Grundverordnung: Internationale Datentransfers ins Ausland

international 06
Fachbeitrag

Der Transfer von personenbezogenen Daten in Staaten außerhalb der EU/des EWA (sogenannten Drittstaaten) war schon immer problematisch. Daran wird sich auch mit dem Inkrafttreten der Datenschutz-Grundverordnung nichts ändern. Grund hierfür ist die Annahme, dass in Drittstaaten generell kein angemessenes Datenschutzniveau herrscht. Dementsprechend werden Datentransfers in Drittstaaten auch weiterhin nur zulässig sein, wenn zusätzliche Sicherheitsmechanismen dazu beitragen ein angemessenes Datenschutzniveau zu gewährleisten oder ein solches verbindlich festgestellt wurde. Dieser Artikel ist Teil unserer Reihe zur EU-Datenschutz-Grundverordnung.

Bleiben bestehende Instrumente für internationale Datentransfers wirksam?

Grundsätzlich bestehen die in der Datenschutz-Richtlinie festgelegten Regelungen fort. Sofern es eine Rechtsgrundlage für die generelle  Datenübermittlung gibt, kann mit den zur Verfügung stehenden Instrumentarien die Übermittlung auch in einen Drittstaat erfolgen. Mechanismen zur Herstellung eines angemessenen Datenschutzniveaus sind beispielsweise:

  • Binding Corporate Rules (BCR), verbindliche, selbstauferlegte Unternehmensvorschriften zum Umgang mit personenbezogenen Daten
  • EU-Standardverträge, von der EU-Kommission vorgegeben Modelklauseln, deren Inhalt nicht abgeändert werden darf

Daneben bleiben auch die in der Datenschutz-Richtlinie geregelten weiteren Möglichkeiten des Datentransfers anwendbar. So ist es gem. § 49 EU-DSGVO beispielsweise möglich, personenbezogene Daten auf Basis einer Einwilligung oder zur Erfüllung eines Vertrages zu übermitteln. Von der Kommission erlassene Beschlüsse über ein angemessenes Datenschutzniveau in einem bestimmten Land, welche auf der Grundlage der Datenschutz-Richtlinie entschieden wurden, bleiben ebenfalls in Kraft bis sie durch einen nach einem in der Grundverordnung festgelegten Prüfverfahren erlassenen Beschluss der Kommission geändert, ersetzt oder aufgehoben werden.

Welche Neuerungen bringt die Datenschutz-Grundverordnung?

Neben den bereits zuvor existierenden Möglichkeiten des Datentransfers, sieht die Datenschutz-Grundverordnung auch neue Aspekte vor:

  • Nach der Datenschutz-Grundverordnung ist die Feststellung eines angemessenen Datenschutzniveaus auch für ein Gebiet oder ein oder mehrere spezifische Sektoren eines Drittlands möglich. Daher ist ein Datentransfer ohne weitere übermittlungsspezifische Maßnahmen auch an Stellen innerhalb solcher Gebiete bzw. Sektoren zulässig.
  • Binding Corporate Rules werden in der Datenschutz-Grundverordnung konkret in Art. 47 geregelt. Dort werden u.a. Mindestanforderungen hinsichtlich des notwendigen Inhalts festgelegt.
  • Sofern Datenübermittlungen nicht über Ausnahmeregelungen zulässig sind und auch keine besonderen Mechanismen ergriffen wurden, sollen sie dennoch zulässig sein, wenn:

“die Übermittlung nicht wiederholt erfolgt, nur eine begrenzte Zahl von betroffenen Personen betrifft, für die Wahrung der zwingenden berechtigten Interessen des für die Verarbeitung Verantwortlichen erforderlich ist, sofern die Interessen oder die Rechte und Freiheiten der betroffenen Person nicht überwiegen, und falls der für die Verarbeitung Verantwortliche alle Umstände der Datenübermittlung beurteilt und auf der Grundlage dieser Beurteilung geeignete Garantien in Bezug auf den Schutz personenbezogener Daten vorgesehen hat.”

  • Dabei sind die Aufsichtsbehörde und die betroffene Person in Kenntnis zu setzen.
  • Zusätzlich werden Verhaltensregeln (Art. 40 DS-GVO) und die Möglichkeit einer Zertifizierung (Art. 42 DS-GVO) vorgesehen, auf deren Grundlage nach erfolgter Genehmigung ebenfalls ein Datentransfer möglich ist.

Was können Unternehmen tun um sich optimal vorzubereiten?

Um sich optimal auf die Regelungen Datenschutz-Grundverordnung vorzubereiten, sollten Unternehmen die folgenden Maßnahmen ergreifen:

  1. Analyse der bestehenden Datenflüsse in Drittstaaten.
  2. Identifizierung der bestehenden Rechtsgrundlagen bzw. Mechanismen zur Herstellung eines angemessenen Datenschutzniveaus.
  3. Im Anschluss an die Feststellung der Datenflüsse und deren Bedeutung und Funktion für das Unternehmen sollte evaluiert werden, welcher Transfermechanismus für das eigene Unternehmen die praktikabelste Lösung ist.

Hier finden Sie weitere ausgewählte Artikel zur EU-Datenschutz-Grundverordnung.

4 Kommentare zu diesem Beitrag

  1. Hallo Dr. Datenschutz, bleibt denn nun die übliche 2 Stufen Prüfung erhalten oder gibt es hier Erleichterungen für Unternehmen im allgemeinen oder im Konzern? Die DSGVO lässt in gewisser Hinsicht ja, ein konzernprivileg andeuten. Vielen Dank vorab.

    • Der Wortlaut der Art. 44 ff. DSGVO mag hier teilweise missverständlich sein, indem suggeriert wird, dass die Zulässigkeit allein auf diese Vorschriften gestützt werden kann. So lautet z.B. Art. 45 Abs. 1 S. 1: „Eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation darf vorgenommen werden, wenn die Kommission beschlossen hat, dass das betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland oder die betreffende internationale Organisation ein angemessenes Schutzniveau bietet.“

      Durch Auslegung nach Sinn und Zweck der Vorschriften kann man aber nur zu dem Ergebnis kommen, dass die Anforderungen der Art. 44 DSGVO bei Drittstaatentransfers ZUSÄTZLICH zu beachten sind, es also bei der zweistufigen Prüfung bleibt. Auch der Wortlaut gibt diese Auslegungen letztendlich her: Art. 44 Abs. 1 S. 1 sagt, dass die Übermittlung in einen Drittstaat NUR zulässig ist, wenn die genannten Bedingungen erfüllt werden.

  2. Grüß Gott
    Ersteinmal vielen Dank für Ihre sehr gut zusammengefassten und dargelegten Artikel zum DSGVO.

    Beim internationalen Datentransfer kann ich jedoch nicht nachvollziehen, wie diese “Ausnahme” gemäß Art. 49 Abs. 1 Unterabsatz 2 von den internationalen Sicherheitsmaßnahmen im Unterabsatz 1 zu verstehen ist.
    Einerseits würde mich interessieren, ob es für den Begriff “eine begrenzte Zahl von betroffenen Personen” schon eine Orientierungshilfe gibt?
    Andererseits ist mir nicht klar inwiefern es sich im letzten Fall um eine Ausnahme von den Sicherheitspflichten handelt, wenn dann doch “Garantien” (wie in Unterabsatz 1) vorgesehen werden müssen.

    Vorab vielen Dank für Ihre Mühen.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.