Internationaler Datenschutz

Für die Übermittlung personenbezogener Daten in das Ausland sind die datenschutzrechtlichen Vorschriften zweier Länder zu berücksichtigen. Zunächst die Datenschutzvorgaben des eigenen Landes und darüber hinaus die Vorgaben des Ziellandes. Zur Vorbeugung von Datenschutzverstößen muss gewährleistet sein, dass die Vorschriften beider Länder eingehalten werden.

Datenschutz innerhalb von EU und EWR

Innerhalb der Europäischen Union (EU) gelten die datenschutzrechtlichen Vorgaben der Datenschutz-Grundverordnung (DSGVO). Damit gilt zunächst in allen Mitgliedstaaten der Europäischen Union ein einheitliches Datenschutzrecht. Die Nicht-EU-Staaten des Europäischen Wirtschaftsraums (EWR) Island, Liechtenstein und Norwegen haben in ihrem Datenschutzrecht im Wesentlichen die Vorgaben der EU übernommen.

Zu beachten ist, dass einige EU-Mitgliedstaaten in ihrer nationalen Umsetzung des Datenschutzrechts sowohl Konkretisierungen als auch Ergänzungen vorgenommen haben. So gelten beispielsweise in Deutschland neben den Bestimmungen der DSGVO auch die Bestimmungen des Bundesdatenschutzgesetzes (BDSG).

Ob Unternehmen aus dem außereuropäischen Ausland die DSGVO beachten müssen, hängt davon ab, welche Daten verarbeitet werden. Die DSGVO definiert einen weiten räumlichen Anwendungsbereich (Marktortprinzip). Sie gilt insbesondere auch für Unternehmen aus Drittstaaten, wenn sich diese mit ihren Waren oder Dienstleistungen an Verbraucher in der EU richten.

Was hat es mit Datentransfers in Drittstaaten auf sich?

Staaten, die nicht dem EWR angehören, werden als Drittstaaten bezeichnet. Diese Staaten haben eigene und damit von der DSGVO abweichende Datenschutzvorschriften.

Bei Geschäftsbeziehungen, die über die Grenzen von EU und EWR hinausgehen, sind auch die Datenschutzgesetze der Drittstaaten zu berücksichtigen. Ergänzend verlangt die DSGVO bei einem Datentransfer in solche Drittländer zusätzliche Maßnahmen zur Gewährleistung der Sicherheit der Daten und der Rechte der betroffenen Personen.

Deutsche Unternehmen, die auch im Ausland tätig sind, müssen sich dieser Tatsache stellen und sie in ihren Datenschutzkonzepten berücksichtigen. Zugleich haben auch ausländische Unternehmen, die personenbezogene Daten in Deutschland erheben oder verarbeiten, den Datenschutz zu berücksichtigen.

Wer Datentransfers in einen Drittstaat plant, hat im Vorfeld zu prüfen, wie es dort um den Datenschutz steht. Im Idealfall liegt ein Angemessenheitsbeschluss der EU Kommission vor, der dem Land ein angemessenes Datenschutzniveau attestiert. Dann ist es möglich, sich bei der Übermittlung auf den Angemessenheitsbeschluss zu stützen.

Zu beachten ist jedoch, dass ein Angemessenheitsbeschluss in seiner Reichweite eingeschränkt sein kann. Für Datenübermittlungen in die USA gilt beispielsweise, dass der Empfänger der Daten gemäß Trans-Atlantic Data Privacy Framework zertifiziert sein muss.

Sofern kein Angemessenheitsbeschluss vorliegt, sind zusätzliche Garantien (z.B. über Corporate Binding Rules oder Standardvertragsklauseln mit ergänzendem Transfer Impact Assessment) notwendig. Welche zusätzlichen Garantien sich empfehlen, hängt von der Zielsetzung und den Rahmenbedingungen ab. Ohne die zusätzliche Absicherung würde die Übermittlung personenbezogener Daten zu einem Datenschutzvorfall führen.

Gibt es weitere Lösungen für den internationalen Datenschutz?

Die möglichen Ausnahmen richten sich nach dem anzuwendenden Datenschutzrecht – entscheidend ist also immer, in welchen Ländern welche Aktivitäten erfolgen und welche Gesetze in diesen Ländern gelten. Nach EU-Recht kann beispielsweise ein Datentransfer in das Ausland sowie eine dortige Verarbeitung der Daten zulässig sein, sofern die Betroffenen im Vorfeld ihre ausdrückliche Zustimmung erteilt haben.

Es können abweichende oder ergänzende Rechtsbedingungen gelten, sofern diese zwischen der EU und anderen Staaten oder Staatenverbänden vereinbart wurden. Bekannte Beispiele sind das Safe-Harbour Abkommen und das nachfolgende Privacy-Shield Abkommen, die einst einen sicheren Datenaustausch zwischen EU-Ländern und den USA gestatteten. Allerdings wurden diese Abkommen gerichtlich gestoppt, woraufhin zahlreiche Unternehmen dazu gezwungen waren, ihre Datenschutzkonzepte anzupassen.

Ein weiteres gängiges Instrument für die Sicherstellung eines angemessenen Datenschutzniveaus beim Empfänger sind die sogenannten EU‑Standardvertragsklauseln. Hierbei ist zu beachten, dass eine ergänzende Absicherung mittels Transfer Impact Assessment (TIA) notwendig ist.

Internationaler Datenschutz ist ein komplexes und vielschichtiges Thema, das Unternehmen vor individuelle Aufgaben stellt. Vielen Unternehmen fehlt es an Expertise in den eigenen Reihen, um diese Aufgaben zu meistern und die vielfältigen Anforderungen internationaler Datenschutzgesetze sicher zu erfüllen.

Wir verstehen, dass jede datenschutzrechtliche Fragestellung einzigartig ist und eine maßgeschneiderte Herangehensweise erfordert. Egal, ob Sie Unterstützung bei der sicheren Durchführung eines Transfer Impact Assessments benötigen, eine umfassende Überprüfung Ihrer bestehenden Datenschutzdokumentation wünschen, die Implementierung eines Informationssicherheits-Managementsystems (ISMS) planen oder länderspezifische Herausforderungen meistern müssen – unser erfahrenes Team steht Ihnen mit umfassender Expertise zur Seite.

Sie erhalten kompetente Beratung und praktische Lösungen, die auf Ihre individuellen Bedürfnisse zugeschnitten sind. Nutzen Sie jetzt unsere kostenlose Erstberatung, um Ihre spezifischen Anliegen zu besprechen. Wir freuen uns darauf, Sie kennenzulernen und Ihre Fragen umfassend zu beantworten.