Das Institut für Datenschutz und IT-Recht informiert: So funktioniert internationaler Datenschutz

Das Institut für Datenschutz und IT-Recht informiert: So funktioniert internationaler Datenschutz
von Dr. Sebastian Kraska
Stand: 07.10.2009 4 min

In grenzüberschreitend tätigen Konzernen und Unternehmen gehört der internationale Datentransfer (insbesondere von Arbeitnehmer- und Kundendaten) zum alltäglichen Geschäft. Der folgende Beitrag gibt einen ersten Überblick der hierbei zu beachtenden datenschutzrechtlichen Vorgaben und erläutert was beachtet werden muss, sobald Daten die deutsche Grenze überschreiten.

 

Grundsatz des „angemessenen Datenschutzniveaus“

Gemäß der Datenschutzrichtlinie 2002/58/EG (in Ergänzung der Datenschutzrichtlinie 95/46/EG) und §§ 4 b, c BSDG können personenbezogene Daten in Drittstaaten nur bei Vorliegen eines „angemessenen Schutzniveaus“ übermittelt werden.

Dieses „angemessene Datenschutzniveau“ wird eingehalten, wenn den wesentlichen Datenschutzgrundsätzen der europäischen Datenschutzrichtlinien entsprochen wird.

1

Datenübermittlung ins EU-Ausland grundsätzlich zulässig

Von zentraler Bedeutung ist danach zunächst, ob personenbezogene Daten aus Deutschland an eine Stelle in einem anderen EU-Land (einschließlich Norwegen, Island und Liechtenstein) oder in das „EU-Ausland“ (so genannte „Drittländer“) übermittelt werden sollen. Insoweit dürfen personenbezogene Daten (soweit die Übermittlung im Übrigen zulässig ist) stets in ein anderes EU-Land übermittelt werden.

„Angemessenheitsentscheidungen“ der EU-Kommission

Daneben hat die EU-Kommission für die Länder Argentinien, Guernsey, Isle of Man, Jersey, Kanada und die Schweiz die Angemessenheit des dortigen Datenschutzniveaus verbindlich festgestellt. Auch in diese Länder dürfen daher grundsätzlich personenbezogene Daten übermittelt werden, ohne dass es einer näheren Befassung mit dem Datenschutzniveau dieser Länder bedarf.

Ausnahme USA: Die so genannten „Safe-Harbour-Principles“

Die USA haben aus Sicht des europäischen Normgebers kein angemessenes Datenschutzniveau. Um eine praktikable Lösung für die in der Praxis häufig vorkommende Übermittlung personenbezogener Daten in die USA sicherzustellen, wurden die so genannten Safe-Harbour-Principles (zu Deutsch „Grundsätze des sicheren Hafens“) entwickelt. Diese umfassen datenschutzrechtliche Vorgaben insbesondere hinsichtlich der Auskunfts- und Informationspflichten der Unternehmen, der Weitergabe und Sicherheit personenbezogener Daten, der Datenintegrität sowie der Durchsetzung datenschutzrechtlicher Ansprüche.

Amerikanische Unternehmen können diesen Prinzipen freiwillig beitreten, indem sie sich gegenüber amerikanischen Behörden zur Einhaltung der Safe-Harbour-Priciple verpflichten. Der Beitritt wird auf einer entsprechenden Liste des US-Handelsministeriums registriert, welche auch die Einhaltung der Safe-Harbour-Principles überwacht und einen Verstoß mit Strafen versieht. Durch die Eintragung in die Liste gehen die Unternehmen bindende rechtliche Verpflichtungen ein. Aus Sicht der europäischen Union besteht bei Beitritt zu diesen Safe-Harbour-Priciples auch insoweit (also bezüglich der beigetretenen Unternehmen) ein angemessenes Datenschutzniveau, so dass auch an diese Unternehmen dann grundsätzlich personenbezogene Daten übermittelt werden können.

Im Übrigen: Gestattung nach § 4 c Abs. 1 BDSG

Liegt keine der vorgenannten Ausnahmen vor kann eine Datenübermittlung in ein Drittland auch dann erfolgen, wenn § 4 c Abs. 1 BDSG einschlägig ist. Dieser nennt dabei insbesondere folgende (restriktiv auszulegenden) Gestattungsmöglichkeiten:

  • Der Betroffene hat seine Einwilligung gegeben.
  • Die Übermittlung ist zu Vertragserfüllung notwendig und/oder liegt im Interesse des Betroffenen.
  • Die Übermittlung ist für die Wahrung eines wichtigen öffentlichen Interesses, zur Geltendmachung von Rechtsansprüchen oder zur Wahrung lebenswichtiger Interessen erforderlich.

Dabei ist die Stelle, an die die Daten übermittelt werden, immer darauf hinzuweisen, dass die übermittelten Daten nur zu dem Zweck verarbeitet oder genutzt werden dürfen, zu dessen Erfüllung sie übermittelt werden.

Letzte Möglichkeit: Vertragliche Sicherstellung des angemessenen Datenschutzniveaus

Greifen auch die Tatbestände des § 4 c Abs. 1 BDSG nicht verbleibt dem deutschen Unternehmen noch die Möglichkeit, ein angemessenes Datenschutzniveau und die Wahrung der Rechte der von der Übermittlung betroffenen Personen vertraglich zu wahren. Dies kann durch Einzelverträge zwischen dem deutschen und dem ausländischen Unternehmen geschehen. Die Europäische Kommission hat hierfür drei so genannte „Standardverträge“ geprüft, die nach Entscheidung der Kommission eine ausreichende Grundlage für eine datenschutzrechtlich zulässige Übermittlung personenbezogener Daten gewährleisten.

Leitfaden für die Auslandsübermittlung

Insofern gelten die folgenden Prinzipien:

  • Innerhalb der EU (einschließlich Norwegen, Island und Liechtenstein) kann man aufgrund der harmonisierten Datenschutzgesetze von dem gleichen Datenschutzniveau wie in der Bundesrepublik ausgehen. Länder außerhalb der EU mit einem vergleichbaren angemessenen Datenschutzniveau sind zudem Argentinien, Guernsey, Isle of Man, Jersey, Kanada und die Schweiz. In dieser Länder dürfen personenbezogene Daten grundsätzlich übermittelt werden.
  • Ausnahmsweise dürfen personenbezogene Daten auch an Unternehmen in die USA (als Land ohne angemessenem Datenschutzniveau) übermittelt werden, wenn sich das jeweilige Unternehmen den Safe-Harbour-Principles unterworfen hat.
  • Im Übrigen dürfen personenbezogene Daten nur übermittelt werden, wenn ausnahmsweise gemäß § 4 c Abs. 1 BDSG eine Übermittlung trotz unangemessenen Datenschutzniveaus zulässig ist, oder sich das die personenbezogene Daten erhaltende Unternehmen im Ausland in so genannten Standardverträgen zur Einhaltung bestimmter Datenschutzvorschriften verpflichtet hat.

Fazit

Bei der Übermittlung personenbezogener Daten außerhalb der EU besteht für europäische Unternehmen grundsätzlich Handlungsbedarf, um Streitigkeiten mit den Datenschutz-Aufsichtsbehörden zu vermeiden. Je nach Einzelfall muss durch Zertifizierung der Gegenseite (bei US-Unternehmen) oder dem Abschluss von Datenschutz-Verträgen sichergestellt werden, dass ein aus europäischer Sicht angemessenes Datenschutzniveau gewährleistet wird, wenn keine Ausnahme nach § 4 c Abs. 1 BDSG einschlägig ist.

Tipp: Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .

Bildquelle: © shoot4u - Fotolia.com

Link kopieren

Als PDF exportieren

Drucken

|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

0 Kommentare

Beiträge zum Thema

Neues Schweizer Datenschutzgesetz ab 1. September 2023: Neue Informationspflichten für Händler
(25.08.2023, 14:25 Uhr)
Neues Schweizer Datenschutzgesetz ab 1. September 2023: Neue Informationspflichten für Händler
US-Datentransfers bei Google Analytics & Co: Hoffnungsschimmer?
(01.12.2022, 08:05 Uhr)
US-Datentransfers bei Google Analytics & Co: Hoffnungsschimmer?
CH-Händler aufgepasst: Neues Schweizer Datenschutzgesetz frühestens zum September 2023
(12.07.2022, 07:46 Uhr)
CH-Händler aufgepasst: Neues Schweizer Datenschutzgesetz frühestens zum September 2023
Datenschutz im Web 2.0: Wann gilt das deutsche Bundesdatenschutzgesetz?
(14.03.2012, 07:01 Uhr)
Datenschutz im Web 2.0: Wann gilt das deutsche Bundesdatenschutzgesetz?
Datenschutz in Dubai: das “DIFC Data Protection Law”
(07.09.2011, 08:37 Uhr)
Datenschutz in Dubai: das “DIFC Data Protection Law”
USA-Datenschutz nach Safe Harbor: Änderungen nach Entscheidung der Aufsichtsbehörden
(28.07.2010, 11:56 Uhr)
USA-Datenschutz nach Safe Harbor: Änderungen nach Entscheidung der Aufsichtsbehörden
Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder

Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.

Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.

Ihre IT-Recht Kanzlei
Vielen Dank!

Fragen oder Anregungen?

Kontaktieren Sie uns:
IT-Recht Kanzlei
Kanzlei Keller-Stoltenhoff, Keller
Alter Messeplatz 2
Tel.: +49 (0)89 / 130 1433-0
Fax: +49 (0)89 / 130 1433-60
E-Mail: info@it-recht-kanzlei.de
© 2004-2024 · IT-Recht Kanzlei