,

#DSGVO, Teil 4: Strenge Regeln für Datentransfers in Drittstaaten

Die EU-Datenschutzgrundverordnung in 10 Punkten, Teil 4

Die Datenschutzgrundverordnung stellt strenge Regeln für die Übermittlung personenbezogener Daten in sogenannte Drittländer – also solche, die nicht zur EU gehören – auf. Dies ist besonders wichtig, da das Grundrecht auf Privatsphäre und Datenschutz eine Besonderheit hat: Anders als beispielsweise unsere ebenfalls grundrechtlich geschützte körperliche Unversehrtheit, die untrennbar mit uns und damit unserem Aufenthaltsort verbunden ist, können unsere Daten auch getrennt von uns sein, weitergegeben werden und sich an vollkommen anderen Orten befinden, als wir es gerade sind. Daher muss unser Recht auf Privatsphäre und Datenschutz mit ihnen – auch über die Grenzen der EU hinweg – mitreisen können. So wird sichergestellt, dass auch wenn unsere Daten im Ausland verarbeitet oder gespeichert werden, wir die gleichen Rechte, wie etwa auf Auskunft oder Löschung, haben.
Dies ist in der praktischen Anwendung der DSGVO besonders relevant, da viele der Server, auf denen unsere Daten beispielsweise bei der Nutzung eines Cloud-Services wie Dropbox gespeichert werden, nicht in der EU stehen. Zudem haben die größten IT-Dienstleister wie Microsoft, Facebook oder Google ihren Hauptsitz sowie viele ihrer Rechenzentren in den USA. Wenn sie EU-Bürger zu ihren Kunden zählen, müssen sie jedoch die strengen Übermittlungsregeln der Verordnung beachten:
Nach der sogenannten 2-Stufen-Prüfung muss auf erster Stufe eine Rechtsgrundlage bestehen, aufgrund derer die Daten überhaupt verarbeitet werden dürfen. Diese erste Stufe gilt auch für Datenverarbeitungen in der EU – die Verarbeitung ist grundsätzlich verboten, außer es besteht eine gesetzlich normierte Erlaubnis.  Auf der zweiten Stufe muss bei Datentransfers ins außereuropäische Ausland darüber hinaus beim Datenempfänger ein angemessenes Datenschutzniveau sichergestellt sein.
Dies kann etwa durch allgemeingültige Angemessenheitsbeschlüsse der Europäischen Kommission geschehen, die die Datenschutzregimes anderer Staaten überprüft und für diese verbindlich feststellen kann, dass der dortige Datenschutz im wesentlichem dem unserem entspricht. Für Kanada und Argentinien zum Beispiel besteht ein solcher Angemessenheitsbeschluss. Drittstaaten haben aus wirtschaftlichen Gründen oft besonderes Interesse daran, einen solchen Angemessenheitsbeschluss zu erlangen, sodass sie versuchen, ihre Datenschutzregimes an unseres anzupassen. So arbeiten beispielsweise gerade Japan und Jamaika an der Überarbeitung ihrer Datenschutzgesetze. Die Datenschutzgrundverordnung wird somit ein Stück weit zum Weltstandard.
Weitere Möglichkeiten der Datenübermittlung in unsicherere Länder sind unternehmensspezifische Zertifizierungen durch die Datenschutzbehörden oder vertragliche Vereinbarungen mit dem Datenempfänger.
In jedem Fall müssen die Betroffenenrechte und die Schutzstandards im Empfängerland „der Sache nach gleichwertig“ sein, so der Europäische Gerichtshof  in seinem Urteil, das die „Safe Harbor“-Vereinbarung mit den USA aufhob. Die Nachfolgevereinbarung „Privacy Shield“, die derzeit Datenübermittlungen in die USA erlaubt, wird absehbar wieder vor dem Gerichtshof landen.
Zurück zur Übersicht zur Datenschutzreform

Mehr zum Thema