DSGVO Drittland

Hinsichtlich des internationalen Handels und Zusammenarbeit ist es in der heutigen Zeit unerlässlich Daten auch an Drittländer übermitteln zu können. Die Zulässigkeitsprüfung einer solchen Übermittlung erfolgt zweistufig.

Zunächst muss die Datenübermittlung an sich zulässig sein. Jedwede Verarbeitung von personenbezogenen Daten unterliegt einem Verbot mit Erlaubnisvorbehalt. Neben der Einwilligung führt Art. 6 DSGVO weitere Rechtmäßigkeitsgründe, wie beispielweise die Erfüllung eines Vertrages oder den Schutz lebenswichtiger Interessen, an. Für besondere personenbezogene Daten, die eines höheren Schutzniveaus bedürfen, gelten die Erlaubnistatbestände des Art. 9 DSGVO.

Erfüllt die geplante Datenübermittlung die allgemeinen Voraussetzungen, ist im zweiten Schritt zu prüfen, ob eine Übermittlung in das Drittland zulässig ist. Dabei wird zwischen sicheren und unsicheren Drittländern unterschieden. Sichere Drittländer sind solche, denen die Europäische Kommission per Angemessenheitsbeschlusses ein angemessenes Datenschutzniveau bestätigt hat. Dort gewährleisten die nationalen Gesetze einen Schutz von personenbezogenen Daten, welcher mit dem des EU-Rechts vergleichbar ist. Zu den sicheren Drittstaaten gehören: Andorra, Argentinien, Kanada (nur kommerzielle Organisationen), Färöer, Guernsey, Israel, Isle of Man, Jersey, Neuseeland, Schweiz, Uruguay, Japan, das Vereinigte Königreich und Südkorea. In diese ist die Datenübermittlung daher ausdrücklich gestattet.

Seit dem 10. Juli 2023 existiert ein Angemessenheitsbeschluss für den sog. Datenschutzrahmen EU-USA (engl. EU-US Data Privacy Framework). Dieser erlaubt die Übermittlung personenbezogener Daten aus der EU an US-Unternehmen und US-Organisationen, die sich dem Framework mittels Zertifizierung angeschlossen haben. US-Unternehmen und Organisationen, die sich bereits zertifiziert haben, finden sich in dieser Liste. Datenübermittlungen an nicht zertifizierte US-Unternehmen und Organisationen können nicht mehr auf den Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US-Datenschutzschild (Privacy Shield) gebotenen Schutzes gestützt werden. Denn mit dem Urteil „Schrems II“ vom 16. Juli 2020 (Az.: C-311/18) hat der EuGH diesen Durchführungsbeschluss mit sofortiger Wirkung für ungültig erklärt. Datentransfers an nicht zertifizierte US-Unternehmen und Organisationen bedürfen anderer Garantien, i.S.v. Art. 44 ff. DSGVO, zur Herstellung eines angemessenen Datenschutzniveaus.

Existiert für ein Land kein Angemessenheitsbeschluss, schließt dies eine Übermittlung in dieses Land nicht grundsätzlich aus. Vielmehr muss der Verarbeiter auf andere Weise sicherstellen, dass die personenbezogenen Daten beim Empfänger ausreichend geschützt werden. Dies kann durch den Einsatz von Standarddatenschutzklauseln, bei Datenübertragungen innerhalb eines Konzerns durch sog. Binding Corporate Rules, durch eine Verpflichtung zur Einhaltung von Verhaltensregeln, die von der Kommission für allgemein gültig erklärt worden sind oder durch die Zertifizierung des Verarbeitungsvorgangs geschehen.

Weiterhin gibt es eine Reihe von Ausnahmen, welche eine Datenübertragung in ein Drittland legitimieren, auch wenn der Schutz der personenbezogenen Daten nicht ausreichend sichergestellt werden kann. Am häufigsten wird hier die Einwilligung des Betroffenen einschlägig sein. Dabei sind insbesondere die Anforderungen an deren Freiwilligkeit zu beachten. Die weiteren Ausnahmen, wie die Übermittlung zur Vertragserfüllung, wichtige Gründe des öffentlichen Interesses und die Geltendmachung von Rechtsansprüchen, werden in der Praxis hingegen meist weniger relevant sein.