Martin (Hg.): Datenschutz-Grundverordnung. Kommentar, München: C.H. Beck, 2. Aufl. 2018, Rn. 8.
Vgl. Verbraucherzentrale NRW e. V.: „Ihre Daten, Ihre Rechte: die Datenschutzgrundverordnung (DSGVO)“ (Stand: 10.12.2019), auf: https://www.verbraucherzentrale.nrw/wissen/digitale-welt/datenschutz/ihre-daten-ihre-rechte-die-datenschutzgrundverordnung-dsgvo-25152 (zuletzt aufgerufen am: 29.01.2020).
Vgl. https://www.datenschutzkonferenz-online.de/media/ah/20191016_bußgeldkonzept.pdf (zuletzt aufgerufen am: 29.01.2020).
{Drittländer}
Europäische Union hin, Europäische Union her. Geht es um den Datentransfer ins Ausland, bietet das vereinte Europa Vorteile. Die Übermittlung in Vertragsstaaten des Europäischen Wirtschaftsraums (EWR) wie Norwegen, Island und Liechtenstein gestalten sich darüber hinaus unproblematisch.
Der Europäische Wirtschaftsraum und seine Mitglieder
Mit dem EWR, der 1994 in Kraft getreten ist, sollen die EU-Bestimmungen über den Binnenmarkt auf die Länder der Europäischen Freihandelszone (EFTA) ausgedehnt werden. Entstanden ist er durch ein Abkommen zwischen der EU und den EFTA-Staaten Island, Liechtenstein und Norwegen. Die EWR-Mitglieder bilden einen gemeinsamen Markt.
Die Schweiz dagegen ist zwar Mitglied der EFTA, aber weder EU-Mitgliedstaat noch EWR-Mitglied. Sie ist durch eine Reihe von bilateralen Verträgen mit der EU verbunden. In vielen Bereichen sind Schweizer Staatsangehörige daher EU-Bürgern gleichgestellt.
Problematisch sind Datentransfers in Länder, die weder der EU noch dem EWR angehören. Sie werden als sog. Drittländer betitelt. Die DSGVO sieht für die Datenübermittlungen in ein Drittland besondere Regelungen vor. Eine Datenübermittlung dorthin ist nur dann rechtlich zulässig, wenn entweder eine Ausnahmeregelung für die konkrete Datenübermittlung vorliegt oder wenn ein angemessenes Datenschutzniveau i. S. d. Art. 45 DSGVO – Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses durch zusätzlich ergriffene Maßnahmen sichergestellt wird.[1]
Die EU-Kommission hat gem. Art. 45 Abs. 1 DSGVO die Möglichkeit, nach entsprechender Prüfung das Bestehen eines angemessenen Schutzniveaus in bestimmten Drittländern festzustellen. Von dieser Möglichkeit hat die Kommission bereits auf Basis des BDSG a. F. Gebrauch gemacht.
Derzeit existieren Angemessenheitsbeschlüsse (in Deutsch und Englisch) für die Übermittlung personenbezogener Daten in folgende Drittländer[2]:
| •Andorra | •Jersey |
| •Argentinien | •Kanada |
| •Färöer-Inseln | •Neuseeland |
| •Guernsey | •Schweiz |
| •Isle of Man | •Uruguay |
| •Israel | •Vereinigte Staaten von Amerika (EU-U.S. Privacy Shield) |
| •Japan |
Die Europäische Kommission hat alle aufgeführten Angemessenheitsbeschlüsse noch auf Grundlage von Art. 25 Abs. 6 der RL 95/46/EG („EU-Datenschutzrichtlinie“) erlassen. Sie gelten auch nach Gültigwerden der DSGVO zum 25.05.2018 fort, solange die Europäische Kommission nicht ihre Änderung, Ersetzung oder Aufhebung beschließt (vgl. Art. 45 Abs. 9 DSGVO).
Am 23.01.2019 hat die EU-Kommission den Angemessenheitsbeschluss, der erste unter der DSGVO, für Japan angenommen und damit den weltgrößten Raum für sicheren Datenverkehr geschaffen.
|
|
|
| Als Folge gilt für diese Drittländer ein vergleichbares Datenschutzniveau. Eine Datenübermittlung in jene Länder ist daher ohne eine weitere eigene Überprüfung datenschutzrechtlich zulässig. Dies entbindet den Verantwortlichen und Auftragsverarbeiter selbstverständlich nicht von seiner Verpflichtung, sämtliche sonstigen Voraussetzungen einer rechtmäßigen Datenverarbeitung, die sich aus den geltenden Datenschutzgesetzen ergeben, zu prüfen (z. B. Einhaltung der Sicherheit der Verarbeitung gem. Art. 32 DSGVO beim Auftragsverarbeiter) und zu erfüllen (z. B. Abschluss einer Vereinbarung zur Auftragsverarbeitung gem. Art. 28 Abs. 3 DSGVO). | |
Wird durch die Kommission festgestellt, dass ein angemessenes Schutzniveau {Datenschutzniveau} für personenbezogene Daten gegeben ist, ist eine Datenübermittlung ohne besondere Genehmigung möglich.
Sollte ein angemessenes Datenschutzniveau nicht vorliegen, müssen seit dem 25.05.2018 die bekannten Instrumente wie Binding Corporate Rules, Standardvertragsklauseln oder die Einwilligung des Betroffenen herangezogen werden.
Auch die Weitergabe von Daten innerhalb eines Konzerns {Konzern} (verbundene Unternehmen) stellt eine datenschutzrechtlich relevante Datenübermittlung dar. Die DSGVO kennt, wie auch das BDSG, kein Konzernprivileg {Konzernprivileg}. Ein angemessenes Datenschutzniveau setzt eine nationale Gesetzgebung in dem Drittland voraus, die die wesentlichen Datenschutzgrundsätze in einer Weise festlegt, wie sie auch für das Datenschutzrecht der EU und der EU-Mitgliedstaaten gelten. Das bedeutet, dass das Mutter- bzw. Tochterunternehmen wie ein „fremdes Unternehmen“ zu betrachten ist.
Artikel 44 ff. DSGVO regeln die Übermittlung an Drittländer oder an internationale Organisationen:
Art. 44 DSGVO – Allgemeine Grundsätze der Datenübermittlung
Jedwede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, ist nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die in diesem Kapitel niedergelegten Bedingungen einhalten und auch die sonstigen Bestimmungen dieser Verordnung eingehalten werden; dies gilt auch für die etwaige Weiterübermittlung personenbezogener Daten aus dem betreffenden Drittland oder der betreffenden internationalen Organisation an ein anderes Drittland oder eine andere internationale Organisation. Alle Bestimmungen dieses Kapitels sind anzuwenden, um sicherzustellen, dass das durch diese Verordnung gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird.
|
|
|
|
Der BayLfD veröffentlichte am 01.10.2018 die Orientierungshilfe „Die Datenschutz-Grundverordnung und der internationale Datenverkehr“[3].
| |
