Österreich: Neues EU-Datenschutzrecht: Datenübermittlung in ein Drittland

Internationale Geschäfte sind häufig mit der Übermittlung personenbezogener Daten außerhalb der Grenzen des Staates verbunden. Dies ist beispielsweise der Fall, wenn die Daten auf einem Server in einem Drittland, dh an ein Land außerhalb des EWR, gespeichert werden oder ein IT-Unternehmen aus einem Drittland während der Erbringung seiner Dienstleistungen Zugang zu den Daten eines europäischen Unternehmens hat. Sollten die Daten an ein Drittland übermittelt werden, müssen besondere Regelungen der DSGVO eingehalten werden.

Angemessenheitsbeschluss

Die EU-Kommission kann in einem Angemessenheitsbeschluss entscheiden, ob ein angemessenes Schutzniveau in dem betreffenden Empfängerland gewährleistet ist. Bisher hat die Kommission Andorra, Argentinien, Färör Inseln, Guernsey, Jersey, Kanada, Israel, Isle of Man, die Schweiz, Neuseeland und Uruguay freigegeben. Datenübermittlung in diese Länder gilt als eine EU-interne Übermittlung.

Ein ähnlicher Beschluss liegt über den EU-US-Datenschutzschildes ('EU-US Privacy Shield') mit den USA vor. Wird ein amerikanisches Unternehmen im Rahmen dieses Datenschutzschildes zertifiziert, ist die Datenübermittlung an dieses Unternehmen grundsätzlich genehmigungsfrei.

Sonstige geeignete Garantien

Falls kein Angemessenheitsbeschluss vorliegt, kann die Datenübermittlung in ein Drittland nur genehmigungsfrei erfolgen, sofern geeignete Garantien und den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zustehen. Ansonsten ist in der Regel eine besondere Genehmigung der Aufsichtsbehörde einzuholen. Als geeignete Garantien gelten vor allem die folgenden:

  • Verbindliche interne Datenschutzregelungen

Verbindliche interne Datenschutzregelungen (Binding Corporate Rules ‘BCR‘) sind Regelungen, die durch in einer Unternehmens-gruppe verbundene Unternehmen in einem oder mehreren Drittländern angewendet werden. Die BCR müssen für alle betreffenden Mitglieder der Unternehmensgruppe rechtlich bindend sein, durch die zuständige Aufsichtsbehörde genehmigt werden und die datenschutz-rechtlichen Mindestanforderungen erfüllen.

  • Standarddatenschutzklauseln

Datenübermittlung in ein Drittland kann auch aufgrund Mustervertragsbestimmungen erfolgen, die (i) durch die Kommission erlassen oder (ii) durch eine Aufsichtsbehörde erlassen und von der Kommission genehmigt worden sind. Die Kommission hat bereits 2001, 2004 und 2010 derartige Musterverträge für Übermittlungen zwischen Verantwortlichen oder einem Verantwortlichen und einem Auftragsverarbeiter erlassen, die aber die neuen Anforderungen der DSGVO nicht ganz erfüllen.

  • Genehmigte Verhaltensregeln

Verbände und sonstige Institutionen können Verhaltensregeln für die von ihnen vertretenen Unternehmen erlassen, die auch als Grundlage für Datenübermittlungen dienen können, wenn sie von der Aufsichtsbehörde genehmigt werden.

  • Genehmigter Zertifizierungsmechanismus

Die DSGVO fördert die Gestaltung von datenschutzrechtlichen Zertifizierungsmecha-nismen mit der Errichtung von Gremien die für das Audit und die Zertifizierung von DSGVO-Konformität akkreditiert sind.

Abweichungen

Mangels eines Angemessenheitsbeschlusses oder geeigneten Garantien, können Daten auch dann übermittelt werden, wenn (i) die betroffene Person über die möglichen Risiken der vorgeschlagenen Datenübermittlungen unterrichtet wurde und ausdrücklich eingewilligt hat. Datenübermittlungen sind – unter anderem – auch ohne Einzelgenehmigung zulässig, wenn (ii) die Übermittlung für den Abschluss oder die Erfüllung eines mit dem Betroffenen oder im Interesse des Betroffenen geschlossenen Vertrags oder (iii) für die Wahrung wesentlicher Interessen des Betroffenen oder (iv) für die Begründung, Geltendmachung oder Abwehr von Klagen erforderlich ist.

Bei weiteren Fragen stehen die KollegInnen der jeweiligen Standorte jederzeit gerne zur Verfügung.

Weitere Artikel zum Themenschwerpunkt „Datenschutzgrundverordnung 2018“