Antwort

In der heutigen globalisierten Welt gibt es eine Vielzahl an grenzüberschreitenden Übermittlungen personenbezogener Daten, die manchmal auf Servern in verschiedenen Ländern gespeichert werden. Der durch die Datenschutz-Grundverordnung gewährte Schutz „reist“ mit den Daten, d. h., dass die Vorschriften zum Schutz personenbezogener Daten weiterhin gelten, egal wohin die Daten letztendlich übermittelt werden. Dies gilt auch, wenn Daten in ein Land, das nicht Mitglied der EU ist („Drittland“), übermittelt werden.

Die Datenschutz-Grundverordnung liefert verschiedene Instrumente, die einen Rahmen für Datenübermittlungen von der EU in ein Drittland bilden:

  • Mittels eines Beschlusses der Europäischen Kommission („Angemessenheitsbeschluss“) kann für ein Drittland manchmal entschieden werden, dass es ein angemessenes Schutzniveau bietet, das heißt, Daten können an ein anderes Unternehmen in diesem Drittland übermittelt werden, ohne dass der Datenexporteur verpflichtet ist, weitere Garantien zu liefern oder zusätzliche Bedingungen zu erfüllen. Mit anderen Worten werden Übermittlungen in ein „angemessenes“ Drittland an eine Übermittlung von Daten innerhalb der EU angepasst.
  • Falls kein Angemessenheitsbeschluss vorliegt, kann eine Übermittlung durch die Bereitstellung geeigneter Garantien und unter der Voraussetzung, dass den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen, stattfinden. Die geeigneten Garantien können unter anderem Folgendes umfassen:
    • im Fall von Konzernen oder Unternehmensgruppen, die eine gemeinsame Wirtschaftstätigkeit ausüben, können Unternehmen personenbezogene Daten auf der Grundlage sogenannter verbindlicher interner Datenschutzvorschriften übermitteln;
    • vertragliche Vereinbarungen mit dem Empfänger der personenbezogenen Daten zum Beispiel mithilfe von Standardvertragsklauseln, die von der Europäischen Kommission genehmigt wurden;
    • die Einhaltung von Verhaltensregeln oder Zertifizierungsverfahren zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Empfängers, geeignete Garantien zum Schutz der übermittelten Daten anzuwenden.
  • Wenn die Übermittlung personenbezogener Daten in ein Drittland beabsichtigt wird, das keinem Angemessenheitsbeschluss unterliegt, und geeignete Garantien fehlen, kann eine Übermittlung auf der Grundlage von Ausnahmen in bestimmten Fälle stattfinden, zum Beispiel wenn die betroffene Person ausdrücklich in die vorgeschlagene Datenübermittlung eingewilligt hat, nachdem sie über die für sie bestehenden möglichen Risiken ausreichend unterrichtet wurde.

Beispiel

Sie sind ein französisches Unternehmen, das seine Dienste auf Südamerika, besonders Argentinien, Uruguay und Brasilien, ausweiten will. Der erste Schritt wäre zu überprüfen, ob diese Drittländer einem Angemessenheitsbeschluss unterliegen. In diesem Beispielsfall wurden sowohl Argentinien als auch Uruguay für angemessen erklärt. Sie könnten ohne zusätzliche Garantien personenbezogene Daten in diese beiden Drittländer übermitteln, während Sie für Übermittlungen nach Brasilien, das keinem Angemessenheitsbeschluss unterliegt, angemessene Garantien liefern müssten.

Referenzen

  • Kapitel V, Artikel 44 bis 50 und Erwägungsgründe 101 bis 116 der Datenschutz-Grundverordnung
  • Die neuesten Arbeitsdokumente zu internationalen Übermittlungen der Artikel-29-Datenschutzgruppe:
    • Arbeitsdokument zur Angemessenheit des Schutzes (Aktualisierung von Kapitel 1 von WP 12), WP 254
    • Arbeitsdokument mit einer Übersicht über die Bestandteile und Grundsätze verbindlicher unternehmensinterner Datenschutzregelungen, WP 256
    • Arbeitsdokument mit einer Übersicht über die Bestandteile und Grundsätze verbindlicher unternehmensinterner Datenschutzregelungen für Auftragsverarbeiter, WP 257
  • Siehe auch die Mitteilung der Europäischen Kommission zum Austausch und Schutz personenbezogener Daten in einer globalisierten Welt1, 10. Januar 2017

1 KOM(2017) 7 endgültig.