Stellen. Allerdings gibt es Handlungsempfehlungen, deren Einhaltung auch für nicht öffentliche Stelle ratsam sind. Insbesondere sind geeignete Garantien und somit die technischen und organisatorischen Maßnahmen vorzusehen bzw. umzusetzen.
Nach der DSGVO gilt wie bisher auch: Es kommt darauf an, ob der Datenverarbeiter im Drittland ein angemessenes Datenschutzniveau einhält. Ist dies nicht der Fall, ist zu prüfen, ob eine Ausnahme für die Datenübermittlung greift. Die DSGVO sieht für Datentransfers in Drittländer folgende Möglichkeiten vor (für öffentliche Stellen gelten im Einzelfall ergänzende Regelungen):
| • | Feststellung der Angemessenheit des Datenschutzniveaus im Drittland durch die EU-Kommission (Art. 45 DSGVO) oder |
| • | Vorliegen geeigneter Garantien (Art. 46 DSGVO) – verbindliche interne Datenschutzvorschriften (Binding Corporate Rules) (Art. 46 Abs. 2 lit. b, Art. 47 DSGVO) – Standarddatenschutzklauseln der Kommission oder einer Aufsichtsbehörde (Art. 46 Abs. 2 lit. c und d DSGVO) – genehmigte Verhaltensregeln und genehmigter Zertifizierungsmechanismus (Art. 46 Abs. 2 lit. e und f DSGVO) – einzeln ausgehandelte Vertragsklauseln (Art. 46 Abs. 3 DSGVO) oder |
| • | Ausnahmen für bestimmte Fälle (Art. 49 DSGVO) – Einwilligung (Art. 49 Abs. 1 Unterabsatz 1 lit. a DSGVO) – Erforderlichkeit zur Vertragserfüllung (Art. 49 Abs. 1 Unterabsatz 1 lit. b und c DSGVO) – wichtige Gründe des öffentlichen Interesses (Art. 49 Abs. 1 Unterabsatz 1 lit. d DSGVO) – Verfolgung von Rechtsansprüchen (Art. 49 Abs. 1 Unterabsatz 1 lit. e DSGVO) – Schutz lebenswichtiger Interessen (Art. 49 Abs. 1 Unterabsatz 1 lit. f DSGVO) – Wahrung zwingender berechtigter Interessen (Art. 49 Abs. 1 Unterabsatz 2 Satz 1 DSGVO) |
Gemäß Art. 3 Abs. 2 DSGVO (Räumlicher Anwendungsbereich) findet die Verordnung Anwendung, sobald ein nicht in der EU niedergelassener Verantwortlicher oder Auftragsverarbeiter Daten von betroffenen Personen, die sich in der EU befinden, verarbeitet. Man spricht hier vom sog. Marktortprinzip {Marktortprinzip} (
Das bedeutet: Das Markortprinzip gilt, wenn ein Unternehmen weder seinen Sitz noch eine Niederlassung in der EU hat, jedoch Personen in der EU entgeltlich oder unentgeltlich Waren oder Dienstleistungen anbietet oder deren Verhalten (Profiling, Tracking) beobachtet.
|
|
|
| Die bloße Zugänglichkeit einer Website führt nicht automatisch zur Anwendung der DSGVO, die Verwendung einer Sprache oder Währung, die in einem oder mehreren Mitgliedstaaten der EU gebräuchlich ist, in Verbindung mit der Möglichkeit, Waren und/oder Dienstleistungen in der anderen Sprache zu verwenden (ErwG 23 DSGVO), dagegen schon. | |
Unter anderem regelt Art. 3 DSGVO den räumlichen Anwendungsbereich:
Art. 3 Abs. 2 DSGVO
Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht […].
Checkliste: Drittland – Handlungsbedarfe
1. Information über die Datenübermittlung in ein Drittland
|
|
Im Informationsblatt zur Datenverarbeitung und in der Datenschutzerklärung einer Website ist gem. Art. 13 Abs. 1 lit. f bzw. Art. 14 Abs. 1 lit. f DSGVO über die Datenübermittlung in ein Drittland zu informieren. |
2. Recht nach Auskunft
|
|
Im Rahmen eines Auskunftsersuchens einer betroffenen Person ist sie gem. Art. 15 Abs. 1 lit. c, Abs. 2 DSGVO über die Datenübermittlung in Drittländer zu beauskunften. |
3. Verzeichnis der Verarbeitungstätigkeiten
|
|
Im Verarbeitungsverzeichnis sind Datenübermittlungen in Drittländer gem. Art. 30 Abs. 1 lit. d und e bzw. Abs. 2 lit. c DSGVO als solche zu dokumentieren. |
4. Datenschutz-Folgenabschätzungen
|
|
Eventuell sind DSFA (Art. 35 DSGVO) für Verarbeitungen durchzuführen oder bereits durchgeführte DSFA im Hinblick auf die neue Situation zu prüfen. |
5. Übermittlungen an Drittländer
|
|
Es sind geeignete Garantien zum Schutz personenbezogener Daten bei der Übermittlung in ein Drittland zu schaffen, wenn keine Ausnahmetatbestände greifen (Artt. 44 ff. DSGVO). |
Das Fürstentum Liechtenstein mit seiner Staatsform „konstitutionelle Erbmonarchie auf demokratischer und parlamentarischer Grundlage“ ist mit dem Zollanschlussvertrag von 1923 in den Schweizer Wirtschaftsraum eingebunden. Seit 01.05.1995 ist Liechtenstein Mitglied des EWR und nimmt damit am EU-Binnenmarkt teil. Am 20.07.2019 wurde die DSGVO im EWR wirksam.
Auch das Fürstentum Liechtenstein hat von den Öffnungsklauseln der DSGVO Gebrauch gemacht und sein Datenschutzgesetz (DSG) einer Revision unterzogen. Seit dem 01.01.2019 gelten das neue Datenschutzgesetz (DSG) sowie die neue Datenschutzverordnung (DSV).
Das DSG ist sowohl im Aufbau als auch inhaltlich stark an das BDSG angelehnt. Allerdings fehlt die besondere Pflicht zur Benennung eines Datenschutzbeauftragten (DSB) bei nicht öffentlichen Stellen.
Fußnoten:
Weitere
