Datentransfers DSGVO-konform gestalten
Die DSGVO enthält spezielle Vorschriften zur Rechtmäßigkeit der Übermittlung von personenbezogenen Daten an Organisationen in unsicheren Drittländern. Unsichere Drittländer sind solche, die aus europäischer Sicht kein angemessenes Datenschutzniveau vorweisen können. Solche Übermittlungen können bspw. auf Standardvertragsklauseln der EU-Kommission, verbindliche interne Datenschutzvorschriften zwischen verbundenen Unternehmen oder einen Angemessenheitsbeschluss der EU-Kommission gestützt werden, etwa das EU-US Privacy Shield.
Für Konzerne und Unternehmensgruppen ist der unterbrechungsfreie Austausch personenbezogener Daten - insbesondere von Kunden und Beschäftigten - von großer Bedeutung. Für die Rechtfertigung dieser Aktivitäten müssen allerdings geeignete Garantien vorliegen, zu denen die oben genannten Maßnahmen gehören.
Datenschutzkonforme Datenübermittlung ins Ausland
Eine Datenübermittlung in ein unsicheres Drittland stellt einen Vorgang dar, für den eine entsprechende Rechtsgrundlage vorliegen muss. Ohne einen Erlaubnistatbestand ist die Übermittlung datenschutzrechtlich nicht zulässig. Die verschiedenen Erlaubnistatbestände für die Übermittlung personenbezogener Daten in ein unsicheres Drittland sind in Kap. V DSGVO, beginnend mit Art. 44 DSGVO, aufgezählt.
Datentransfer an sichere Drittländer
Sichere Drittländer im Sinne der DSGVO sind folgende:
- Andorra
- Argentinien
- die Färöer Inseln
- Guernsey
- die Isle of Man
- Israel
- Japan
- Jersey
- Kanada (nur Handelsorganisationen)
- Neuseeland
- die Schweiz
- Uruguay und
- die USA (wenn der Empfänger dem EU-US-Privacy Shield angehört)
Die Europäische Kommission hat also bestätigt, dass diese Länder über ein angemessenes Datenschutzniveau verfügen.
Vorgehen bei unsicheren Drittländern
Folgende Möglichkeiten hat ein Verantwortlicher, wenn er personenbezogene Daten an eine Organisation in einem unsicheren Drittland übermitteln möchte:
1 |
Datenübermittlung auf Grundlage eines Angemessenheitsbeschlusses der Kommission |
Art. 45 DSGVO, EG 103 ff. DSGVO |
2 |
EU-US Privacy Shield (bei Datenübermittlungen in die USA) |
Art. 45 DSGVO, EG 103 ff. DSGVO |
3 |
Genehmigte Verhaltensregeln von Verbänden und anderen Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen in dem Drittland zur Anwendung der geeigneten Garantien, einschließlich in Bezug auf die Rechte der betroffenen Personen |
Art. 40 Abs. 2 lit. j DSGVO, Art. 46 Abs. 2 lit. e DSGVO, EG 98 f. DSGVO |
4 |
Binding Corporate Rules (BCR)/ verbindliche interne Datenschutzvorschriften, die von der zuständigen Aufsichtsbehörde genehmigt worden sind
|
Art. 46 Abs. 2 lit. b DSGVO, Art. 47 DSGVO |
5 |
Standarddatenschutzklauseln (Standardvertragsklauseln) |
Art. 46 Abs. 2 lit. c und d DSGVO, Art. 93 Abs. 2 DSGVO |
6 |
genehmigter Zertifizierungsmechanismus zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen in dem Drittland zur Anwendung der geeigneten Garantien, einschließlich in Bezug auf die Rechte der betroffenen Personen (datenschutzspezifische Zertifizierungs-verfahren sowie Datenschutzsiegel und –prüfzeichen) |
Art. 46 Abs. 2 lit. f DSGVO, Art. 42 DSGVO |
7 |
Einwilligung der betroffenen Person (in Ausnahmefällen) |
Art. 6 Abs. 1 lit. a DSGVO, Art. 49 Abs. 1 lit. a DSGVO, EG 111 DSGVO |
Was ist das EU-US Privacy Shield?
In der datenschutzrechtlichen Praxis werden Datenübermittlungen häufig auf Standarddatenschutzklauseln der EU-Kommission gestützt. Datenübermittlungen in die USA werden regelmäßig auf das EU-US Privacy Shield gestützt.
Das EU-US Privacy Shield ist ein Abkommen zwischen der Europäischen Union und den Vereinigten Staaten von Amerika. Organisationen können eine Mitgliedschaft bei diesem Abkommen beantragen. Voraussetzung ist, dass sie die europäischen Datenschutzgrundsätze akzeptieren und achten müssen. Am EU-US Privacy Shield teilnehmende Organisationen werden auf der offiziellen Webseite aufgeführt. Ein Konzern kann eine Mitgliedschaft für mehrere Konzernunternehmen beantragen. Diese werden – bei laufender Mitgliedschaft – als aktiv angezeigt. Sobald eine Organisation kein Mitglied mehr ist, wird ihr Status auf inaktiv gesetzt.
Wir beraten Sie bei der Auswahl und Umsetzung der passenden Maßnahmen und unterstützen Sie in der Dokumentation. Fragen Sie uns unverbindlich an!