DSGVO – Datentransfer ins Ausland

Die Übermittlung von personenbezogenen Daten in Drittstaaten wird auch weiterhin nach Inkrafttreten der DSGVO problematisch bleiben. Durch nicht angemessene Datenschutzniveau ist das Risiko zu hoch, einen Datentransfer ins Ausland vorzunehmen, da die Sicherheitsmechanismen häufig nicht europäisches Niveau erreichen. Ausnahmen können auch weiterhin von der EU-Kommission genehmigt werden.

Aktuelle Handhabung bei Datentransfer auch bei DSGVO wirksam?

Bereits entwickelte Regelungen aus der Datenschutz-Richtlinie bestehen auch in der DSGVO fort. Solange eine Rechtsgrundlage für einen Datentransfer gegeben ist, kann mit den bestehenden Instrumentarien auch ein Transfer in ein Drittstaat stattfinden. Aktuelle Mechanismen für ein angemessenes Datenschutzniveaus werden häufig ausgeführt:

  • EU-Standardverträge: Dies sind Verträge der EU-Kommission. Sie geben Klauseln vor, die nicht verändert werden dürfen.
  • Sog. Binding Corporate Rules (BCR): Unternehmen in einem Drittstaat können sich zur Anhebung des Datenschutzniveaus selbst Vorschriften zum Umgang mit personenbezogenen Daten erteilen.

Andere aktuell von der Datenschutz-Richtlinie geregelte Mechanismen der Datenübermittlung bleiben anwendbar. Aufgrund von Einwilligungen oder aufgrund von Pflichten zur Erfüllung von Verträgen bleibt der Transfer von personenbezogenen Daten in Drittstaaten nach Art. 49 DSGVO möglich. Auch werden bis zu einem nach der DSGVO neu festgelegten Prüfverfahren bestehende von der EU-Kommission erlassene Beschlüssene für Drittstaaten weitergelten.

Was bringt die DSGVO also Neues?

Die DSGVO bringt Neuerungen hinsichtlich des Datentransfer mit.

  • So können für ein Drittstaat einzelne Gebiete in einem Drittstaat als vom Datenschutzniveau passend angesehen werden. Somit würde eine Übermittlung ohne weitere Maßnahmen an Stellen in diesen Gebieten ohne weiteres möglich sein.
  • Die Binding Corporate Rules sind in Art. 47 DSGVO zu finden. Alle nötigen Voraussetzungen zur Festlegung einen Datenschutzniveaus sind dort erörtert.
  • Datentransfers wären auch zulässig, wenn

„die Übermittlung nicht wiederholt erfolgt, nur eine begrenzte Zahl von betroffenen Personen betrifft, für die Wahrung der zwingenden berechtigten Interessen des für die Verarbeitung Verantwortlichen erforderlich ist, sofern die Interessen oder die Rechte und Freiheiten der betroffenen Person nicht überwiegen, und falls der für die Verarbeitung Verantwortliche alle Umstände der Datenübermittlung beurteilt und auf der Grundlage dieser Beurteilung geeignete Garantien in Bezug auf den Schutz personenbezogener Daten vorgesehen hat.“

  • Voraussetzung dafür ist aber, dass die betroffene Person bzw. die Personen sowie die Aufsichtsbehörde eine Mitteilung über den Transfer erhalten.
  • Nach erfolgter Genehmigung kann ein Transfer möglich sein, wenn zuvor bestimmte Verhaltensregeln nach Art. 40 DSGVO oder auch eine Zertifizierung des Unternehmens vorgenommen wurde.

Wie bereiten Sie sich als Unternehmen nun vor?

Bis zum 25. Mai 2018 ist es nicht mehr lange hin. Von daher treffen Sie schon jetzt Vorkehrungen.

  1. Finden Sie Ihre Datenflüsse des Unternehmens heraus, vor allem die, die in einen Drittstaat gehen.
  2. Stellen Sie sicher, dass eine Rechtsgrundlage besteht und betrachten Sie das Datenschutzniveau. Sollte dies nicht ausreichend sein, stellen Sie sicher, dass es angepasst wird.
  3. Überarbeiten Sie Ihre Datentransferwege. Schauen Sie, welche Möglichkeit für Sie den größten Vorteil bringt.