Sichere Übermittlung personenbezogner Daten in Drittländer

Stellen wir uns vor, du nutzt einen E-Mail-Marketing-Dienstleister, der seinen Sitz in den USA hat. Die persönlichen Daten deiner Kunden - Namen und E-Mail-Adressen - werden nicht nur von dir gesammelt, sondern auch auf den Servern dieses Anbieters gespeichert. Dies ist ein typischer Fall eines sogenannten Drittlandtransfers.

Da die Datenschutzstandards in Ländern außerhalb der EU und des EWR oft weniger streng sind, kann das erhebliche Bedenken hinsichtlich des Schutzes dieser personenbezogenen Daten aufwerfen. Was passiert, wenn diese Daten in die falschen Hände geraten? Wie wird Missbrauch verhindert?

Diese Szenarien werfen grundlegende Fragen auf: Unter welchen Bedingungen ist eine sichere Übermittlung personenbezogener Daten in Drittländer überhaupt möglich? Worauf musst du achten, um den Anforderungen der DSGVO gerecht zu werden, wenn du Daten außerhalb der EU und des EWR transferierst?

Die DSGVO bietet verschiedene Lösungen für die Übermittlung personenbezogener Daten an Drittländer. Ein Weg ist der Angemessenheitsbeschluss der Europäischen Kommission (Artikel 45 DSGVO), der ein gleichwertiges Datenschutzniveau in einem Drittland bestätigt. Eine weitere Möglichkeit sind Standardvertragsklauseln (Artikel 46 Absatz 2 Buchstaben c und d DSGVO), die datenschutzkonforme Vereinbarungen zwischen Datenexporteur und -importeur sicherstellen. Verbindliche interne Datenschutzvorschriften (Binding Corporate Rules, Artikel 47 DSGVO) können multinationalen Konzernen dabei helfen, das Datenschutzniveau innerhalb ihrer Organisation zu gewährleisten. Bei Fehlen der oben genannten Garantien kann die Datenübermittlung auf der ausdrücklichen Einwilligung der betroffenen Person beruhen (Artikel 49 Absatz 1 Buchstabe a DSGVO). Zudem gibt es Ausnahmen für spezifische Situationen (Artikel 49 DSGVO), wie die Übermittlung von Daten aus Gründen des öffentlichen Interesses oder zum Schutz lebenswichtiger Interessen. 

Angemessenheitsbeschluss

Die Europäische Kommission kann feststellen, dass ein Drittland, ein Gebiet oder ein Sektor innerhalb dieses Drittlandes ein angemessenes Schutzniveau bietet. Ist ein solcher Beschluss vorhanden, können personenbezogene Daten ohne weitere Garantien dorthin übermittelt werden.

Aktuell gibt es Angemessenheitsbeschlüsse für den Transfer von personenbezogenen Daten in folgende Länder:

• Andorra
• Argentinien
• Kanada (kommerziele Organisationen)
• Färöer
• Guernsey
• Israel
• Isle of Man
• Jersey
• Neuseeland
• Schweiz
• Uruguay
• Japan
• Vereinigtes Königreich
• Südkorea
• USA (Sofern DPF-zertifiziert)

Geeignete Garantien

• Standardvertragsklauseln: Hierbei handelt es sich um Vertragsklauseln, die von der Europäischen Kommission genehmigt wurden und die sicherstellen, dass personenbezogene Daten außerhalb der EU und des EWR den gleichen Schutz erhalten. Sie werden üblicherweise zwischen dem Datenexporteur und dem Datenimporteur vereinbart.
• Verbindliche interne Datenschutzvorschriften (Binding Corporate Rules, BCR): Diese werden von multinationalen Konzernen verwendet und stellen sicher, dass innerhalb des gesamten Konzerns ein angemessenes Datenschutzniveau gewährleistet ist.

Sonstige Ausnahmen gemäß Art. 49 DSGVO

• Ausdrückliche Einwilligung: Wenn keine der oben genannten Garantien gegeben ist, kann die Übermittlung von Daten in ein Drittland unter bestimmten Bedingungen auf der ausdrücklichen Einwilligung der betroffenen Person basieren.
• Ausnahmen für spezifische Situationen: Die DSGVO enthält auch einige Ausnahmen, bei denen die Datenübermittlung auch ohne angemessenes Schutzniveau oder entsprechende Garantien zulässig ist. Einige Beispiele sind die Übermittlung von Daten für wichtige Gründe des öffentlichen Interesses, zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz lebenswichtiger Interessen.