Datentransfers DSGVO-konform gestalten

Die DSGVO enthält spezielle Vorschriften zur Rechtmäßigkeit der Übermittlung von personenbezogenen Daten an Organisationen in unsicheren Drittländern. Unsichere Drittländer sind solche, die aus europäischer Sicht kein angemessenes Datenschutzniveau vorweisen können. Solche Übermittlungen können bspw. auf Standardvertragsklauseln der EU-Kommission, verbindliche interne Datenschutzvorschriften zwischen verbundenen Unternehmen oder einen Angemessenheitsbeschluss der EU-Kommission gestützt werden, etwa das EU-US Privacy Shield.

Für Konzerne und Unternehmensgruppen ist der unterbrechungsfreie Austausch personenbezogener Daten - insbesondere von Kunden und Beschäftigten - von großer Bedeutung. Für die Rechtfertigung dieser Aktivitäten müssen allerdings geeignete Garantien vorliegen, zu denen die oben genannten Maßnahmen gehören.

Eine Datenübermittlung in ein unsicheres Drittland stellt einen Vorgang dar, für den eine entsprechende Rechtsgrundlage vorliegen muss. Ohne einen Erlaubnistatbestand ist die Übermittlung datenschutzrechtlich nicht zulässig. Die verschiedenen Erlaubnistatbestände für die Übermittlung personenbezogener Daten in ein unsicheres Drittland sind in Kap. V DSGVO, beginnend mit Art. 44 DSGVO, aufgezählt.

Sichere Drittländer im Sinne der DSGVO sind folgende:

  • Andorra
  • Argentinien
  • die Färöer Inseln
  • Guernsey
  • die Isle of Man
  • Israel
  • Japan
  • Jersey
  • Kanada (nur Handelsorganisationen)
  • Neuseeland
  • die Schweiz
  • Uruguay und
  • die USA (wenn der Empfänger dem EU-US-Privacy Shield angehört)

Die Europäische Kommission hat also bestätigt, dass diese Länder über ein angemessenes Datenschutzniveau verfügen.

Folgende Möglichkeiten hat ein Verantwortlicher, wenn er personenbezogene Daten an eine Organisation in einem unsicheren Drittland übermitteln möchte:

1

Datenübermittlung auf Grundlage eines Angemessenheitsbeschlusses der Kommission

Art. 45 DSGVO, EG 103 ff. DSGVO

2

EU-US Privacy Shield (bei Datenübermittlungen in die USA)

Art. 45 DSGVO, EG 103 ff. DSGVO

3

Genehmigte Verhaltensregeln von Verbänden und anderen Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen in dem Drittland zur Anwendung der geeigneten Garantien, einschließlich in Bezug auf die Rechte der betroffenen Personen

Art. 40 Abs. 2 lit. j DSGVO, Art. 46 Abs. 2 lit. e DSGVO, EG 98 f. DSGVO

4

Binding Corporate Rules (BCR)/ verbindliche interne Datenschutzvorschriften, die von der zuständigen Aufsichtsbehörde genehmigt worden sind

 

Art. 46 Abs. 2 lit. b DSGVO, Art. 47 DSGVO

5

Standarddatenschutzklauseln (Standardvertragsklauseln)

Art. 46 Abs. 2 lit. c und d DSGVO, Art. 93 Abs. 2 DSGVO

6

genehmigter Zertifizierungsmechanismus zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen in dem Drittland zur Anwendung der geeigneten Garantien, einschließlich in Bezug auf die Rechte der betroffenen Personen

(datenschutzspezifische Zertifizierungs-verfahren sowie Datenschutzsiegel und –prüfzeichen)

Art. 46 Abs. 2 lit. f DSGVO, Art. 42 DSGVO

7

Einwilligung der betroffenen Person (in Ausnahmefällen)

Art. 6 Abs. 1 lit. a DSGVO, Art. 49 Abs. 1 lit. a DSGVO, EG 111 DSGVO

In der datenschutzrechtlichen Praxis werden Datenübermittlungen häufig auf Standarddatenschutzklauseln der EU-Kommission gestützt. Datenübermittlungen in die USA werden regelmäßig auf das EU-US Privacy Shield gestützt.

Das EU-US Privacy Shield ist ein Abkommen zwischen der Europäischen Union und den Vereinigten Staaten von Amerika. Organisationen können eine Mitgliedschaft bei diesem Abkommen beantragen. Voraussetzung ist, dass sie die europäischen Datenschutzgrundsätze akzeptieren und achten müssen. Am EU-US Privacy Shield teilnehmende Organisationen werden auf der offiziellen Webseite aufgeführt. Ein Konzern kann eine Mitgliedschaft für mehrere Konzernunternehmen beantragen. Diese werden – bei laufender Mitgliedschaft – als aktiv angezeigt. Sobald eine Organisation kein Mitglied mehr ist, wird ihr Status auf inaktiv gesetzt.

Wir beraten Sie bei der Auswahl und Umsetzung der passenden Maßnahmen und unterstützen Sie in der Dokumentation. Fragen Sie uns unverbindlich an!

← zurück

Ihr Ansprechpartner:

Jens Engelhardt

Managing Partner | Externer Datenschutzbeauftragter

Rechtsanwalt
Fachanwalt für IT-Recht
Fachanwalt für Urheber- und Medienrecht
Fachanwalt für gewerblichen Rechtsschutz

Ihr Ansprechpartner:

Erdem Durmus

Externer Datenschutzbeauftragter

CIPP/E
Basiszertifikat Projektmanagement von der GPM
Fachkundenachweise zum Datenschutzbeauftragten