Internationaler Datenschutz

international 01
Fachbeitrag

Es ergeben sich datenschutzrechtliche Besonderheiten, wenn personenbezogene Daten ins Ausland weitergeleitet bzw. dort verarbeitet werden. Praxisrelevanz gewinnt diese Thematik vor allem in den Bereichen der Auftragsdatenverarbeitung und bei international tätigen Unternehmen. Um datenschutzrechtliche Konsequenzen herleiten zu können, muss jedoch das BDSG überhaupt anwendbar sein. Diese Frage hat insbesondere bei Apple und Facebook für große Diskussionen gesorgt und auch schon deutsche Gerichte beschäftigt.

Anwendbarkeit des BDSG

Das BDSG ist grundsätzlich dann anwendbar, wenn eine Erhebung, Verarbeitung oder Nutzung von Daten auf deutschem Territorium vorgenommen wird, sogenanntes Territorialprinzip. Es bleibt demnach auch dann anwendbar, wenn eine Übermittlung ins Ausland stattfindet. Auch ausländische Konzerne können dem deutschen Datenschutzrecht unterliegen, wenn sie über ein deutsches Tochterunternehmen mit eigenständiger Rechtspersönlichkeit personenbezogene Daten erheben, verarbeiten oder nutzen.

Für den grenzüberschreitenden Datentransfer hebt Art. 4 EU-Datenschutzrichtlinie das Territorialprinzip jedoch wieder auf und bestimmt die Geltung des Sitzprinzips. Das wiederum bedeutet, dass das Recht desjenigen Landes Anwendung findet, in dem die für die Datenerhebung oder –verarbeitung verantwortliche Stelle ihren Sitz hat, sofern sich dieser Sitz in einem Mitgliedsland der EU befindet. Sofern diese Stelle aber wiederum eine Niederlassung im Inland hat, ist für sie das inländische Recht maßgeblich.

Folglich ist immer im Einzelfall zu prüfen, ob das BDSG für den konkreten Fall anwendbar ist oder nicht.

Zulässigkeit der Datenverarbeitung

Zu beachten ist jedoch, dass in einem ersten Schritt geprüft werden muss, ob die jeweilige Datenverarbeitung überhaupt zulässig ist. Diese kann sich gemäß § 4 Abs. 1 BDSG aus einer Rechtsvorschrift oder der Einwilligung des Betroffenen ergeben.

Erst nachdem diese grundsätzliche Zulässigkeit der Übermittlung bejaht wurde, muss in einem zweiten Schritt geprüft werden, ob die Übermittlung in das jeweilige Empfängerland zulässig ist.

Länder der EU/ des EWR

Übermittlungen aus Deutschland an Länder innerhalb der EU sowie innerhalb des EWR sind unter denselben Voraussetzungen zulässig wie Übermittlungen im Inland (§ 4b I BDSG, § 4c BDSG). Ein Grund hierfür ist die Tatsache, dass europaweit die gleichen Prinzipien und damit das gleiche Datenschutzniveau herrschen. Maßgeblich ist hier die Datenschutzrichtlinie 95/46/EG.

Drittstaaten

Laut Lexikon von Datenschutz Praxis sind

„Drittstaaten Staaten, in denen ein Datenschutzrecht herrscht, das unter dem Niveau liegt, das mit der Umsetzung der EU-Richtlinie erreicht werden sollte und dem Betroffenen so weniger Garantien zum Schutz seiner personenbezogenen Daten gibt.“

Dabei muss wiederum zwischen sogenannten unsicheren und sicheren Drittländern wie folgt unterschieden werden:

  • Unsichere Drittländer sind solche, in denen kein angemessenes Datenschutzniveau herrscht. Dazu gehören unter anderem Japan, Indien und China. Bei diesen Ländern muss die Daten übermittelnde Stelle grundsätzlich selbst das Datenschutzniveau des Staates überprüfen (§ 4b Abs. 3 und 5 BDSG).
  • Sichere Drittländer sind solche, die über ein angemessenes Datenschutzniveau verfügen, welches dem EU-Recht hinreichend vergleichbar ist. Dazu gehören zurzeit die Schweiz, Kanada, Argentinien, Andorra, Färöer, Guernsey, Israel, Isle of Man, Jersey, Australien, Neuseeland und Uruguay.

Die Entscheidung darüber, ob es sich um ein sicheres Drittland handelt, trifft die EU-Kommission.

Ausnahmen

Darüber hinaus gibt es noch Ausnahmen, unter denen eine Übermittlung in ein Drittland auch dann zulässig sein kann, wenn kein angemessenes Datenschutzniveau herrscht. Dazu zählen die Einwilligung des Betroffenen, die Erfüllung eines Vertrages oder die Wahrung lebenswichtiger Interessen des Betroffenen.

Zu weiteren Möglichkeiten, personenbezogene Daten in das EU-Ausland zu übermitteln, gehören die Verwendung von EU-Standardvertragsklauseln sowie Binding Corporate Rules (für den gesamten Konzern). Am häufigsten werden die Standardvertragsklauseln angewendet. Es sind zwei Vertragsformen veröffentlicht, eine für Übermittlungen und eine für Auftragsdatenverarbeitungen, die im Wortlaut nicht verändert werden dürfen, sondern durch die entsprechenden Angaben der beteiligten Unternehmen ergänzt und unterschrieben werden müssen.

Datenübermittlungen in die USA waren bislang außerdem auf Grundlage sogenannter Safe-Harbor-Zertifizierungen zulässig. US-Unternehmen sicherten zu, ein Datenschutzniveau zu gewährleisten, das bestimmten Anforderungen (Safe Harbor Principles) entspricht und ließen sich in eine Liste des US‑Handelsministeriums aufnehmen. Der Europäischen Gerichtshof (EuGH) hat dieses auf einer Entscheidung der EU-Kommission beruhende Vorgehen im Oktober 2015 für ungültig erklärt.

Die Entscheidung des EuGH führt dazu, dass die Übertragung personenbezogener Daten in die USA derzeit mit gewissen rechtlichen Unsicherheiten verbunden ist. Teilweise sehen die Aufsichtsbehörden auch Datenübermittlungen auf der Grundlage von EU-Standardvertragsklauseln und Binding Corporate Rules von der genannten Entscheidung des EuGH betroffen. Eine einheitliche Stellungnahme deutscher und europäischer Aufsichtsbehörden darüber, ob eine Datenübertragung auf Grundlage dieser Institute auch nach Januar 2016 zulässig sein wird, steht noch aus.

9 Kommentare zu diesem Beitrag

  1. > Ein Grund hierfür ist die Tatsache, dass europaweit die gleichen Prinzipien und damit das gleiche Datenschutzniveau herrschen.

    Waren Sie schonmal in Großbritannien? Mit Sicherheit herrscht in Europa KEIN einheitliches Datenschutzniveau.

    > Unsichere Drittländer (…) Israel
    > Sichere Drittländer (…) Israel

    Gibt es zwei verschiedene Israel?

  2. Wenn man das Datenschutzniveau in Deutschland und Luxemburg vergleicht, welches Gesetz stellt denn die strengeren Anforderungen, BDSG oder luxemburgisches Datenschutzgesetz?

    • Beide Länder haben als Mitglieder der EU die Datenschutzrichtlinie 95/46/EG umgesetzt, welche hohe Anforderungen an die Zulässigkeit der Verarbeitung personenbezogener Daten stellt. Eine pauschale Aussage, ob ein Datenschutzgesetz in Europa strenger als ein anderes ist, kann allerdings aufgrund der Komplexität der Rechtsordnungen nicht getroffen werden.

  3. Wie sieht es aus mit der statistischen Verarbeitung von Arbeitnehmer-Lohndaten unverdichtet in einer britischen Tochtergesellschaft? Unterliegen die Arbeitnehmerdaten einem höheren Schutz?

  4. Demnach ist die Übertragung von Daten (z.B. durch Nutzung einer CRM-Lösung) nach Australien oder Kanada kein Problem? Die Nutzung eines CRM-Systems in den USA ist durch das neue US-EU-Privacy-Shield “abgesichert”? Aber was ist mit Indien, als eines der wichtigsten Offshore-Länder?

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.