Regina Mühlich

Datenschutz 2020


Скачать книгу

      Europäische Union hin, Europäische Union her. Geht es um den Datentransfer ins Ausland, bietet das vereinte Europa Vorteile. Die Übermittlung in Vertragsstaaten des Europäischen Wirtschaftsraums (EWR) wie Norwegen, Island und Liechtenstein gestalten sich darüber hinaus unproblematisch.

      Der Europäische Wirtschaftsraum und seine Mitglieder

      Mit dem EWR, der 1994 in Kraft getreten ist, sollen die EU-Bestimmungen über den Binnenmarkt auf die Länder der Europäischen Freihandelszone (EFTA) ausgedehnt werden. Entstanden ist er durch ein Abkommen zwischen der EU und den EFTA-Staaten Island, Liechtenstein und Norwegen. Die EWR-Mitglieder bilden einen gemeinsamen Markt.

      Die Schweiz dagegen ist zwar Mitglied der EFTA, aber weder EU-Mitgliedstaat noch EWR-Mitglied. Sie ist durch eine Reihe von bilateralen Verträgen mit der EU verbunden. In vielen Bereichen sind Schweizer Staatsangehörige daher EU-Bürgern gleichgestellt.

      

1.9.1 Drittländer mit angemessenem Datenschutzniveau

      Die EU-Kommission hat gem. Art. 45 Abs. 1 DSGVO die Möglichkeit, nach entsprechender Prüfung das Bestehen eines angemessenen Schutzniveaus in bestimmten Drittländern festzustellen. Von dieser Möglichkeit hat die Kommission bereits auf Basis des BDSG a. F. Gebrauch gemacht.

•Andorra•Jersey
•Argentinien•Kanada
•Färöer-Inseln•Neuseeland
•Guernsey•Schweiz
•Isle of Man•Uruguay
•Israel•Vereinigte Staaten von Amerika (EU-U.S. Privacy Shield)
•Japan

      Die Europäische Kommission hat alle aufgeführten Angemessenheitsbeschlüsse noch auf Grundlage von Art. 25 Abs. 6 der RL 95/46/EG („EU-Datenschutzrichtlinie“) erlassen. Sie gelten auch nach Gültigwerden der DSGVO zum 25.05.2018 fort, solange die Europäische Kommission nicht ihre Änderung, Ersetzung oder Aufhebung beschließt (vgl. Art. 45 Abs. 9 DSGVO).

      Am 23.01.2019 hat die EU-Kommission den Angemessenheitsbeschluss, der erste unter der DSGVO, für Japan angenommen und damit den weltgrößten Raum für sicheren Datenverkehr geschaffen.

images/praxistipp.png Praxistipp
Als Folge gilt für diese Drittländer ein vergleichbares Datenschutzniveau. Eine Datenübermittlung in jene Länder ist daher ohne eine weitere eigene Überprüfung datenschutzrechtlich zulässig. Dies entbindet den Verantwortlichen und Auftragsverarbeiter selbstverständlich nicht von seiner Verpflichtung, sämtliche sonstigen Voraussetzungen einer rechtmäßigen Datenverarbeitung, die sich aus den geltenden Datenschutzgesetzen ergeben, zu prüfen (z. B. Einhaltung der Sicherheit der Verarbeitung gem. Art. 32 DSGVO beim Auftragsverarbeiter) und zu erfüllen (z. B. Abschluss einer Vereinbarung zur Auftragsverarbeitung gem. Art. 28 Abs. 3 DSGVO).

      

1.9.2 Was ist bei einer internationalen Datenübermittlung zu beachten?

      Wird durch die Kommission festgestellt, dass ein angemessenes Schutzniveau {Datenschutzniveau} für personenbezogene Daten gegeben ist, ist eine Datenübermittlung ohne besondere Genehmigung möglich.

      Sollte ein angemessenes Datenschutzniveau nicht vorliegen, müssen seit dem 25.05.2018 die bekannten Instrumente wie Binding Corporate Rules, Standardvertragsklauseln oder die Einwilligung des Betroffenen herangezogen werden.

      Auch die Weitergabe von Daten innerhalb eines Konzerns {Konzern} (verbundene Unternehmen) stellt eine datenschutzrechtlich relevante Datenübermittlung dar. Die DSGVO kennt, wie auch das BDSG, kein Konzernprivileg {Konzernprivileg}. Ein angemessenes Datenschutzniveau setzt eine nationale Gesetzgebung in dem Drittland voraus, die die wesentlichen Datenschutzgrundsätze in einer Weise festlegt, wie sie auch für das Datenschutzrecht der EU und der EU-Mitgliedstaaten gelten. Das bedeutet, dass das Mutter- bzw. Tochterunternehmen wie ein „fremdes Unternehmen“ zu betrachten ist.

      Artikel 44 ff. DSGVO regeln die Übermittlung an Drittländer oder an internationale Organisationen:

      Art. 44 DSGVO – Allgemeine Grundsätze der Datenübermittlung

      Jedwede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, ist nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die in diesem Kapitel niedergelegten Bedingungen einhalten und auch die sonstigen Bestimmungen dieser Verordnung eingehalten werden; dies gilt auch für die etwaige Weiterübermittlung personenbezogener Daten aus dem betreffenden Drittland oder der betreffenden internationalen Organisation an ein anderes Drittland oder eine andere internationale Organisation. Alle Bestimmungen dieses Kapitels sind anzuwenden, um sicherzustellen, dass das durch diese Verordnung gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird.

images/praxistipp.png Praxistipp

      

1.9.3 Welche Grundsätze gelten für eine Datenübermittlung in Drittländer?

      Nach der DSGVO gilt wie bisher auch: Es kommt darauf an, ob der Datenverarbeiter im Drittland ein angemessenes Datenschutzniveau einhält. Ist dies nicht der Fall, ist zu prüfen, ob eine Ausnahme für die Datenübermittlung greift. Die DSGVO sieht für Datentransfers in Drittländer folgende Möglichkeiten vor (für öffentliche Stellen gelten im Einzelfall ergänzende Regelungen):

Feststellung der Angemessenheit des Datenschutzniveaus im Drittland durch die EU-Kommission (Art. 45 DSGVO) oder
Vorliegen geeigneter Garantien (Art. 46 DSGVO) – verbindliche interne Datenschutzvorschriften (Binding Corporate Rules) (Art. 46 Abs. 2 lit. b, Art. 47 DSGVO) – Standarddatenschutzklauseln der Kommission oder einer Aufsichtsbehörde (Art. 46 Abs. 2 lit. c und d DSGVO) – genehmigte Verhaltensregeln und genehmigter Zertifizierungsmechanismus (Art. 46 Abs. 2 lit.