Hinsichtlich des internationalen Handels und Zusammenarbeit ist es in der heutigen Zeit unerlässlich Daten auch an Drittländer übermitteln zu können. Die Zulässigkeitsprüfung einer solchen Übermittlung erfolgt zweistufig.
Zunächst muss die Datenübermittlung an sich zulässig sein. Jedwede Verarbeitung von personenbezogenen Daten unterliegt einem Verbot mit Erlaubnisvorbehalt. Neben der Einwilligung führt Art. 6 DSGVO weitere Rechtmäßigkeitsgründe, wie beispielweise die Erfüllung eines Vertrages oder den Schutz lebenswichtiger Interessen, an. Für besondere personenbezogene Daten, die eines höheren Schutzniveaus bedürfen, gelten die Erlaubnistatbestände des Art. 9 DSGVO.
Erfüllt die geplante Datenübermittlung die allgemeinen Voraussetzungen, ist im zweiten Schritt zu prüfen, ob eine Übermittlung in das Drittland zulässig ist. Dabei wird zwischen sicheren und unsicheren Drittländern unterschieden. Sichere Drittländer sind solche, denen die Europäische Kommission per Angemessenheitsbeschlusses ein angemessenes Datenschutzniveau bestätigt hat. Dort gewährleisten die nationalen Gesetze einen Schutz von personenbezogenen Daten, welcher mit dem des EU-Rechts vergleichbar ist. Zu den sicheren Drittstaaten gehören: Andorra, Argentinien, Kanada (nur kommerzielle Organisationen), Färöer, Guernsey, Israel, Isle of Man, Jersey, Neuseeland, Schweiz, Uruguay, Japan, das Vereinigte Königreich und Südkorea. In diese ist die Datenübermittlung daher ausdrücklich gestattet.
Seit dem 10. Juli 2023 existiert ein Angemessenheitsbeschluss für den sog. Datenschutzrahmen EU-USA (engl. EU-US Data Privacy Framework). Dieser erlaubt die Übermittlung personenbezogener Daten aus der EU an US-Unternehmen und US-Organisationen, die sich dem Framework mittels Zertifizierung angeschlossen haben. US-Unternehmen und Organisationen, die sich bereits zertifiziert haben, finden sich in dieser Liste. Datenübermittlungen an nicht zertifizierte US-Unternehmen und Organisationen können nicht mehr auf den Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US-Datenschutzschild (Privacy Shield) gebotenen Schutzes gestützt werden. Denn mit dem Urteil „Schrems II“ vom 16. Juli 2020 (Az.: C-311/18) hat der EuGH diesen Durchführungsbeschluss mit sofortiger Wirkung für ungültig erklärt. Datentransfers an nicht zertifizierte US-Unternehmen und Organisationen bedürfen anderer Garantien, i.S.v. Art. 44 ff. DSGVO, zur Herstellung eines angemessenen Datenschutzniveaus.
Existiert für ein Land kein Angemessenheitsbeschluss, schließt dies eine Übermittlung in dieses Land nicht grundsätzlich aus. Vielmehr muss der Verarbeiter auf andere Weise sicherstellen, dass die personenbezogenen Daten beim Empfänger ausreichend geschützt werden. Dies kann durch den Einsatz von Standarddatenschutzklauseln, bei Datenübertragungen innerhalb eines Konzerns durch sog. Binding Corporate Rules, durch eine Verpflichtung zur Einhaltung von Verhaltensregeln, die von der Kommission für allgemein gültig erklärt worden sind oder durch die Zertifizierung des Verarbeitungsvorgangs geschehen.
Weiterhin gibt es eine Reihe von Ausnahmen, welche eine Datenübertragung in ein Drittland legitimieren, auch wenn der Schutz der personenbezogenen Daten nicht ausreichend sichergestellt werden kann. Am häufigsten wird hier die Einwilligung des Betroffenen einschlägig sein. Dabei sind insbesondere die Anforderungen an deren Freiwilligkeit zu beachten. Die weiteren Ausnahmen, wie die Übermittlung zur Vertragserfüllung, wichtige Gründe des öffentlichen Interesses und die Geltendmachung von Rechtsansprüchen, werden in der Praxis hingegen meist weniger relevant sein.
Passende Artikel der DSGVO
Art. 40 DSGVO Verhaltensregeln Art. 42 DSGVO Zertifizierung Art. 44 DSGVO Allgemeine Grundsätze der Datenübermittlung Art. 45 DSGVO Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses Art. 46 DSGVO Datenübermittlung vorbehaltlich geeigneter Garantien Art. 47 DSGVO Verbindliche interne Datenschutzvorschriften Art. 48 DSGVO Nach dem Unionsrecht nicht zulässige Übermittlung oder Offenlegung Art. 49 DSGVO Ausnahmen für bestimmte Fälle Art. 63 DSGVO KohärenzverfahrenPassende Erwägungsgründe
(101) Grundsätze des internationalen Datenverkehrs (102) Internationale Abkommen für angemessenes Schutzniveau (103) Adäquates Schutzniveau von Drittländern aufgrund eines Angemessenheitsbeschlusses (104) Kriterien für Angemessenheitsbeschluss (105) Berücksichtigung internationaler Abkommen für Angemessenheitsbeschluss (106) Überwachung und regelmäßige Überprüfung des Schutzniveaus (107) Abänderung, Widerruf und Außerkraftsetzung von Angemessenheitsbeschlüssen (108) Geeignete Garantien (109) Standard-Datenschutzklauseln (110) Verbindliche interne Datenschutzvorschriften (111) Ausnahmen für bestimmte Fälle internationaler Übermittlungen (112) Datenübermittlungen aufgrund wichtiger Gründe des öffentlichen Interesses (113) Nicht wiederholend erfolgende und nur eine begrenzte Zahl von Betroffenen betreffende Übermittlungen (114) Sicherstellung der Durchsetzbarkeit von Rechten und Pflichten bei Fehlen eines Angemessenheitsbeschlusses (115) Vorschriften in Drittländern die der Verordnung zuwiderlaufenPassende Paragraphen des BDSG
§ 21 BDSG Antrag der Aufsichtsbehörde auf gerichtliche Entscheidung bei angenommener Rechtswidrigkeit eines Beschlusses der Europäischen KommissionExterne Links
Behörden
- Datenschutzkonferenz DSK ► Kurzpapier Nr. 4 – Datenübermittlung in Drittländer (Link)
- Datenschutzbehörde Bayern ► Datenübermittlungen in Drittstaaten nach der DS-GVO (Link)
- Datenschutzbehörde Bayern ► Der One Stop Shop (Link)
- Data Protection Authority UK ► International transfers (Link)
- Data Protection Authority Ireland ► Cross-border processing and the one stop shop (Link)
- Data Protection Authority Isle of Man ► Transfers to third countries (Link)
- Article 29 Data Protection Working Party ► WP244 – Guidelines on the Lead Supervisory Authority (Link)
- Article 29 Data Protection Working Party ► WP245 – EU-US Privacy Shield F.A.Q. for European Businesses (Link)
- European Commission ► Welche Vorschriften gelten, wenn meine Organisation Daten nach außerhalb der EU übermittelt? (Link)
- European Commission ► Withdrawal of the United Kingdom from the Union and EU – Rules in the field of data protection (Link)
- Europäischer Datenschutzausschuss ► FAQs on the judgment of the CJEU in Case C-311/18 (Link)
Fachbeiträge