Übermittlung von personenbezogenen Daten in Drittländer nach DSGVO

Datenschutz Verstehen – Übermittlung von personenbezogenen Daten

Wenn Verantwortliche und auch Auftragsverarbeiter personenbezogene Daten in Drittländer übermitteln, müssen sie zusätzliche Voraussetzungen der DSGVO erfüllen. Diese beinhalten bestimmte Mechanismen, um Übertragungen von personenbezogenen Daten außerhalb der Europäischen Union zu ermöglichen. Für bestimmte Drittländer gelten darüber hinaus Besonderheiten, die sich positiv auf die Zulässigkeit von geplanten personenbezogenen Datenübertragungen auswirken. In unserem Blogbeitrag erfahren Sie, welche Möglichkeiten Unternehmer für geplante Übertragungen von personenbezogenen Daten in Drittländer haben und welche Regelungen eingehalten werden müssen, um Übermittlung von personenbezogenen Daten in Drittländer zu legitimieren.

 

Gesetzliche Vorgaben der DSGVO

Da eine Übermittlung von personenbezogenen Daten eine Verarbeitung i.S.v. Art. 4 Nr. 2 DSGVO darstellt, müssen auch alle anderen Voraussetzungen der europäischen Datenschutz-Grundverordnung (DSGVO) erfüllt sein. Das betrifft insbesondere die Rechtsgrundlage für die Verarbeitung: Diese richtet sich u.a.  nach Art. 6 DSGVO. Die Art. 44 ff. DSGVO regeln und legitimieren lediglich die Übermittlung von personenbezogenen Daten in ein Drittland, vorausgesetzt wird allerdings eine Rechtsgrundlage für die Verarbeitung als solche (und auch die sonstigen Bedingungen dieser Verordnung eingehalten werden”, vgl. Art. 44 4. Hs. DSGVO). Somit müssen für die Übermittlung von personenbezogenen Daten in Drittländer eine Rechtsgrundlage nach Art. 6 DSGVO (oder eine andere spezialgesetzliche Rechtsgrundlage) existieren und zusätzlich die Voraussetzungen der Art. 44 ff. DSGVO erfüllt werden.  Auch alle weitere gesetzlichen Vorgaben der DSGVO, wie z.B. die Informationspflichten aus Art. 12 ff. DSGVO und die technisch-organisatorischen Maßnahmen, müssen eingehalten werden.

 

Angemessenheitsbeschluss und Teilbeschlüsse

Falls die Übermittlung von personenbezogenen Daten in ein Drittland geplant ist, muss zunächst angesichts der Regelungen in Art. 44 ff. DSGVO geprüft werden, ob ein Angemessenheitsbeschluss für das jeweilige Drittland vorliegt, Art. 44 Abs. 1, Abs. 3 DSGVO. Falls dies der Fall ist, gilt das jeweilige Drittland als sog. sicherer Drittstaat.  Dann ist eine Übermittlung von personenbezogenen Daten, soweit alle anderen Vorgaben der DSGVO eingehalten werden, zulässig. Für folgende Staaten existiert derzeit ein Angemessenheitsbeschluss und somit eine Einstufung als sicheres Drittland:

  • Andorra
  • Argentinien
  • Färöer
  • Guernsey
  • Isle of Man
  • Israel
  • Japan
  • Jersey
  • Neuseeland
  • Schweiz
  • Uruguay

Für Kanada und die USA gelten nur sog. Teilbeschlüsse: Für die USA liegt die Angemessenheit nur vor, wenn das jeweilige Unternehmen für die jeweiligen Datenkategorien eine Privacy Shield Zertifizierung besitzt. . Die Angemessenheit für Kanada gilt nur für private Unternehmen, die unter den „Personal Information Protection and Electronic Documents Act“ fallen.

Mehr zum Thema Großbritannien und den Brexit im Zusammenhang mit der DSGVO erfahren Sie hier.

 

Safe Harbor Abkommen und Privacy Shield Zertifizierung in den USA

Falls ein Angemessenheitsbeschluss nicht vorliegt, ist zu prüfen, ob ein sog. sektorspezifischer Angemessenheitsbeschluss existiert. Ein derartiger sektorspezifischer Angemessenheitsbeschluss besteht für die USA und das betroffene Unternehmen, wenn dieses über eine sog. Privacy Shield Zertifizierung  verfügt. Die Privacy Shield Zertifizierung hat das sog. Safe Harbor Abkommen aus dem Jahr 2000 ersetzt. Durch das Safe Harbor Abkommen war es Unternehmen möglich, personenbezogene Daten in Übereinstimmung mit der europäischen Datenschutzrichtlinie aus einem Mitgliedstaat der Europäischen Union in die USA zu übermitteln. Dieses Safe Harbor Abkommen wurde am 06. Oktober 2015 von dem Europäischen Gerichtshof (EuGH) für ungültig erklärt. Das EU-US Privacy Shield ist seit dem 01. August 2016 die nachfolgende Regelung. Vor der Übermittlung muss aber dennoch geprüft werden, ob die Privacy Shield Zertifizierung auch für die betroffenen Kategorien von personenbezogenen Daten geeignet sind. Auf der offiziellen Website kann geprüft werden, für welche Datenkategorien eine Zertifizierung vorliegt (HR,Non-HR).

 

Geeignete Garantien

Falls kein Angemessenheitsbeschluss und auch kein sektorspezifischer Angemessenheitsbeschluss in Form einer Privacy Shield Zertifizierung existiert, muss geprüft werden, ob eine Garantie nach Art. 46 DSGVO einschlägig ist. Hier bietet der europäische Gesetzgeber verschiedene Optionen als Garantie an.

Die geeigneten Garantien können, ohne dass hierzu eine besondere Genehmigung einer Aufsichtsbehörde erforderlich wäre, bestehen in einem rechtlich bindenden und durchsetzbaren Dokument zwischen den Behörden oder öffentlichen Stellen (Art. 46 Abs. 2 lit. a) DSGVO), verbindlichen internen Datenschutzvorschriften gemäß Art. 47 DSGVO (Binding Corporate Rules, (Art. 46 Abs. 2 lit. b) DSGVO)), Standarddatenschutzklauseln, die von der Kommission gemäß dem Prüfverfahren nach Art. 93 Abs. 2 DSGVO erlassen werden(Art. 46 Abs. 2 lit. c) DSGVO), von einer Aufsichtsbehörde angenommenen Standarddatenschutzklauseln, die von der Kommission gemäß dem Prüfverfahren nach Art. 93 Abs. 2 DSGVO genehmigt wurden (Art. 46 Abs. 2 lit. d) DSGVO), genehmigten Verhaltensregeln gemäß Art. 40 DSGVO zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters in dem Drittland zur Anwendung der geeigneten Garantien, einschließlich in Bezug auf die Rechte der betroffenen Personen(Art. 46 Abs. 2 lit. e) DSGVO), oder einem genehmigten Zertifizierungsmechanismus gemäß Art. 42 DSGVO zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters in dem Drittland zur Anwendung der geeigneten Garantien, einschließlich in Bezug auf die Rechte der betroffenen Personen(Art. 46 Abs. 2 lit. f) DSGVO).

Die EU-Standarddatenschutzklauseln sind eine beliebtes Rechtsintrument für die Übermittlung von personenbezogenen Daten in Drittländer. Diese werden allerdings in einem aktuellen Verfahren vor dem Europäischen Gerichtshof geprüft, weshalb die Dauer der Gültigkeit derzeit nur schwer eingeschätzt werden kann. Die EU-Standarddatenschutzklauseln können Sie hier downloaden.
Ferner können gem. Art. 46 Abs. 3 DSGVO vorbehaltlich der Genehmigung durch die zuständige Aufsichtsbehörde die geeigneten Garantien gem. Art. 46 Abs. 1 DSGVO auch insbesondere bestehen in

  • a) Vertragsklauseln, die zwischen dem Verantwortlichen oder dem Auftragsverarbeiter und dem Verantwortlichen, dem Auftragsverarbeiter oder dem Empfänger der personenbezogenen Daten im Drittland oder der internationalen Organisation vereinbart wurden(Art. 46 Abs. 3 lit. a) DSGVO), oder
  • b) Bestimmungen, die in Verwaltungsvereinbarungen zwischen Behörden oder öffentlichen Stellen aufzunehmen sind, sowie durchsetzbare und wirksame Rechte für die betroffenen Personen einschließen(Art. 46 Abs. 3 lit. b) DSGVO). Auch Art. 46 Abs. 4 und Abs. 5 DSGVO enthalten Vorgaben, die berücksichtigt werden müssen.
 

Binding Corporate Rules

Sog. Binding Corporate Rules (deutsch: Verbindliche interne Datenschutzvorschriften) i.S.v. Art. 46 Abs. 2 lit. b), 47 DSGVO, bilden eine gem. Art. 46 Abs. 1 DSGVO eine geeignete Garantie. Die Corporate Binding Rules müssen inhaltlich die Vorgaben von Art. 47 Abs. 1 und Abs. 2 DSGVO erfüllen. Hierzu gehören u.a. interne und externe Rechtsverbindlichkeiten (Art. 47 Abs. 2 lit. c) DSGVO) der Binding Corporate Rules, geeignete Datenschutzschulungen für Personal mit ständigem oder regelmäßigem Zugang zu personenbezogenen Daten (Art. 47 Abs. 2 lit. n) DSGVO) und die Genehmigung der verbindlichen internen Datenschutzvorschriften durch die zuständige Aufsichtsbehörde (Art. 47 Abs. 1 DSGVO). Zu berücksichtigen ist darüber hinaus der Regelungsgehalt von Art. 47 Abs. 3 DSGVO. 

 

Ausnahmen nach Art. 49 DSGVO

In Art. 49 DSGVO sind einige Ausnahmeregelungen niedergeschrieben,  falls weder ein Angemessenheitsbeschluss nach Art. 45 Abs. 3 DSGVO vorliegt noch geeignete Garantien gem Art. 46 DSGVO, einschließlich verbindlicher interner Datenschutzvorschriften, bestehen. Eine Ausnahme liegt z.B. dann vor, wenn eine Einwilligung der betroffenen Person in die vorgeschlagene Datenübermittlung ausdrücklich vorliegt, nachdem diese Person über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde, vgl. Art. 49 Abs. 1 lit. a) DSGVO.  Auch die erforderliche Übermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen kann einen Ausnahmetatbestand bilden, vgl. Art. 49 Abs. 1 lit. e) DSGVO. Zusätzlich wird auch die notwendige Übermittlung aus wichtigen Gründen des öffentlichen Interesses gem. Art. 49 Abs. 1 lit. d) DSGVO als Ausnahme aufgezählt. Darüber hinaus sind in Art. 49 DSGVO noch weitere Ausnahmen geregelt. 

Das Experten-Team von Keyed berät Sie gerne bei geplanten Datenübermittlungen in Drittländer und erarbeitet mit Ihnen die für Sie ideale und datenschutzrechtlich sicherste Strategie für den Datentransfer.

Autor

Herr Dipl.-Jur. Serkan Taskin hat an der Westfälischen-Wilhelms-Universität (WWU) in Münster Rechtswissenschaften studiert und ist seit seinem Abschluss als externer Datenschutzbeauftragter und Consultant für Datenschutz tätig. Gleichzeitig besitzt Herr Taskin eine Zertifizierung als Datenschutzbeauftragter (TÜV Rheinland). Als externer Datenschutzbeauftragter und Consultant für Datenschutz unterstützt er Unternehmen aus verschiedenen Branchen in der Umsetzung datenschutzrechtlicher Vorgaben. Darüber hinaus ist Herr Taskin als Auditor für Konzerne, kleine und mittelgroße Unternehmen (KMU) sowie Startups tätig. Herr Taskin zeichnet sich durch seine juristische Expertise im Datenschutzrecht aus und konfiguriert die Umsetzung und Einhaltung des Datenschutzes derart, dass auch wirtschaftliche Interessen der Unternehmen dennoch berücksichtigt werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bitte füllen Sie dieses Feld aus
Bitte füllen Sie dieses Feld aus
Bitte gib eine gültige E-Mail-Adresse ein.

Menü

Unverbindliches Angebot erhalten!

Unsere zertifizierten Experten stehen Ihnen als zuverlässiger Ansprechpartner zur Seite und halten Ihr datenschutzrechtliches und technisches Wissen immer auf dem neusten Stand. Diese Anfrage wird über eine SSL-Verschlüsselung übertragen.

Persönliche Angaben

Ihr Unternehmen: Ihr Vorname: Ihr Nachname: Ihre E-Mail Adresse: Ihre Telefon-Nummer:

Zusätzliche Informationen

Alle übermittelten Daten werden per SSL übertragen. Ihre Kontaktdaten werden per E-Mail an uns versendet. Weitere Informationen erhalten Sie auf unserer Datenschutzerklärung.

 
ANGEBOT ERHALTEN