Datenübermittlung DSGVO
Die DSGVO gewährleistet ab dem 25. Mai 2018 einen einheitlichen Standard für den Schutz personenbezogener Daten. Doch welche Regeln gelten beim Datentransfer ins außereuropäische Ausland, z.B. bei der Nutzung von Clouddiensten?
Was ist bei einem Datentransfer ins außereuropäische Ausland zu beachten?
Da die europäische Datenschutz-Grundverordnung einen einheitlichen Datenschutz-Standard gewährleistet, ist nur der Transfer in Länder außerhalb der Europäischen Union, sogenannte Drittländer, problematisch. Denn der Datentransfer ins außereuropäische Ausland, der insbesondere die Inanspruchnahme ausländischer Cloud-Dienste betrifft, wird durch die Art. 44 ff. DSGVO weitestgehend eingeschränkt. Zwar dürfen verschlüsselte Daten grundsätzlich immer ins Ausland übertragen werden, weil sie ihren personenbezogenen Charakter verloren haben, jedoch ist dies anders, wenn die Daten unverschlüsselt in das außereuropäische Ausland transferiert werden.
Soforthilfe vom Anwalt
Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.
Unter welchen Bedingungen ist ein Datentransfer in Drittstaaten zulässig?
Ob personenbezogene Daten in einem konkreten Einzelfall in Drittstaaten überführt werden dürfen, wird auf Basis eines zweistufigen Verfahrens beurteilt (sogenannter Zwei Stufen-Test). Danach ist Grundvoraussetzung, dass die allgemeinen Anforderungen an eine rechtskonforme Datenübermittlung erfüllt werden. Dazu gehört beispielsweise das Erfordernis, besondere Kategorien personenbezogener Daten wie solche über die rassische und ethnische Herkunft oder politische Meinung entsprechend den Anforderungen des Art. 9 DSGVO zu verarbeiten. Erst wenn die erste Stufe ergibt, dass dies sichergestellt werden kann, wird auf der zweiten Stufe geprüft, ob die spezifischen Voraussetzungen für einen Datentransfer in Drittstaaten entsprechend den Art. 45 ff. DSGVO vorliegen. Entscheidend ist dabei, dass das Schutzniveau am Zielort dem europäischen Schutzniveau entspricht. Denn ein Großteil der Software in Drittstaaten ist nicht mit dem europäischen Recht kompatibel und weist große Defizite auf. Aus diesem Grund sieht Art. 45 Abs. 1 DSGVO vor, dass personenbezogene Daten grundsätzlich nur dann an ein Drittland übertragen werden dürfen, wenn die Europäische Kommission beschlossen hat, dass dieses Land ein angemessenes Schutzniveau bietet. Zudem muss der Betroffene über den Transfer seiner Daten ins Ausland mindestens informiert werden. Hierzu bietet sich die Datenschutzerklärung an, der die Betroffenen zustimmen sollten, bevor mit der Datenverarbeitung oder dem Datentransfer begonnen wird.
In welche Drittstaaten ist ein Datenstransfer zulässig?
Welche Länder ein europäisches Schutzniveau gewährleisten, veröffentlicht die Europäische Kommission im Amtsblatt der Europäischen Union und auf ihrer Webseite. Bei dieser Beurteilung untersucht die Komission, ob das jeweilige Land im Hinblick auf ein bestimmtes Gebiet bzw. einen bestimmten Sektor oder in einer speziellen Datenkategorie einerseits auf Grundlage eigener nationaler Datenschutzregelungen und einer effektifen Durchsetzung der Regelungen durch Aufsichtsbehörden sowie andererseits durch eingegangene internationale Verpflichtungen ein dem europäischen Standard entsprechendes Schutzniveau gewährleistet.
Diese Voraussetzungen erfüllen derzeit beispielsweise die Schweiz, Kanada, Argentinien, Israel, Australien oder Neuseeland, nicht jedoch beispielweise Japan, Indien und China. Auch die USA gehörten zwischenzeitlich zu den unsicheren Drittstaaten. Denn der Europäische Gerichtshof (Urteil vom 06.10 2015, Az. C-362/14) hat entschieden, dass das sogenannte Safe-Harbor-Abkommen ungültig sei, weil es nicht den geltenden gesetzlichen Voraussetzungen entspreche. Insbesondere seien die Daten durch das Abkommen nicht genügend vor den US-amerikanischen Geheimdiensten geschützt. Zu einem neuen Datenschutzabkommen zwischen Europa und den USA kam es dann mit dem Privacy-Shield-Abkommen, dessen endgültige Fassung die Kommission am 12.07.2016 offiziell als Angemessenheitsentscheidung verabschiedete. Bei dem Privacy-Shield-Abkommen handelt es sich ebenso wie beim Vorgänger nicht um ein rechtsverbindliches Abkommen, sondern eher um einen rechtlichen Rahmen, zu dessen Einhaltung sich Unternehmen in den USA seit dem 01.08.2016 durch Eintragung in die sogenannte Privacy-Shield-Liste verpflichten können.
Ist ein Datentransfer in unsichere Staaten auch ohne Kommissionsbeschluss zulässig?
Unternehmen, die Daten in Drittländer übertragen möchten, für die kein Kommissions-Beschluss vorliegt, können dies gemäß Art. 46 Abs. 1 DSGVO tun, wenn der Auftragsdatenverarbeiter mit geeigneten Garantien die Einhaltung des europäischen Datenschutzniveaus belegt und den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. Welche Garantien dies sein können, hat der Gesetzgeber in Art. 46 Abs. 2 DSGVO geregelt. Danach sind beispielsweise sogenannte Binding Corporate Rules oder Verträge zwischen Auftraggeber und Auftragsverarbeiter unter Verwendung der bestehenden Standarddatenschutzklauseln der Europäischen Kommission ebenso effektive Garantien wie nun auch europäische Zertifizierungen.
Soforthilfe vom Anwalt
Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.
Kann ein Datentransfer in Drittstaaten auch ohne Garantien erfolgen?
Ausnahmen von dem Erfordernis eines Kommissions-Beschlusses oder geeigneter Garantien hat der europäische Gesetzgeber ebenfalls vorgesehen und diese in Art. 49 DSGVO normiert. Danach ist ein solcher Datentransfer zum Beispiel dann zulässig, wenn die von der Datenverarbeitung betroffene Person in die Datenübermittlung ausdrücklich eingewilligt hat, nachdem sie umfassend und transparent über die damit verbundenen Risiken – insbesondere im Hinblick auf die Durchsetzung von Betroffenenrechten – und ihr jederzeitiges Widerrufsrecht belehrt wurde. Dies ist in der Praxis wohl der bedeutenste Ausnahmefall innerhalb des enga uazulegenden Ausnahmekatalogs. Darüber hinaus ist eine Datenübermittlung unter anderem auch dann unter bestimmten Voraussetzungen zulässig, wenn diese zur Vertragserfüllung im Interesse der betroffenen Person erforderlich ist oder wichtigen öffentlichen Interessen, lebenswichtigen Interessen des Betroffenen oder berechtigten Interessen des Verantwortlichen dient.
Wir helfen Ihnen gerne! Das Expertenteam steht Ihnen gerne Rede und Antwort für Ihre Fragen.
Rufen Sie uns unter 0221 / 951 563 0 (Beratung bundesweit) an.
Inhalt Facebook-Datenleck – jetzt prüfen Deezer-Datenleck – jetzt prüfen Unternehmen können sich nicht mit Verschulden der Mitarbeiter herausreden DSGVO hat Ausgleichsfunktion Der EuGH hat ein neues Urteil in Sachen immaterieller Schadensersatz nach der DSGVO gefällt und darin die Rechte von Betroffenen weiter gestärkt: Zum einen weist das Gericht deutlich […]
Inhalt So gelangten ethische Hacker an die Daten Diskussion um Dokumentierungspflichten Schadensersatz bei Datenlecks Die sogenannten Cannabis Clubs sind eine von zwei möglichen Wegen, um ab dem 1. Juli 2024 an legales Cannabis zu kommen. Zur Verwaltung und Dokumentation der Mitglieder greifen einige davon auf eine niedersächsische Software-Lösung zurück, […]
Inhalt Einstufung als sehr große Online-Plattform Grundrechte vs. Verbraucherschutz: EuGH priorisiert Sicherheit im Online-Umfeld Umsetzung des DSA an erster Stelle Der EuGH hat geurteilt, dass Amazon den DSA einhalten muss und sein Werbearchiv öffentlich zugänglich machen muss. Die erstinstanzliche Entscheidung des EuG, die Anwendung des DSA für Amazon auszusetzen, […]