Welche Vorschriften gelten, wenn meine Organisation Daten nach außerhalb der EU übermittelt?

Antwort

In der heutigen globalisierten Welt gibt es eine Vielzahl an grenzüberschreitenden Übermittlungen personenbezogener Daten, die manchmal auf Servern in verschiedenen Ländern gespeichert werden. Der durch die Datenschutz-Grundverordnung gewährte Schutz „reist“ mit den Daten, d. h., dass die Vorschriften zum Schutz personenbezogener Daten weiterhin gelten, egal wohin die Daten letztendlich übermittelt werden. Dies gilt auch, wenn Daten in ein Land, das nicht Mitglied der EU ist („Drittland“), übermittelt werden.

Die Datenschutz-Grundverordnung liefert verschiedene Instrumente, die einen Rahmen für Datenübermittlungen von der EU in ein Drittland bilden:

• Mittels eines Beschlusses der Europäischen Kommission („Angemessenheitsbeschluss“) kann für ein Drittland manchmal entschieden werden, dass es ein angemessenes Schutzniveau bietet, das heißt, Daten können an ein anderes Unternehmen in diesem Drittland übermittelt werden, ohne dass der Datenexporteur verpflichtet ist, weitere Garantien zu liefern oder zusätzliche Bedingungen zu erfüllen. Mit anderen Worten werden Übermittlungen in ein „angemessenes“ Drittland an eine Übermittlung von Daten innerhalb der EU angepasst.
• Falls kein Angemessenheitsbeschluss vorliegt, kann eine Übermittlung durch die Bereitstellung geeigneter Garantien und unter der Voraussetzung, dass den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen, stattfinden. Die geeigneten Garantien können unter anderem Folgendes umfassen:
  • im Fall von Konzernen oder Unternehmensgruppen, die eine gemeinsame Wirtschaftstätigkeit ausüben, können Unternehmen personenbezogene Daten auf der Grundlage sogenannter verbindlicher interner Datenschutzvorschriften übermitteln;
  • vertragliche Vereinbarungen mit dem Empfänger der personenbezogenen Daten zum Beispiel mithilfe von Standardvertragsklauseln, die von der Europäischen Kommission genehmigt wurden;
  • die Einhaltung von Verhaltensregeln oder Zertifizierungsverfahren zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Empfängers, geeignete Garantien zum Schutz der übermittelten Daten anzuwenden.
• Wenn die Übermittlung personenbezogener Daten in ein Drittland beabsichtigt wird, das keinem Angemessenheitsbeschluss unterliegt, und geeignete Garantien fehlen, kann eine Übermittlung auf der Grundlage von Ausnahmen in bestimmten Fälle stattfinden, zum Beispiel wenn die betroffene Person ausdrücklich in die vorgeschlagene Datenübermittlung eingewilligt hat, nachdem sie über die für sie bestehenden möglichen Risiken ausreichend unterrichtet wurde.

Beispiel

Sie sind ein französisches Unternehmen, das seine Dienste auf Südamerika, besonders Argentinien, Uruguay und Brasilien, ausweiten will. Der erste Schritt wäre zu überprüfen, ob diese Drittländer einem Angemessenheitsbeschluss unterliegen. In diesem Beispielsfall wurden sowohl Argentinien als auch Uruguay für angemessen erklärt. Sie könnten ohne zusätzliche Garantien personenbezogene Daten in diese beiden Drittländer übermitteln, während Sie für Übermittlungen nach Brasilien, das keinem Angemessenheitsbeschluss unterliegt, angemessene Garantien liefern müssten.

Referenzen

• Kapitel V (Artikel 44-50); Erwägungsgründe 101-116
• Die neuesten Leitlinien zu internationalen Übermittlungen
  • Leitlinien zur Angemessenheit des Schutzes
  • EDSA-Leitlinien zu verbindlichen unternehmensinternen Datenschutzregelungen für Verantwortliche
  • Leitlinien zu verbindlichen unternehmensinternen Datenschutzregelungen für Auftragsverarbeiter
• Siehe als Referenz die Mitteilung der Europäischen Kommission zum Austausch und Schutz personenbezogener Daten in einer globalisierten Welt, 10. Januar 2017²

²COM(2017) 7 final

You're a French company intending to expand its services to South America, notably Argentina, Uruguay and Brazil. The first step would be to check whether those third countries are subject to an Adequacy Decision. In this case, both Argentina and Uruguay have been declared adequate. You’d be able to transfer personal data to those two third countries without any additional safeguards while for transfers to Brazil which is not the subject of Adequacy Decision, you’ll have to frame your transfers by providing appropriate safeguards.

• Chapter V, Articles (44 to 50) and Recitals (101) to (116) of the GDPR
• EDPB's latest guidelines on International transfers:
  • EDPB guidelines on Adequacy Referential
  • EDPB guidelines on Binding Corporate Rules for Controllers
  • EDPB guidelines on Binding Corporate Rules for Processors
• See also for reference the European Commission Communication on Exchanging and Protecting Personal Data in a Globalised World1, 10 January 2017

1 COM(2017)7 final