Veröffentlicht von:
Internationale Datentransfers
- 2 Minuten Lesezeit
Internationale Datentransfers
Der internationale Datentransfer ist heutzutage kaum noch wegzudenken. Dabei übermitteln Unternehmen häufig auch Daten in sogenannte Drittländer.
Was versteht man unter einer Datenübermittlung in Drittländer?
Als Drittländer bzw. Drittstaaten gelten alle Länder, die nicht Teil der Europäischen Union oder des Europäischen Wirtschaftsraums sind. Da in diesen Ländern nicht das gleiche Datenschutzniveau wie beispielsweise in Deutschland gilt, sind an die Datenübermittlung besondere Anforderungen zu stellen.
Wann ist eine Drittlandsübermittlung zulässig?
Um auch bei einer Datenübermittlung in ein Drittland ein angemessenes Datenschutzniveau zu gewährleisten, sieht die DSGVO besondere Möglichkeiten vor:
Angemessenheitsbeschlüsse
Bei einigen Ländern hat die Europäische Kommission per Angemessenheitsbeschluss ein angemessenes Datenschutzniveau bestätigt. Diese Länder gelten als sichere Drittländer. Zu den sicheren Drittländern gehören beispielsweise Japan, die Schweiz, Israel und das Vereinigte Königreich.
Zudem ist zwischen den USA und der EU ein Abkommen in Vorbereitung, das Trans-Atlantic Data Privacy Framework, welches als Grundlage für einen Angemessenheitsbeschluss dienen soll.
Standardvertragsklauseln
Existiert für ein Land kein Angemessenheitsbeschluss, muss der Verarbeiter auf andere Weise sicherstellen, dass die personenbezogenen Daten ausreichend geschützt werden. Dies kann beispielsweise durch den Einsatz von Standardvertragsklauseln der EU-Kommission gewährleistet werden. Nicht immer ist der Einsatz dieser Vertragsklauseln allein ausreichend. Vielmehr muss der Verantwortliche im Einzelfall prüfen, ob die Rechtslage und Praxis im Drittland ein angemessenes Datenschutzniveau gewährleisten oder zusätzliche Maßnahmen, wie beispielsweise Verschlüsselung oder Pseudonymisierung, ergriffen werden müssen.
Sonstige Möglichkeiten
Speziell für Unternehmensgruppen besteht die Option, interne Datenschutzvorschriften, sog. Binding Corporate Rules, zu erlassen. Diese Möglichkeit soll das Bedürfnis grenzüberschreitender Unternehmensgruppen nach einem einheitlichen Datenschutzniveau berücksichtigen.
Zudem besteht die Möglichkeit eine Übermittlung auf Grundlage der ausdrücklichen Einwilligung des Betroffenen zu stützen.
Fazit
Ist eine Datenübermittlung in Drittländer nicht ausdrücklich durch Angemessenheitsbeschluss gestattet, müssen weitere Kriterien erfüllt sein, damit eine Datenübermittlung zulässig ist.
Kann kein angemessenes Datenschutzniveau garantiert werden, sollten Unternehmen von einer Übermittlung absehen, um insbesondere hohe Bußgeldzahlungen zu vermeiden
Henning Koch, Rechtsanwalt, Fachanwalt für IT-Recht, Fachanwalt für Arbeitsrecht, zertifizierter (auch behördlicher) Datenschutzbeauftragter (Wirtschaftskanzlei Ruhmann Peters Altmeyer PartG mbB) und Geschäftsführer der RPA Datenschutz + Compliance GmbH.
Sie können mir folgen auf LinkedIn
Hier hören Sie meinen Podcast.
"Herr Koch hat Recht". Der Datenschutz- und Digitalrechtpodcast mit Rechtsanwalt Henning Koch.
In diesem Podcast dreht sich alles um die Themen Datenschutz, Digitalrecht und IT-Recht. Aber auch Fragen des digitalen Lebens und des digitalen Wandels finden Ihren Platz. Aktuell und mit einem Augenzwinkern. Podcast-Webseite: www.herrkochhatrecht.de.
Artikel teilen: