Datentransfer in die Drittländer – was ist zu beachten?
Beim Datentransfer in Drittländer, also Länder außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR), gelten besondere Regelungen und Vorsichtsmaßnahmen, um den Schutz personenbezogener Daten zu gewährleisten. Die Datenschutz-Grundverordnung (DSGVO) enthält spezifische Bestimmungen für den Datentransfer in Drittländer, um sicherzustellen, dass ein angemessenes Datenschutzniveau gewährleistet ist.
Grundsätzlich ist der Datentransfer in Drittländer nur zulässig, wenn das betreffende Land ein angemessenes Datenschutzniveau bietet. Die DSGVO definiert jedoch nicht explizit, was als angemessenes Datenschutzniveau gilt.
Stattdessen gibt es verschiedene Mechanismen und Instrumente, die verwendet werden können, um den Datentransfer in Drittländer zu ermöglichen:
-
Angemessenheitsbeschluss
Die Europäische Kommission kann einen Angemessenheitsbeschluss erlassen, der feststellt, dass ein bestimmtes Drittland ein angemessenes Datenschutzniveau bietet. In diesem Fall kann der Datentransfer ohne weitere Maßnahmen erfolgen. Derzeit gibt es Angemessenheitsbeschlüsse für einige Länder wie beispielsweise Kanada, die Schweiz und Japan.
-
Standardvertragsklauseln
Wenn es keinen Angemessenheitsbeschluss gibt, kann man Standardvertragsklauseln verwenden. Dies sind von der Europäischen Kommission genehmigte Vertragsvorlagen, die zwischen dem Datenexporteur und dem Datenimporteur abgeschlossen werden. Sie enthalten bestimmte Datenschutzbestimmungen, die den Schutz personenbezogener Daten gewährleisten sollen.
-
Binding Corporate Rules (BCR)
Multinationale Unternehmen können interne Datenschutzregeln aufstellen, um den Datentransfer innerhalb der Unternehmensgruppe in Drittländer zu ermöglichen. Diese Regeln werden als BCR bezeichnet. Die Datenschutz-Aufsichtsbehörden müssen diese Regeln genehmigen, um sicherzustellen, dass ein angemessenes Datenschutzniveau gewährleistet ist.
-
Zertifizierungsmechanismen
Die DSGVO sieht die Möglichkeit vor, dass Unternehmen sich zertifizieren lassen können, um den Datentransfer in Drittländer zu erleichtern. Die Zertifizierung bestätigt, dass das Unternehmen bestimmte Datenschutzstandards einhält.
Es ist wichtig zu beachten, dass der Datentransfer in Drittländer auch unter bestimmten Bedingungen ohne zusätzliche Maßnahmen erfolgen kann. Zum Beispiel, wenn die betroffene Person ausdrücklich in den Datentransfer eingewilligt hat oder wenn der Datentransfer zur Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist.
Die nationalen Datenschutz-Aufsichtsbehörden überwachen die Einhaltung der Gesetze und die Durchsetzung Ihrer Rechte in Bezug auf den Datentransfer in Drittländer. Diese Behörden haben die Befugnis, Untersuchungen durchzuführen, Bußgelder zu verhängen und Maßnahmen zur Durchsetzung der DS-GVO zu ergreifen. Es ist wichtig, dass Sie Ihre Rechte kennen und bei Bedarf Ihre Datenschutz-Aufsichtsbehörde.