Data Protection Academy » Data Protection Wiki » Datenübertragung in Drittländer

Binäre Zahlen über eine Weltkarte symbolisiert Datenübertragung in Drittländer
Note

Since 10 July 2023, a new agreement between the EU and the US has entered into force, the EU-US Data Privacy Framework.

Note

DER EUROPÄISCHE GERICHTSHOF (EUGH) HAT DAS EU-US PRIVACY SHIELD AM 16.07.2020 FÜR UNGÜLTIG ERKLÄRT (FALL C-311/18).

Datenübertragung in Länder außerhalb der Europäischen Union (Drittländer)

Background

Die europäische Kommission hat gemäß Article 45 (3) DSGVO (Datenschutzgrundverordnung) die Möglichkeit, sogenannte Angemessenheitsbeschlüsse für die Übertragung personenbezogener Daten in Länder außerhalb der Europäischen Union, sogenannter Drittländer, zu fassen. Der Angemessenheitsbeschluss für ein Drittland sagt aus,  dass dieses Land einen adäquaten Schutz personenbezogener Daten gemäß der GDPR ...is showing.

Diese Angemessenheitsbeschlüsse können sich auf vollständige Länder oder auch nur auf Teilgebiete oder Sektoren  dieser Länder beziehen. Als Beispiel sei „Monaco“ erwähnt. Monaco ist grundsätzlich als Drittland eingestuft. Für den Sektor der Finanztransaktionen liegt jedoch ein Angemessenheitsbeschluss vor,  sodass die Übertragung personenbezogener Daten diesem Kontext ohne weitere Maßnahmen erlaubt es.

Sollen personenbezogene Daten in Drittländer ohne angemessenes Datenschutzniveau außerhalb der EU übertragen werden, muss der Verantwortliche (zum Beispiel der Geschäftsführer eines Unternehmens),  dafür Sorge tragen, dass die Datenübertragung in Drittländer dennoch den Gesetzmäßigkeiten der DSGVO entspricht. Hierfür gibt es mehrere Möglichkeiten im folgenden kurz erläutert werden.

Varianten der Datenübertragung in zwischen Ländern

Folgende Varianten der Datenübertragung personal data in andere Länder werden unterschieden und auch bei Robin Data berücksichtigt:

  1. Datenübertragung innerhalb der Länder der EU
  2. Datenübertragung aus Ländern der EU in Länder mit angemessenem Datenschutzniveau
  3. Datenübertragung in die USA auf Basis EU-US Data Privacy Framework
  4. Datenübertragung aus Ländern der EU in Länder ohne angemessenes Datenschutzniveau (Drittländer)

Die Fälle werden im folgenden kurz aus Sicht eines europäischen Verarbeiters erläutert und Lösungsansätze zur rechtmäßigen Übertragung personenbezogener Daten vorgestellt.

1. Datenübertragung zwischen Länder innerhalb der EU

Werden personenbezogene Daten in Länder innerhalb der EU übertragen ist aus datenschutzrechtlicher Sicht keine weitere Tätigkeit notwendig. Alle Länder innerhalb der EU unterliegen der DSGVO.

Bottom line: Der Schutz personenbezogener Daten ausreichend geregelt  und können ohne Einschränkung übertragen werden.

2. Datenübertragung in Länder mit angemessenen Datenschutzniveau

Für Länder mit angemessenen Datenschutzniveau ist bei der Übertragung personenbezogener Daten in diese Länder keine weitere Maßnahme nötig. Diese Länder sind demnach privilegiert: Sie werden solchen innerhalb der EU gleichgestellt.

Aktuell haben folgende Länder ein angemessenes Datenschutzniveau (Offizielle EU-Liste Länder mit angemessenen Datenschutzniveau):

      • Andorra
      • Argentina
      • Canada
      • Färöer-Inseln
      • Guernsey
      • Israel
      • Isle of Man
      • Japan
      • Jersey
      • New Zealand
      • Republic of Korea
      • Switzerland
      • Vereinigte Königreich (im Rahmen der DSGVO und die LED)
      • United States (commercial organisations operating on EU-US data protection framework participate)
      • Uruguay

Bottom line: Personenbezogene Daten können solche Länder ohne weitere Einschränkung übertragen werden.

Whitepaper: Data protection at company sites and persons in the data protection organisation

Whitepaper: Verzeichnis der Verarbeitungstätigkeiten DSGVO-konform umsetzen

Part of the white paper on data protection at company sites & persons in the data protection organisation:

  • Get information on rechtlich zulässigen Datenübermittlungen
  • Lernen Sie mehr über die Data protection relevant consideration of different company locations
  • Learn DSGVO-compliant Möglichkeiten der Datenübermittlung in Drittländer Know
  • Get background information on the Market place principle, third country and group privilege
  • Learn which people Members of the data protection organisation are

Unfortunately this content is currently only available in German. Please feel free to contact us for more information.

External Data Protection Officer

Gern können Sie uns als external data protection officer (DPO) order. We also offer individual consulting services as well as audits and will be happy to provide you with a non-binding offer. You can find more information about our external data protection officers on our website.

Discover DSB services

Datenübertragungen in die Vereinigte Staaten von Amerika (USA)

Die USA werden erst seit Juli 2023 als Land mit angemessenem Datenschutzniveau anerkannt. Grund dafür ist das Inkrafttreten des EU-US Data Privacy Frameworks.

Es gibt eine Reihe von Möglichkeiten, um die Datenübertragung in die USA rechtssicher zu gestalten. Eine Möglichkeit ist, die Standard Contractual Clauses (SCC) der Europäischen Kommission zu verwenden. Die SCC sind ein Vertragsmuster, das Unternehmen bei der Übertragung personenbezogener Daten in Drittländer helfen soll. Die SCC bieten eine Reihe von Garantien für den Datenschutz, wie z. B. die Verpflichtung des Empfängers der Daten, die Daten nur für bestimmte Zwecke zu verwenden und sie vor unbefugtem Zugriff zu schützen.

Eine weitere Möglichkeit, die Datenübertragung in die USA rechtssicher zu gestalten, ist die Use of certification schemes such as the EU-US Privacy Shield. Das Privacy Shield ist ein Abkommen zwischen der Europäischen Union und den Vereinigten Staaten, das den Datenschutz bei der Übertragung personenbezogener Daten zwischen den beiden Regionen sicherstellen soll. Unternehmen, die am Privacy Shield teilnehmen, müssen strenge Datenschutzstandards einhalten und sich regelmäßig von einem unabhängigen Prüfer zertifizieren lassen.

In der Vergangenheit wurde der Transfer personenbezogener Daten durch das sogenannte Safe-Harbor-Abkommen zwischen der EU und den USA derart geregelt, dass personenbezogene Daten rechtskonform in die USA transferiert werden können. Das Safe-Harbor-Abkommen ist im Oktober 2015 vom Europäischen Gerichtshof für ungültig erklärt worden.

Aus diesem Grund wurde ein Nachfolgeabkommen beschlossen, das EU-US-Privacy-Shield. Das Privacy-Shield wurde im Juli 2016 durch die Europäische Kommission beschlossen und wurde am 16. Juli 2020 vom Europäischen Gerichtshof für unwirksam erklärt. Der Nachfolger ist das EU-US Data Privacy Framework, das sogenannte „Privacy Shield 2.0“.

Datenübertragung in Drittländer

Die Übertragung personenbezogener Daten in Drittländer ist grundsätzlich untersagt.  Eine Übertragung dieser Daten ist dennoch möglich, wenn spezielle Maßnahmen ergriffen werden.

Diese Maßnahmen sind:

  1. Implementation of company-wide guidelines that govern data protection within a company and its subsidiaries, so-called Binding Corporate Rules
  2. Die Nutzung durch die EU vorgegebener Verträge, sogenannter EU standard contractual clauses, um die Übertragung personenbezogener Daten mit Dritten Unternehmen zu regeln.
Prof. Dr. Andre Döring
Latest posts by Prof. Dr. Andre Döring (see all)

Das könnte Sie auch interessieren:

The EU-U.S. Data Privacy Framework

On 10 July 2023, the EU-U.S. Data Privacy Framework entered into force. All background information on the adequacy decision.
Read more

The Supply Chain Act (LkSG)

Das Lieferkettengesetz (LkSG) trat am 01.01.2023 in Kraft. Erfahren Sie im Beitrag die aktuellen Regelungen und Pflichten für Unternehmen.
Read more
IT security incident

What to do in the event of an IT security incident?

Das Wichtigste zum IT-Sicherheitsvorfall. Erfahren Sie im Beitrag praktische Tipps zur Erkennung und Behandlung von IT-Notfällen.
Read more