Fehlen eines Angemessenheitsbeschlusses (115) Vorschriften in Drittländern die der Verordnung zuwiderlaufen
Passende Paragraphen des BDSG
§ 21 BDSG Antrag der Aufsichtsbehörde auf gerichtliche Entscheidung bei angenommener Rechtswidrigkeit eines Beschlusses der Europäischen Kommission
Externe Links
Behörden
- Datenschutzkonferenz DSK ► Kurzpapier Nr. 4 – Datenübermittlung in Drittländer (Link)
- Datenschutzbehörde Bayern ► Datenübermittlungen in Drittstaaten nach der DS-GVO (Link)
- Datenschutzbehörde Bayern ► Der One Stop Shop (Link)
- Die Bundesdatenschutzbeauftragte ► BfDI-Info 6 – Übermittlung in Drittstaaten, Seite 12 (Link)
- Data Protection Authority UK ► International transfers (Link)
- Data Protection Authority Ireland ► Cross-border processing and the one stop shop (Link)
- Data Protection Authority Isle of Man ► Transfers to third countries (Link)
- Article 29 Data Protection Working Party ► WP244 – Guidelines on the Lead Supervisory Authority (Link)
- Article 29 Data Protection Working Party ► WP245 – EU-US Privacy Shield F.A.Q. for European Businesses (Link)
- European Commission ► Data transfers outside the EU (Link)
- European Commission ► Withdrawal of the United Kingdom from the Union and EU – Rules in the field of data protection (Link)
Fachbeiträge
- Hogan Lovells Blog ► Übermittlung personenbezogener Daten in Drittländer, Überblick und Checkliste für die Prüfung nach der DS-GVO (Link)
- Bitkom ► Verarbeitung personenbezogener Daten in Drittländern (Link)
- Dr. Thomas Hoeren ► Skriptum Internetrecht – Drittstaaten, Seite 412 (Link)
- Datenschutzbeauftragter INFO ► Datentransfer mit UK nach dem BREXIT (Link)