Datenschutzwissen

Was Unternehmen bei der Datenübermittlung ins Ausland beachten müssen

Im Zuge der Internationalisierung der Wirtschaft bewegen sich heute auch viele Unternehmen des Mittelstandes auf internationalem Parkett. Diese internationale Vernetzung zieht gerade in einer exportorientierten Wirtschaft auch eine Globalisierung des Datenschutzes nach sich. Was Unternehmen beachten müssen, um im internationalen Datenschutz auf Ballhöhe zu sein, erfahren Sie in diesem Fachbeitrag.

Innerhalb von Konzernen entstehen grenzüberschreitend zentrale Verarbeitungsprozesse auf der Grundlage von hochintegrierten Datenverarbeitungssystemen. Das Internet trägt als Plattform für unterschiedlichste Anwendungen und Verfahren, beispielweise durch den E-Commerce, in einem erheblichen Umfang zu dieser Entwicklung bei.

Ergebnis dieser Globalisierungsprozesse ist eine Zentralisierung von Datenbeständen in bisher nicht vorhandener Größe und Komplexität. Diese ermöglichen umfassende Auswertungen und Analysen und ziehen das Bilden unterschiedlicher Profile nach sich, wie etwa über das Konsumverhalten der Betroffenen. Der Transfer von Daten ins Ausland muss daher eindeutig geregelt werden, insbesondere auch in Staaten außerhalb der EU mit einem niedrigeren Datenschutzniveau.

Einheitliche Gesetzeslage für Datenübermittlungen von Deutschland in die EU

Bei einer Übermittlung innerhalb der EU oder des EWR bestehen im Vergleich zu einer Übermittlung an eine andere Stelle i. d. R. keine zusätzlichen Auflagen. Beim Übermitteln von Daten in Staaten außerhalb der EU oder des EWR ist zu prüfen, ob in diesen Staaten ein ausreichendes Datenschutzniveau besteht.

Für einige Staaten, beispielsweise für die Schweiz, hat die EU-Kommission diese Prüfung vorgenommen und die Namen der anerkannten Staaten auf ihrer Internetseite veröffentlicht. Nach der EU-Datenschutzrichtlinie RL 95/46/EG soll in diesen Staaten eine Übermittlung unter den gleichen Voraussetzungen erlaubt sein wie innerhalb der EU oder des EWR. Eine Liste dieser anerkannten Drittstaaten ist auf der Homepage der EU-Kommission einsehbar.

In andere Drittstaaten ist das Übermitteln von Daten mit Rücksicht auf das schutzwürdige Interesse der Betroffenen grundsätzlich untersagt und nur unter bestimmten Ausnahmen zulässig. Darüber hinaus besteht die Möglichkeit, einen Vertrag nach dem von der EU-Kommission zur Verfügung gestellten Vertragsmuster (EU-Standardvertragsklauseln für eine Datenübermittlung) zu verwenden. Bei einer Übermittlung in die USA ist es möglich, die Safe-Harbor-Bestimmungen des US-Handelsministeriums anzuerkennen.

Zulässigkeit des Übermittelns von Daten ins Ausland

Sollen personenbezogene Daten an eine Stelle im Ausland (etwa an eine Schwestergesellschaft innerhalb eines Konzerns, an den Mutterkonzern oder an ein anderes Unternehmen) übermittelt werden, ist auf zwei Ebenen zu prüfen, ob dies zulässig ist.

Zunächst sind die gleichen materiell-rechtlichen Voraussetzungen zu erfüllen wie bei einer Datenübermittlung an eine andere Stelle innerhalb eines Konzerns im Inland. Das heißt, die Voraussetzungen für eine Datenübermittlung gemäß §§ 28 bis 30a BDSG für nichtöffentliche Stellen müssen geschaffen werden. Erst dann greifen in einer zweiten Stufe die besonderen Übermittlungsvoraussetzungen an Stellen im Ausland.

Bei einer Datenübermittlung an Stellen im Ausland wird zwischen einer Übermittlung innerhalb und außerhalb der EU oder des EWR (Norwegen, Island, Liechtenstein) unterschieden. Die Staaten außerhalb der EU/EWR sind nachfolgend als Drittstaaten bezeichnet.

Zurück

Hier bloggt Ihre Redaktion.