Skip to main content

Soforthilfe vom Anwalt: Jetzt Kontakt aufnehmen

Datenübermittlung DSGVO

Die DSGVO gewährleistet ab dem 25. Mai 2018 einen einheitlichen Standard für den Schutz personenbezogener Daten. Doch welche Regeln gelten beim Datentransfer ins außereuropäische Ausland, z.B. bei der Nutzung von Clouddiensten?  

Was ist bei einem Datentransfer ins außereuropäische Ausland zu beachten?

Da die europäische Datenschutz-Grundverordnung einen einheitlichen Datenschutz-Standard gewährleistet, ist nur der Transfer in Länder außerhalb der Europäischen Union, sogenannte Drittländer, problematisch. Denn der Datentransfer ins außereuropäische Ausland, der insbesondere die Inanspruchnahme ausländischer Cloud-Dienste betrifft, wird durch die Art. 44 ff. DSGVO weitestgehend eingeschränkt. Zwar dürfen verschlüsselte Daten grundsätzlich immer ins Ausland übertragen werden, weil sie ihren personenbezogenen Charakter verloren haben, jedoch ist dies anders, wenn die Daten unverschlüsselt in das außereuropäische Ausland transferiert werden.

Soforthilfe vom Anwalt

Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.

Unter welchen Bedingungen ist ein Datentransfer in Drittstaaten zulässig?

Ob personenbezogene Daten in einem konkreten Einzelfall in Drittstaaten überführt werden dürfen, wird auf Basis eines zweistufigen Verfahrens beurteilt (sogenannter Zwei Stufen-Test). Danach ist Grundvoraussetzung, dass die allgemeinen Anforderungen an eine rechtskonforme Datenübermittlung erfüllt werden. Dazu gehört beispielsweise das Erfordernis, besondere Kategorien personenbezogener Daten wie solche über die rassische und ethnische Herkunft oder politische Meinung entsprechend den Anforderungen des Art. 9 DSGVO zu verarbeiten. Erst wenn die erste Stufe ergibt, dass dies sichergestellt werden kann, wird auf der zweiten Stufe geprüft, ob die spezifischen Voraussetzungen für einen Datentransfer in Drittstaaten entsprechend den Art. 45 ff. DSGVO vorliegen. Entscheidend ist dabei, dass das Schutzniveau am Zielort dem europäischen Schutzniveau entspricht. Denn ein Großteil der Software in Drittstaaten ist nicht mit dem europäischen Recht kompatibel und weist große Defizite auf. Aus diesem Grund sieht Art. 45 Abs. 1 DSGVO vor, dass personenbezogene Daten grundsätzlich nur dann an ein Drittland übertragen werden dürfen, wenn die Europäische Kommission beschlossen hat, dass dieses Land ein angemessenes Schutzniveau bietet. Zudem muss der Betroffene über den Transfer seiner Daten ins Ausland mindestens informiert werden. Hierzu bietet sich die Datenschutzerklärung an, der die Betroffenen zustimmen sollten, bevor mit der Datenverarbeitung oder dem Datentransfer begonnen wird.

Tipp: Hochautomatisierte Abmahnkanzleien spüren bestehende Datenschutzlücken in Sekunden auf und strafen Sie mit saftigen Bußgeldern ab! Mit dem Abmahnschutz unserer Datenschutzpakete bieten wir Ihnen nicht nur Sicherheit, sondern auch die Gewissheit, dass Sie im Falle einer Abmahnung nicht allein sind. Hier klicken & mehr erfahren.

In welche Drittstaaten ist ein Datenstransfer zulässig?

Welche Länder ein europäisches Schutzniveau gewährleisten, veröffentlicht die Europäische Kommission im Amtsblatt der Europäischen Union und auf ihrer Webseite. Bei dieser Beurteilung untersucht die Komission, ob das jeweilige Land im Hinblick auf ein bestimmtes Gebiet bzw. einen bestimmten Sektor oder in einer speziellen Datenkategorie einerseits auf Grundlage eigener nationaler Datenschutzregelungen und einer effektifen Durchsetzung der Regelungen durch Aufsichtsbehörden sowie andererseits durch eingegangene internationale Verpflichtungen ein dem europäischen Standard entsprechendes Schutzniveau gewährleistet.

Diese Voraussetzungen erfüllen derzeit beispielsweise die Schweiz, Kanada, Argentinien, Israel, Australien oder Neuseeland, nicht jedoch beispielweise Japan, Indien und China. Auch die USA gehörten zwischenzeitlich zu den unsicheren Drittstaaten. Denn der Europäische Gerichtshof (Urteil vom 06.10 2015, Az. C-362/14) hat entschieden, dass das sogenannte Safe-Harbor-Abkommen ungültig sei, weil es nicht den geltenden gesetzlichen Voraussetzungen entspreche. Insbesondere seien die Daten durch das Abkommen nicht genügend vor den US-amerikanischen Geheimdiensten geschützt. Zu einem neuen Datenschutzabkommen zwischen Europa und den USA kam es dann mit dem Privacy-Shield-Abkommen, dessen endgültige Fassung die Kommission am 12.07.2016 offiziell als Angemessenheitsentscheidung verabschiedete. Bei dem Privacy-Shield-Abkommen handelt es sich ebenso wie beim Vorgänger nicht um ein rechtsverbindliches Abkommen, sondern eher um einen rechtlichen Rahmen, zu dessen Einhaltung sich Unternehmen in den USA seit dem 01.08.2016 durch Eintragung in die sogenannte Privacy-Shield-Liste verpflichten können.

Ist ein Datentransfer in unsichere Staaten auch ohne Kommissionsbeschluss zulässig?

Unternehmen, die Daten in Drittländer übertragen möchten, für die kein Kommissions-Beschluss vorliegt, können dies gemäß Art. 46 Abs. 1 DSGVO tun, wenn der Auftragsdatenverarbeiter mit geeigneten Garantien die Einhaltung des europäischen Datenschutzniveaus belegt und den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. Welche Garantien dies sein können, hat der Gesetzgeber in Art. 46 Abs. 2 DSGVO geregelt. Danach sind beispielsweise sogenannte Binding Corporate Rules oder Verträge zwischen Auftraggeber und Auftragsverarbeiter unter Verwendung der bestehenden Standarddatenschutzklauseln der Europäischen Kommission ebenso effektive Garantien wie nun auch europäische Zertifizierungen.

Soforthilfe vom Anwalt

Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.

Kann ein Datentransfer in Drittstaaten auch ohne Garantien erfolgen?

Ausnahmen von dem Erfordernis eines Kommissions-Beschlusses oder geeigneter Garantien hat der europäische Gesetzgeber ebenfalls vorgesehen und diese in Art. 49 DSGVO normiert. Danach ist ein solcher Datentransfer zum Beispiel dann zulässig, wenn die von der Datenverarbeitung betroffene Person in die Datenübermittlung ausdrücklich eingewilligt hat, nachdem sie umfassend und transparent über die damit verbundenen Risiken – insbesondere im Hinblick auf die Durchsetzung von Betroffenenrechten – und ihr jederzeitiges Widerrufsrecht belehrt wurde. Dies ist in der Praxis wohl der bedeutenste Ausnahmefall innerhalb des enga uazulegenden Ausnahmekatalogs. Darüber hinaus ist eine Datenübermittlung unter anderem auch dann unter bestimmten Voraussetzungen zulässig, wenn diese zur Vertragserfüllung im Interesse der betroffenen Person erforderlich ist oder wichtigen öffentlichen Interessen, lebenswichtigen Interessen des Betroffenen oder berechtigten Interessen des Verantwortlichen dient.


Wir helfen Ihnen gerne! Das Expertenteam steht Ihnen gerne Rede und Antwort für Ihre Fragen.

Rufen Sie uns unter 0221 / 951 563 0 (Beratung bundesweit) an.


Mark Zuckerberg, von Anthony Quintano

Datenschützer Schrems vs. Meta: EuGH schränkt Facebooks Datennutzung massiv ein

  • 04.10.2024

Inhalt Datensammeln für personalisierte Werbung – auf welcher Grundlage? Facebook sammelt auch sensible Daten – ist das legal? Generalanwalt: Facebook darf nicht zeitlich unbegrenzt massenhaft Daten zu Werbezwecken nutzen Urteil des EuGH Urteil des EuGH könnte Grundlage für Schadensersatzansprüche der Nutzer werden Facebook darf nicht sämtliche personenbezogenen Daten, die […]

Datenspeicherung: Das BKA-Gesetz ist teils verfassungswidrig

  • 04.10.2024

Inhalt Überwachung von Kontaktpersonen verfassungswidrig Rechtswidrige Speicherung von Daten in INPOL   Die Verfassungsbeschwerde der Gesellschaft für Freiheitsrechte kann vor dem Bundesverfassungsgericht einen Erfolg feiern: Der Senat hat Teile des BKA-Gesetzes in der Tat für verfassungswidrig erklärt. Beanstandet wurde die Speicherung und Verarbeitung von personenbezogenen Daten, insbesondere von Kontaktpersonen. […]

Welche Rechte haben Geschädigte?: KI, “Deepfakes“ und Face-Swap-Apps können Personen in Pornos austauschen

  • 01.10.2024

Mit Hilfe Künstlicher Intelligenz und einfachen Apps können Nutzer kinderleicht Videos bearbeiten und dabei die Gesichter von Pornodarstellern gegen andere austauschen. Dies verleiht nicht nur enttäuschten Ex-Partnern beim Erstellen von Rache-Pornos neue Möglichkeiten, sondern wirft auch einige rechtliche Fragen auf.