Wir haben bereits gelernt, dass wir eine Rechtsgrundlage finden müssen, wenn personenbezogene Daten verarbeitet bzw. weitergegeben werden. Ebenso ist die betroffene Person über alle Umstände der Datenverarbeitung zu informieren. Soweit nichts Neues.
Hinzu kommt eine Besonderheit, falls Daten in einem Drittland verarbeitet bzw. an ein Unternehmen in einem Drittland übermittelt werden.
Welche Länder sind Drittländer?
Mit Drittländern sind nicht etwa andere Länder der EU gemeint (z. B. Spanien, Polen, aktuell noch das Vereinigte Königreich), denn in all diesen Ländern gilt die DSGVO gleichermaßen und es herrscht damit ein vergleichbares Datenschutzniveau.
Unter einem Drittland versteht die DSGVO vielmehr ein Land außerhalb der EU bzw. des EWR (EWR steht für Europäischer Wirtschaftsraum und umfasst die EU-Länder + Norwegen, Island, Liechtenstein). Drittland ist demnach z. B. die Schweiz, die USA, Kanada, Australien oder Südafrika.
Die Datenübermittlung an eines dieser Drittländer bedarf gem. Art. 44 DSGVO einer besonderen Voraussetzung. Die hier in Frage kommenden Voraussetzungen sollen nachfolgend möglichst verständlich erklärt werden.
Voraussetzungen für Datenübermittlung
1. Angemessenheitsbeschluss
Mit einem sogenannten Angemessenheitsbeschluss bestätigt die EU-Kommission, dass ein bestimmtes Drittland ein angemessenes Datenschutzniveau bietet. Das Drittland ist damit sicher und eine Datenübermittlung zulässig. Unter den Drittländern mit Angemessenheitsbeschluss sind bekannte Staaten wie Kanada, die USA, Neuseeland, die Schweiz oder Israel, aber auch Exoten (Steueroasen) wie Jersey oder Isle of Man.
Besonderheit USA: Privacy-Shield
Bei einer Datenübermittlung in die USA muss das Daten empfangende Unternehmen zusätzlich dem sogenannten EU-US Privacy Shield angehören. Alle nach dem EU-US Privacy Shield zertifizierten Unternehmen hat das US Handelsministerium aufgelistet. In der Liste findet man viele bekannte US-Unternehmen wie Google, Facebook oder Amazon.
2. Geeignete Garantien
Sollte kein Angemessenheitsbeschluss bestehen bzw. ein US-Unternehmen nicht nach dem EU-US Privacy Shield zertifiziert sein, braucht es andere Voraussetzungen zur Datenübermittlung – sogenannte geeignete Garantien.
Geeignete Garantien können gem. Art. 46 Abs. 2 DSGVO unter Anderem sein:
- von einer Aufsichtsbehörde akzeptierte Standardvertragsklauseln
- Binding Corporate Rules für unternehmensinterne Datentransfers
- genehmigte Verhaltensregeln
- Zertifizierungen
Nehmen Sie das erstmal nur zur Kenntnis. Sie werden mit geeigneten Garantien eher selten zu tun haben.
Praxisbeispiel Datenübermittlung an ein Drittland
Dass die Datenübermittlung an ein Drittland häufiger vorkommt, als von Ihnen vielleicht zunächst angenommen, möchte ich Ihnen nun verdeutlichen.