Niedersachen klar Logo

Datenaustausch ohne Grenzen?

  Bildrechte: Adobe Stock, Blue Planet Studio
internationaler Datenverkehr

Die Globalisierung des Welthandels und weltweite Konzernstrukturen tragen dazu bei, dass der grenzüberschreitende Datenverkehr und die Übermittlung personenbezogener Daten an Drittstaaten enorm an Bedeutung gewonnen haben. Darüber hinaus haben sich digitale IT-Infrastrukturen etabliert, in denen Ressourcen oder Support-Dienstleistungen nicht mehr lokal, sondern grenzüberschreitend verarbeitet werden.

Wegen des in der Europäischen Union bestehenden hohen Datenschutzniveaus ist eine Datenübermittlung in ein Drittland außerhalb der EU bzw. des Europäischen Wirtschaftsraums (EWR) nicht ohne Weiteres zulässig. Nach den Regelungen zur Drittstaatenübermittlung (Art. 44 ff. DS-GVO) dürfen personenbezogene Daten nur dann in Drittstaaten transferiert werden, wenn Verantwortliche und Auftragsdatenverarbeiter die im Kapitel V festgelegten Voraussetzungen erfüllen und auch die übrigen Grundsätze der DS-GVO eingehalten werden, damit das durch die DS-GVO gewährleistete Schutzniveau nicht untergraben wird.

Zulässig ist eine Datenübermittlung, wenn ein angemessenes Schutzniveau durch die Europäische Kommission bestätigt worden ist. Andernfalls sind geeignete Garantien vorzusehen. Außerdem müssen durchsetzbare Rechte und wirksame Rechtsbehelfe verfügbar seien, u. a.:

  • Standardvertragsklauseln, die von der Kommission erlassen wurden (Art. 46 Abs. 2 Buchstabe c DS-GVO),
  • unternehmensinterne Datenschutzvorschriften, sogenannte Binding Corporate Rules (Art. 46 Abs. 2 Buchstabe b i.V.m. Art. 47 DS-GVO) oder
  • genehmigte Verhaltensregeln, sogenannte Codes of Conduct (Art. 46 Abs. 2 Buchstabe e i.V.m. Art. 40 Abs. 3 DS-GVO)

Ausnahmsweise kann eine Übermittlung personenbezogener Daten auf der Grundlage von Art. 49 DS-GVO ohne Garantien in Drittländer erfolgen, z. B. bei Vorliegen einer ausdrücklichen Einwilligung, bei der die betroffene Person zuvor über die Risiken einer Datenübermittlung informiert wurde (Art. 49 Abs. 1 Buchstabe a DS-GVO).

Einige Ausnahmetatbestände für Datenübermittlungen dürfen, wie in Satz 1 des Erwägungsgrundes 111 der DS-GVO erläutert, nur gelegentlich erfolgen, d. h. nach der Auslegung des Europäischen Datenschutzausschusses, dass solche Übermittlungen zwar öfter als einmal, aber nicht regelmäßig erfolgen dürfen und sich außerhalb gewöhnlicher Abläufe zutragen, beispielsweise unter zufälligen, unvorhergesehenen Umständen und in beliebigen Zeitabständen. Aber auch bei den Tatbeständen, für die Erwägungsgrund 111 keine Beschränkung auf gelegentliche Übermittlungen vorsieht, darf bei der Anwendung des Art. 49 DS-GVO nicht gegen das Wesen einer Ausnahmeregelung verstoßen werden (siehe hierzu die Leitlinien 2/2018 des Europäischen Datenschutzausschusses zu den Ausnahmen nach Artikel 49 der Verordnung 2016/679).


zum Seitenanfang
zur mobilen Ansicht wechseln
Morty Proxy This is a proxified and sanitized view of the page, visit original site.