Datentransfers DSGVO-konform gestalten

Die DSGVO enthält spezielle Vorschriften zur Rechtmäßigkeit der Übermittlung von personenbezogenen Daten an Organisationen in unsicheren Drittländern. Unsichere Drittländer sind solche, die aus europäischer Sicht kein angemessenes Datenschutzniveau vorweisen können. Solche Übermittlungen können bspw. auf Standardvertragsklauseln der EU-Kommission, verbindliche interne Datenschutzvorschriften zwischen verbundenen Unternehmen oder einen Angemessenheitsbeschluss der EU-Kommission gestützt werden, etwa das EU-US Privacy Shield.

Für Konzerne und Unternehmensgruppen ist der unterbrechungsfreie Austausch personenbezogener Daten - insbesondere von Kunden und Beschäftigten - von großer Bedeutung. Für die Rechtfertigung dieser Aktivitäten müssen allerdings geeignete Garantien vorliegen, zu denen die oben genannten Maßnahmen gehören.

Datenschutzkonforme Datenübermittlung ins Ausland

Eine Datenübermittlung in ein unsicheres Drittland stellt einen Vorgang dar, für den eine entsprechende Rechtsgrundlage vorliegen muss. Ohne einen Erlaubnistatbestand ist die Übermittlung datenschutzrechtlich nicht zulässig. Die verschiedenen Erlaubnistatbestände für die Übermittlung personenbezogener Daten in ein unsicheres Drittland sind in Kap. V DSGVO, beginnend mit Art. 44 DSGVO, aufgezählt.

Datentransfer an sichere Drittländer

Sichere Drittländer im Sinne der DSGVO sind folgende:

  • Andorra
  • Argentinien
  • die Färöer Inseln
  • Guernsey
  • die Isle of Man
  • Israel
  • Japan
  • Jersey
  • Kanada (nur Handelsorganisationen)
  • Neuseeland
  • die Schweiz
  • Uruguay und
  • die USA (wenn der Empfänger dem EU-US-Privacy Shield angehört)

Die Europäische Kommission hat also bestätigt, dass diese Länder über ein angemessenes Datenschutzniveau verfügen.

Vorgehen bei unsicheren Drittländern

Folgende Möglichkeiten hat ein Verantwortlicher, wenn er personenbezogene Daten an eine Organisation in einem unsicheren Drittland übermitteln möchte:

1

Datenübermittlung auf Grundlage eines Angemessenheitsbeschlusses der Kommission

Art. 45 DSGVO, EG 103 ff. DSGVO

2

EU-US Privacy Shield (bei Datenübermittlungen in die USA)

Art. 45 DSGVO, EG 103 ff. DSGVO

3

Genehmigte Verhaltensregeln von Verbänden und anderen Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen in dem Drittland zur Anwendung der geeigneten Garantien, einschließlich in Bezug auf die Rechte der betroffenen Personen

Art. 40 Abs. 2 lit. j DSGVO, Art. 46 Abs. 2 lit. e DSGVO, EG 98 f. DSGVO

4

Binding Corporate Rules (BCR)/ verbindliche interne Datenschutzvorschriften, die von der zuständigen Aufsichtsbehörde genehmigt worden sind

 

Art. 46 Abs. 2 lit. b DSGVO, Art. 47 DSGVO

5

Standarddatenschutzklauseln (Standardvertragsklauseln)

Art. 46 Abs. 2 lit. c und d DSGVO, Art. 93 Abs. 2 DSGVO

6

genehmigter Zertifizierungsmechanismus zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen in dem Drittland zur Anwendung der geeigneten Garantien, einschließlich in Bezug auf die Rechte der betroffenen Personen

(datenschutzspezifische Zertifizierungs-verfahren sowie Datenschutzsiegel und –prüfzeichen)

Art. 46 Abs. 2 lit. f DSGVO, Art. 42 DSGVO

7

Einwilligung der betroffenen Person (in Ausnahmefällen)

Art. 6 Abs. 1 lit. a DSGVO, Art. 49 Abs. 1 lit. a DSGVO, EG 111 DSGVO

Was ist das EU-US Privacy Shield?

In der datenschutzrechtlichen Praxis werden Datenübermittlungen häufig auf Standarddatenschutzklauseln der EU-Kommission gestützt. Datenübermittlungen in die USA werden regelmäßig auf das EU-US Privacy Shield gestützt.

Das EU-US Privacy Shield ist ein Abkommen zwischen der Europäischen Union und den Vereinigten Staaten von Amerika. Organisationen können eine Mitgliedschaft bei diesem Abkommen beantragen. Voraussetzung ist, dass sie die europäischen Datenschutzgrundsätze akzeptieren und achten müssen. Am EU-US Privacy Shield teilnehmende Organisationen werden auf der offiziellen Webseite aufgeführt. Ein Konzern kann eine Mitgliedschaft für mehrere Konzernunternehmen beantragen. Diese werden – bei laufender Mitgliedschaft – als aktiv angezeigt. Sobald eine Organisation kein Mitglied mehr ist, wird ihr Status auf inaktiv gesetzt.

Wir beraten Sie bei der Auswahl und Umsetzung der passenden Maßnahmen und unterstützen Sie in der Dokumentation. Fragen Sie uns unverbindlich an!

← zurück

Ihr Ansprechpartner:

Erdem Durmus

Managing Director | Externer Datenschutzbeauftragter

CIPP/E
CIPM
FIP
ISO 27001
Basiszertifikat Projektmanagement von der GPM
Fachkundenachweise zum Datenschutzbeauftragten

Ihr Ansprechpartner:

Michael Gilmour

Managing Director | Externer Datenschutzbeauftragter

Certified Professional Data Protection Officer (udis)