Für Unternehmen, die personenbezogene Daten außerhalb der EU übermitteln, sind die Regeln der europäischen Datenübermittlung entscheidend. Der Datenübermittlung innerhalb der EU ist ein freier Fluss gewährleistet, aber die Datenübermittlung außerhalb ihrer Grenzen unterliegt strengeren Regeln. Die DSGVO schreibt diese Verpflichtungen nicht nur den Verantwortlichen, sondern auch den Verarbeitern vor.
Eine Datenübermittlung in ein Drittland oder an ein internationales Unternehmen darf nur erfolgen, wenn das Kapitel V DSGVO eingehalten wird (siehe unten), so dass das Schutzniveau der Rechte der betroffenen Personen nicht beeinträchtigt wird. Diese Regeln gelten auch für die weitere Datenübermittlung (z.B. aus dem Drittland oder einem internationalen Unternehmen in ein anderes Drittland oder an ein anderes internationales Unternehmen).
Die DSGVO erlaubt die Übermittlung personenbezogener Daten nur dann, wenn im Zielland ein angemessenes Datenschutzniveau gewährleistet ist oder wenn angemessene Garantien gegeben wurden und wenn die betroffenen Personen ihre Rechte durchsetzen und auf wirksame Rechtsbehelfe zurückgreifen können.
Angemessenes Niveau des Schutzes personenbezogener Daten
Die Übermittlung von Daten an ein Drittland oder ein internationales Unternehmen kann auf Grundlage einer Angemessenheitsentscheidung erfolgen (Art. 45 DSGVO). Das heißt, wenn die Europäische Kommission beschließt, dass ein Drittland oder ein internationales Unternehmen ein angemessenes Schutzniveau gewährleistet, kann jede Datenübertragung an dieses Land oder dieses internationale Unternehmen ohne weitere spezifische Genehmigung erfolgen.
Die Elemente zur Beurteilung des Angemessenheitsgrades sind in Art. 45(2) DSGVO aufgelistet (unter anderem: einschlägige Rechtsvorschriften, unabhängige Aufsichtsbehörden, internationale Verpflichtungen usw.). Die Angemessenheitsentscheidung der Kommission sieht einen regelmäßigen Selbstüberprüfungsmechanismus vor.
Stellt die Kommission fest, dass ein Drittland oder ein internationales Unternehmen nicht mehr das angemessene Schutzniveau erfüllt, wird sie diese Informationen im Amtsblatt der Europäischen Union und auf seiner Website veröffentlichen.
Es sei daran erinnert, dass die Datenübermittlung in die Länder, die als Länder mit einem angemessenen Schutzniveau gelten, weiterhin auf der Grundlage des AV-Vertrags zwischen Verantwortliche und Verarbeiter (und Subprozessoren) erfolgen muss.
Angemessene Sicherheitsvorkehrungen
Wenn keine Entscheidung über die Angemessenheit getroffen wurde, kann eine Datenübermittlung an einen Dritten oder ein internationales Unternehmen erfolgen, wenn angemessene Garantien gegeben wurden und wenn durchsetzbare Rechte der betroffenen Personen und wirksame Rechtsbehelfe für die betroffenen Personen zur Verfügung stehen (Art. 46 DSGVO). Die Verpflichtung, solche angemessenen Sicherheitsvorkehrungen zu treffen, liegt beim Verantwortlichen oder Verarbeiter.
Diese angemessenen Schutzvorkehrungen können durch eins der folgenden gewährleistet werden:
- ein rechtsverbindliches und durchsetzbares Instrument zwischen Behörden oder Stellen selbst
- verbindliche Unternehmensregeln
- von der Kommission angenommene Standarddatenschutzklauseln
- Standarddatenschutzklauseln, die von einer Aufsichtsbehörde angenommen und von der Kommission genehmigt wurden,
- einen genehmigten Verhaltenskodex + verbindliche und durchsetzbare Verpflichtungen des Verantwortlichen und Verarbeiters im Drittland zur Anwendung der geeigneten Garantien
- ein zugelassener Zertifizierungsmechanismus + verbindliche und durchsetzbare Verpflichtungen der Verantwortlichen/Verarbeiter im Drittland zur Anwendung der geeigneten Garantien
Darüber hinaus können unter der Voraussetzung, dass die Genehmigung der zuständigen Aufsichtsbehörde eingeholt wird, die geeigneten Garantien auch durch eins der folgenden gewährleistet werden:
- Vertragsklauseln zwischen dem Verantwortlichen und dem Verantwortlichen/Verarbeiter/Empfänger in dem Drittland bzw. der internationalen Organisation
- Bestimmungen, die in die Verwaltungsvereinbarungen zwischen Behörden oder Stellen aufgenommen wurden und die durchsetzbare und wirksame Rechte der betroffenen Personen beinhalten
