Drittlandtransfer unter der Datenschutz-Grundverordnung

Franziska Ladiges - 09. August 2017 - EU-DSGVO

Bislang war die Übermittlung von personenbezogenen Daten in ein Drittland eines der schwierigsten und meist umstrittenen Themen im Datenschutz. Aufgrund der Annahme, dass Drittstaaten grundsätzlich kein angemessenes Datenschutzniveau haben, ändert sich für Unternehmen auch unter der EU-DSGVO die Komplexität. Was Unternehmen in diesem Zusammenhang beachten sollten, möchten wir Ihnen in folgendem Beitrag aus unserer Serie zur Datenschutz-Grundverordnung näher erläutern.

Die Regelungen der EU-DSGVO zum Drittlandtransfer stimmen zum großen Teil mit den bestehenden Regeln nach dem BDSG überein. Insbesondere gilt der bislang geltende Grundsatz, dass neben dem Vorhandensein einer einschlägigen Rechtsgrundlage für die Übermittlung sichergestellt werden muss, dass bei der empfangenden Stelle ein angemessenes Datenschutzniveau existiert. 

Von einem angemessenen Datenschutzniveau kann in den folgenden Fällen ausgegangen werden:

  • Existenz eines Angemessenheitsbeschlusses der EU-Kommission
  • Verwendung von Standardvertragsklauseln
  • Existenz von genehmigten Binding Corporate Rules
  • Vorliegen einer Einzelgenehmigung einer Aufsichtsbehörde

Kann demnach ein angemessenes Datenschutzniveau nicht festgestellt werden, ist zu prüfen, ob der Datentransfer aufgrund der nachfolgenden Erwägungen ausnahmsweise trotzdem zulässig ist:

  • Einwilligung der betroffenen Person nach Aufklärung über die spezifischen Risiken der Datenübermittlung in ein Drittland
  • Erforderlichkeit der Übermittlung für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person
  • Erforderlichkeit der Übermittlung zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einem Dritten geschlossenen Vertrags
  • Erforderlichkeit der Übermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen

Anhand dieser Aufzählung ist zu erkennen, dass sich die Voraussetzungen für den Drittlandtransfer nicht wirklich ändern. Neu ist lediglich, dass die EU-Kommission künftig Angemessenheitsbeschlüsse auch auf ein Gebiet oder spezifische Sektoren in dem Drittland beschränken kann. Zudem sollen Angemessenheitsbeschlüsse mindestens alle vier Jahre einer Kontrolle durch die EU-Kommission unterzogen werden.


Was passiert mit existierenden Angemessenheitsbeschlüssen?

Zu Recht stellt sich die Frage, wie ab Mai 2018 mit bereits existierenden Angemessenheitsbeschlüssen umzugehen ist. Hier kann beruhigt werden. Diese bleiben auch nach Mai 2018 in Kraft bis sie im Rahmen der regelmäßigen Überprüfung geändert, ersetzt oder aufgehoben werden. Wichtig ist es zu wissen, dass eine mögliche Aufhebung eines Angemessenheitsbeschlusses nur für die Zukunft gilt. Die bis zur Aufhebung durchgeführten Datentransfers bleiben selbstverständlich rechtmäßig.


Was ist zu tun, um sich optimal vorzubereiten?

Um in Anbetracht der deutlich erhöhten Bußgelder sicherzustellen, dass personenbezogene Daten rechtmäßig in ein Drittland übermittelt werden, sollten Unternehmen

  • bestehende Datenflüsse in ein Drittland analysieren (dabei dürfen Cloud-Dienstleister oder Newsletterversandanbieter nicht übersehen werden),
  • prüfen, ob der Transfer aufgrund einer Rechtsgrundlage zulässig ist und
  • bei Bedarf entsprechende Verträge mit den Dienstleistern abschließen.


Fazit

Der Mai 2018 macht nicht alles neu. Im Bereich des Drittlandtransfers kann auf bekannte Regelungen zurückgegriffen werden. Trotzdem sollten Unternehmen ihre bestehenden Datenflüsse auf Rechtmäßigkeit kontrollieren.

Im nächsten Beitrag dieser Serie werden wir kurz die neuen Betroffenenrechte und den daraus resultierenden Handlungsbedarf für Unternehmen vorstellen.


Über die Autorin: 
Franziska Ladiges berät IT-Dienstleister sowie IT-Anwender in den Bereichen der Vertragsgestaltung und Konfliktbewältigung. Weitere Schwerpunkte ihrer Tätigkeit sind das Internet-Recht und das Datenschutzrecht. Hier berät Franziska Ladiges bei der rechtswirksamen Gestaltung des Internetauftritts, bei der Umsetzung des Verbraucherschutzes und Maßnahmen zur Sicherstellung einer wirksamen Datenschutz-Compliance. Daneben betreut sie Mandanten in allen Fragen des Prozessrechts und vertritt diese in gerichtlichen Auseinandersetzungen.

Frau Ladiges steht Ihnen für Fragen gerne persönlich zur Verfügung unter: Tel.: +49 69 63 00 01-0, E-Mail: f.ladiges@skwschwarz.de, SKW Schwarz Rechtsanwälte, Mörfelder Landstraße 117, 60598 Frankfurt am Main


Praxisrelevante Tipps für Führungskräfte, Entscheider und Spezialisten

Archiv

2018 (24)
August (2) Juli (4) Juni (5) Mai (2) April (8) März (1) Februar (1) Januar (1)
2017 (20)
Dezember (2) November (1) Oktober (1) September (1) August (2) Juli (3) Juni (3) Mai (3) April (3) März (1)