Datenschutz-Akademie » Datenschutz-Wiki » Datenübertragung in Drittländer

Datenübertragung in Drittländer
Hinweis

DER EUROPÄISCHE GERICHTSHOF (EUGH) HAT DAS EU-US PRIVACY SHIELD AM 16.07.2020 FÜR UNGÜLTIG ERKLÄRT (FALL C-311/18).

Datenübertragung in Länder außerhalb der Europäischen Union (Drittländer)

Hintergrund

Die europäische Kommission hat gemäß Art. 45 Abs. 3 DSGVO (Datenschutzgrundverordnung) die Möglichkeit, sogenannte Angemessenheitsbeschlüsse für die Übertragung personenbezogener Daten in Länder außerhalb der Europäischen Union, sogenannter Drittländer, zu fassen. Der Angemessenheitsbeschluss für ein Drittland sagt aus,  dass dieses Land einen adäquaten Schutz personenbezogener Daten gemäß der DSGVO vorweist.

Diese Angemessenheitsbeschlüsse können sich auf vollständige Länder oder auch nur auf Teilgebiete oder Sektoren  dieser Länder beziehen. Als Beispiel sei „Monaco“ erwähnt. Monaco ist grundsätzlich als Drittland eingestuft. Für den Sektor der Finanztransaktionen liegt jedoch ein Angemessenheitsbeschluss vor,  sodass die Übertragung personenbezogener Daten diesem Kontext ohne weitere Maßnahmen erlaubt es.

Sollen personenbezogene Daten in Drittländer ohne angemessenes Datenschutzniveau außerhalb der EU übertragen werden, muss der verantwortliche Vorarbeiter (zum Beispiel der Geschäftsführer eines Unternehmens),  dafür Sorge tragen, dass die Datenübertragung in Drittländer dennoch den Gesetzmäßigkeiten der DSGVO entspricht. Hierfür gibt es mehrere Möglichkeiten im folgenden kurz erläutert werden.

Varianten der Datenübertragung in zwischen Ländern

Folgende Varianten der Datenübertragung personenbezogener Daten in andere Länder werden unterschieden und auch bei Robin Data berücksichtigt:

  1. Datenübertragung innerhalb der Länder der EU
  2. Datenübertragung aus Ländern der EU in Länder mit angemessenem Datenschutzniveau
  3. Datenübertragung in die vereinigten Staaten von Amerika auf Basis des Privacy-Shield-Framework
  4. Datenübertragung aus Ländern der EU in Länder ohne angemessenes Datenschutzniveau (Drittländer)

Die Fälle werden im folgenden kurz aus Sicht eines europäischen Verarbeiters erläutert und Lösungsansätze zur rechtmäßigen Übertragung personenbezogener Daten vorgestellt.

1. Datenübertragung zwischen Länder innerhalb der EU

Werden personenbezogene Daten in Länder innerhalb der EU übertragen ist aus datenschutzrechtlicher Sicht keine weitere Tätigkeit notwendig. Alle Länder innerhalb der EU unterliegen der DSGVO.

Fazit: Der Schutz personenbezogener Daten ausreichend geregelt  und können ohne Einschränkung übertragen werden.

2. Datenübertragung in Länder mit angemessenen Datenschutzniveau

Für Länder mit angemessenen Datenschutzniveau ist bei der Übertragung personenbezogener Daten in diese Länder keine weitere Maßnahme nötig. Diese Länder sind demnach privilegiert: Sie werden solchen innerhalb der EU gleichgestellt.

Aktuell haben folgende Länder ein angemessenes Datenschutzniveau (Offizielle EU-Liste):

Die Zulassung von Japan als Drittland mit angemessenem Datenschutzniveau befindet sich gerade in Vorbereitung.

Fazit: Personenbezogene Daten können solche Länder ohne weitere Einschränkung übertragen werden.

Sie wollen Ihr Risiko minimieren und den Datenschutz automatisiert und angeleitet umsetzen? Informieren Sie sich über die Features der Robin Data Software oder über die Bestellung unserer qualifizierten Datenschutzbeauftragten.

Mehr erfahren

Datenübertragungen die Vereinigte Staaten von Amerika (USA)

Die USA werden prinzipiell nicht als Land mit angemessenem Datenschutzniveau anerkannt.  Grund dafür ist der sogenannte USA PATRIOT-ACT der USA, der der Regierung weiterreichende Rechte auf den Zugriff von Unternehmensdaten einräumt.

In der Vergangenheit wurde der Transfer personenbezogener Daten durch das sogenannte Safe-Harbor-Abkommen zwischen der EU und den USA derart geregelt, dass personenbezogene Daten rechtskonform in die USA transferiert werden können. Das Safe-Habor-Abkommen ist im Oktober 2015 vom Europäischen Gerichtshof für ungültig erklärt worden.

Aus diesem Grund wurde ein Nachfolgeabkommen beschlossen, das EU-US-Privacy-Shield. Das Privacy-Shield wurde im Juli 2016 durch die Europäische Kommission beschlossen und wurde am 16.07.2020 vom Europäischen Gerichtshof für unwirksam erklär. Damit ist es ab sofort nicht mehr möglich, dass US-Unternehmen personenbezogene Daten von EU-Bürgerinnen und -Bürgern auf dieser Basis verarbeiten. Seit dem 04. Juni 2021 hat die Eu-Kommission neue EU-Standardvertragsklauseln angenommen.

Datenübertragung in Drittländer

Die Übertragung personenbezogener Daten in Drittländer ist grundsätzlich untersagt.  Eine Übertragung dieser Daten ist dennoch möglich, wenn spezielle Maßnahmen ergriffen werden.

Diese Maßnahmen sind:

  1. Umsetzung unternehmensweiter Richtlinien die den Datenschutz innerhalb eines Unternehmens und dessen Tochtergesellschaften regeln, sogenannte Binding-Corporate-Rules
  2. Die Nutzung durch die EU vorgegebener Verträge, sogenannter EU-Standardvertragsklauseln, um die Übertragung personenbezogener Daten mit Dritten Unternehmen zu regeln.

Abhängig von dem vorliegenden Fall sind in jedem Fall Maßnahmen erforderlich, um eine rechtmäßige Datenübertragung zu gewährleisten.

Prof. Dr. Andre Döring
Neueste Anzeigen von Prof. Dr. Andre Döring (Alle anzeigen)

Das könnte Sie auch interessieren:

EU Standardvertragsklauseln DSGVO internationaler Datentransfer

Die neuen EU Standardvertragsklauseln

Am 07. Juni 2021 hat die Europäische Kommission die neue Version der EU Standardvertragsklauseln für den internationalen Datentransfer von personenbezogener Daten veröffentlicht.
Datenschutzpannen

Passwortlose Authentifizierung über FIDO2

Was bedeutet passwortlose Authentifizierung über FIDO2? Warum das Passwort veraltet ist und Sie auf den Sicherheits-Standard setzen sollten!
Datenschutz von Kindern

Datenschutz von Kindern im Internet

Aufklärung durch Eltern und konkrete Regeln zur Mediennutzung sind sinnvoll. Wie kann der Umgang mit digitalen Medien vermittelt werden?