DSGVODrittland

Hinsichtlich des internationalen Handels und Zusammenarbeit ist es in der heutigen Zeit unerlässlich Daten auch an Drittländer übermitteln zu können. Die Zulässigkeitsprüfung einer solchen Übermittlung erfolgt zweistufig.

Zunächst muss die Datenübermittlung an sich zulässig sein. Jedwede Verarbeitung von personenbezogenen Daten unterliegt einem Verbot mit Erlaubnisvorbehalt. Neben der Einwilligung führt Art. 6 DSGVO weitere Rechtmäßigkeitsgründe, wie beispielweise die Erfüllung eines Vertrages oder den Schutz lebenswichtiger Interessen, an. Für besondere personenbezogene Daten, die eines höheren Schutzniveaus bedürfen, gelten die Erlaubnistatbestände des Art. 9 DSGVO.

Erfüllt die geplante Datenübermittlung die allgemeinen Voraussetzungen, ist im zweiten Schritt zu prüfen, ob eine Übermittlung in das Drittland zulässig ist. Dabei wird zwischen sicheren und unsicheren Drittländern unterschieden. Sichere Drittländer sind solche, denen die Europäische Kommission per Angemessenheitsbeschlusses ein angemessenes Datenschutzniveau bestätigt hat. Dort gewährleisten die nationalen Gesetze einen Schutz von personenbezogenen Daten, welcher mit dem des EU-Rechts vergleichbar ist. Zum Zeitpunkt der Anwendbarkeit der Datenschutz-Grundverordnung gehören zu den sicheren Drittstaaten: Andorra, Argentinien, Kanada (nur kommerzielle Organisationen), Färöer, Guernsey, Israel, Isle of Man, Jersey, Neuseeland, Schweiz, Uruguay und die USA (wenn der Empfänger dem Privacy Shield angehört). In diese ist die Datenübermittlung daher ausdrücklich gestattet.

Existiert für ein Land kein Angemessenheitsbeschluss, schließt dies eine Übermittlung in dieses Land nicht grundsätzlich aus. Vielmehr muss der Verarbeiter auf andere Weise sicherstellen, dass die personenbezogenen Daten beim Empfänger ausreichend geschützt werden. Dies kann durch den Einsatz von Standarddatenschutzklauseln, bei Datenübertragungen innerhalb eines Konzerns durch sog. Binding Corporate Rules, durch eine Verpflichtung zur Einhaltung von Verhaltensregeln, die von der Kommission für allgemein gültig erklärt worden sind oder durch die Zertifizierung des Verarbeitungsvorgangs geschehen.

Weiterhin gibt es eine Reihe von Ausnahmen, welche eine Datenübertragung in ein Drittland legitimieren, auch wenn der Schutz der personenbezogenen Daten nicht ausreichend sichergestellt werden kann. Am häufigsten wird hier die Einwilligung des Betroffenen einschlägig sein. Dabei sind insbesondere die Anforderungen an deren Freiwilligkeit zu beachten. Die weiteren Ausnahmen, wie die Übermittlung zur Vertragserfüllung, wichtige Gründe des öffentlichen Interesses und die Geltendmachung von Rechtsansprüchen, werden in der Praxis hingegen meist weniger relevant sein.