Wir leben in einer globalen Geschäftswelt, in der zahlreiche Unternehmen nicht nur auf ihr Sitzland beschränkt, sondern international tätig sind. Wer global agiert, muss dies beim Datenschutz berücksichtigen. Allerdings steht der internationale Datenschutz für ein komplexes Thema, das zahlreiche Fragen aufwirft. Die wichtigsten Fragen haben wir nachfolgend beantwortet.
Was ist internationaler Datenschutz?
Datenschutz ist keineswegs nur in Deutschland ein bedeutsames Thema, in den meisten anderen Ländern gelten ebenfalls umfangreiche Vorgaben zur Behandlung personenbezogener Daten.
Innerhalb der Europäischen Union (EU) bleibt es noch einigermaßen überschaubar. Seit 2018 ist hier die EU-Datenschutzgrundverordnung (DS-GVO) in Kraft, welche für alle Mitgliedsstaaten der Europäischen Union das vereinheitlichte Datenschutzrecht darstellt. Nichtsdestotrotz dürfen im Falle einer sogenannten Öffnungsklausel in der DS-GVO die Mitgliedsstaaten im Rahmen der nationalen Umsetzung Konkretisierungen oder Ergänzungen vornehmen, die es zu kennen und zu beachten gilt. In Deutschland erfolgte dies durch die Neufassung des BDSG. Die Staaten des Europäischen Wirtschaftsraumes (EWR) übernehmen die Vorgaben der EU in der Regel. Hier gilt also ebenfalls das oben gesagte.
Kommen für ein Unternehmen nun noch weitere Geschäftsbeziehungen hinzu, die über die Grenzen von EU/EWR hinausgehen, müssen auch die Datenschutzgesetze in diesen sogenannten Drittländern berücksichtigt werden. Damit nicht genug, verlangt die DS-GVO bei einem Datentransfer in solche Drittländer zusätzliche Maßnahmen zur Sicherstellung der Sicherheit der Daten und der Rechte der betroffenen Personen.
Deutsche Unternehmen, die auch im Ausland tätig sind, müssen sich dieser Tatsache stellen und in ihren Datenschutzkonzepten berücksichtigen. Zugleich haben auch ausländische Unternehmen, die personenbezogene Daten in Deutschland erheben oder verarbeiten, den Datenschutz zu berücksichtigen.
Zusammengefasst gilt: Sobald bei der Erhebung oder Verarbeitung von personenbezogener Daten Landesgrenzen überschritten werden, ist der internationale Datenschutz von Bedeutung.
Wie ist die DS-GVO international anwendbar?
Die DS-GVO wurde in Kraft gesetzt, um bei einer Verarbeitung personenbezogener Daten den Schutz der Persönlichkeitsrechte zu gewährleisten. Sie gilt, sobald diese Verarbeitungen im Rahmen einer Tätigkeit einer Niederlassung innerhalb der EU erfolgt. Deshalb sind Unternehmen mit Sitz in Deutschland dazu verpflichtet, sich nach der DS-GVO und dem BDSG zu richten.
Ob sich auch Unternehmen aus dem Ausland danach zu richten haben, hängt wiederum davon ab, welche Daten verarbeitet werden. Die DS-GVO definiert nämlich einen sehr weiten räumlichen Anwendungsbereich (Marktortprinzip). Sie findet insbesondere auch Anwendung auf Unternehmen im Ausland, wenn diese betroffenen Personen in der EU Waren oder Dienstleistungen anbieten.
Was ist bei Drittländern zu beachten?
Wie weiter oben bereits beschrieben, werden Staaten, die außerhalb des EU-Gemeinschaftsgebietes liegen, als Drittländer bezeichnet. Im Allgemeinen verhält es sich so, dass hier – gegebenenfalls zusätzlich zur DS-GVO – das Datenschutzrecht des jeweiligen Landes zu berücksichtigen ist.
Sollte es zu einem Datentransfer in diese Staaten kommen, existiert jedoch eine entscheidende Einschränkung. Es ist zwischen sicheren und unsicheren Drittländern zu unterscheiden. Ein Datentransfer in Drittländer ist nur gestattet, wenn es sich um ein sicheres Drittland handelt. Ob ein Drittland als sicher oder unsicher einzustufen ist, hat wiederum die EU definiert. Als sichere Drittländer gelten Staaten, deren Datenschutzniveau mit dem Niveau der EU vergleichbar ist und denen dies im Rahmen eines Angemessenheitsbeschlusses der EU-Kommission bescheinigt wurde.
Gibt es Ausnahmen für den int. Datenschutz?
Die möglichen Ausnahmen richten sich nach dem anzuwendenden Datenschutzrecht – entscheidend ist also immer, in welchen Ländern welche Aktivitäten erfolgen und welche Gesetze in diesen Ländern jeweils gelten. Nach EU-Recht kann beispielsweise ein Datentransfer in das Ausland sowie eine dortige Verarbeitung der Daten zulässig sein, sofern die Betroffenen im Vorfeld ihre ausdrückliche Zustimmung erteilt haben.
Es können abweichende oder ergänzende Rechtsbedingungen gelten, sofern diese zwischen der EU und anderen Staaten oder Staatenverbänden vereinbart wurden. Sehr bekannte Beispiele sind das Safe-Harbour Abkommen und das nachfolgende Privacy-Shield Abkommen, die einst einen sicheren Datenaustausch zwischen EU-Ländern und den USA gestatteten. Allerdings wurden diese Abkommen gerichtlich gestoppt, woraufhin zahlreiche Unternehmen dazu gezwungen waren, ihre Datenschutzkonzepte anzupassen.
Ein weiteres gängiges Instrument für die Sicherstellung eines angemessenen Datenschutzniveaus beim Empfänger sind die sogenannten EU‑Standardvertragsklauseln. „Standard“ ist hier aber nicht so zu verstehen, dass lediglich einige Formularfelder auszufüllen sind. Die korrekte Anwendung dieser von der EU verabschiedeten Klauseln erfordert in der Regel weitere Maßnahmen.
Was kann ein externer Datenschutzbeauftragter tun?
Es dürfte deutlich geworden sein, dass der internationale Datenschutz äußerst komplex ist und die Erstellung geeigneter Konzepte ein hohes Maß an Kompetenz erfordert. Unternehmen, die auf internationaler Ebene agieren und dabei personenbezogene Daten erheben, transferieren oder verarbeiten, sollten daher auf Knowhow und Erfahrung eines Spezialisten zurückgreifen. Ein externer Datenschutzbeauftragter mit entsprechender Expertise kann die Entwicklung des Konzepts schnell vorantreiben und eine sichere Umsetzung gewährleisten.
Sie möchten mehr über den internationalen Datenschutz erfahren und suchen rechtssichere Lösungen? Dann freuen wir uns auf Ihre Anfrage.