Datenübermittlung in Drittländer

Datenübermittlung in Drittländer

Durch Globalisierung, Internet und andere moderne Technologien sowie durch weltweite Konzernstrukturen und -verflechtungen werden personenbezogene Daten oft nicht mehr vor Ort verarbeitet, sondern über nationale und europäische Grenzen hinweg transferiert.

Wegen des in der EU bestehenden hohen Datenschutzniveaus ist eine Datenübermittlung in ein Drittland nicht ohne weiteres zulässig. Gemäß der Regelungen zur Drittstaatenübermittlung in Art. 44 – 50 der Datenschutz-Grundverordnung (DS-GVO) dürfen personenbezogene Daten nur dann transferiert werden, wenn Verantwortliche und Auftragsdatenverarbeiter die im Kapitel V der DS-GVO festgelegten Voraussetzungen erfüllen und auch die übrigen Grundsätze der DS-GVO (Art. 44) eingehalten werden.

Zulässig ist eine Datenübermittlung, wenn ein angemessenes Schutzniveau durch die Europäische Kommission bestätigt worden ist. Andernfalls sind geeignete Garantien vorzusehen. Außerdem müssen durchsetzbare Rechte und wirksame Rechtsbehelfe verfügbar sein, unter anderem

  • rechtlich bindende und durchsetzbare Instrumente zwischen Behörden oder öffentlichen Stellen (Art. 46 Abs. 2 lit. a)
  • unternehmensinterne Datenschutzvorschriften, sogenannte Binding Corporate Rules (Art. 46 Abs. 2 lit. b in Verbindung mit Art. 47 DS-GVO) oder
  • Standarddatenschutzklauseln, die von der Kommission oder der Aufsichtsbehörde in einem bestimmten Verfahren angenommen werden (Art. 46 Abs. 2 lit. c und d)

Ausnahmeregelungen hiervon sind in Sonderfällen möglich, zum Beispiel bei Vorliegen einer ausdrücklichen Einwilligung, bei der die betroffene Person zuvor über die Risiken einer Datenübermittlung informiert wurde (Art. 49 Abs. 1 lit. a).

 

Diese Einführung ist auf Basis des Textes „Datenaustausch ohne Grenzen?“ bei der Landesbeauftragten für den Datenschutz Niedersachsen entstanden. Für ausführlichere Informationen können Sie unter den folgenden Links recherchieren.

 

Weiterführende Links


Datenübermittlungen in Drittländer“ des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (mit FAQ zu „Schrems II“)


Kurzpapier Nr. 4 zur Datenschutzgrundverordnung: Datenübermittlung in Drittländer“ der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder


Welche Anforderungen sind bei der Übermittlung von Daten in das Ausland zum Schutz der Persönlichkeitsrechte zu beachten?“ bei der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen


Binding Corporate Rules“ bei der Datenschutzstelle Fürstentum Liechtenstein


Brexit“ bei dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz