Update zur EU-DSGVO – Drittlandtransfer unter der Datenschutz-Grundverordnung

10.10.2017 – Bislang war die Übermittlung von personenbezogenen Daten in ein Drittland eines der schwierigsten und meist umstrittenen Themen im Datenschutz. Aufgrund der Annahme, dass Drittstaaten grundsätzlich kein angemessenes Datenschutzniveau haben, ändert sich an der Komplexität eines Datentransfers in unsichere Drittstaaten nichts Wesentliches. Dieser Beitrag ist ein Teil von unserer Serie zur Datenschutz-Grundverordnung.

Die Regelungen der EU-DSGVO zum Drittlandtransfer stimmen zum großen Teil mit den bestehenden Regeln nach dem BDSG überein. Insbesondere gilt der bislang geltende Grundsatz, dass neben dem Vorhandensein einer einschlägigen Rechtsgrundlage für die Übermittlung sichergestellt werden muss, dass bei der empfangenden Stelle ein angemessenes Datenschutzniveau existiert. Von einem angemessenen Datenschutzniveau kann in den folgenden Fällen ausgegangen werden:

  • Existenz eines Angemessenheitsbeschlusses der EU-Kommission
  • Verwendung von Standardvertragsklauseln
  • Existenz von genehmigten Binding Corporate Rules
  • Vorliegen einer Einzelgenehmigung einer Aufsichtsbehörde

Kann demnach ein angemessenes Datenschutzniveau nicht festgestellt werden, ist zu prüfen, ob der Datentransfer aufgrund der nachfolgenden Erwägungen ausnahmsweise trotzdem zulässig ist:

  • Einwilligung der betroffenen Person nach Aufklärung über die spezifischen Risiken der Datenübermittlung in ein Drittland
  • Erforderlichkeit der Übermittlung für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person
  • Erforderlichkeit der Übermittlung zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einem Dritten geschlossenen Vertrags
  • Erforderlichkeit der Übermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen

Anhand dieser Aufzählung ist zu erkennen, dass sich die Voraussetzungen für den Drittlandtransfer nicht wirklich ändern. Neu ist lediglich, dass die EU-Kommission künftig Angemessenheitsbeschlüsse auch auf ein Gebiet oder spezifische Sektoren in dem Drittland beschränken kann. Zudem sollen Angemessenheitsbeschlüsse mindestens alle vier Jahre einer Kontrolle durch die EU-Kommission unterzogen werden.

Was passiert mit existierenden Angemessenheitsbeschlüssen?

Zu Recht stellt sich die Frage wie ab Mai 2018 mit bereits existierenden Angemessenheitsbeschlüssen umzugehen ist. Hier kann beruhigt werden. Diese bleiben auch nach Mai 2018 in Kraft bis sie im Rahmen der regelmäßigen Überprüfung geändert, ersetzt oder aufgehoben werden. Wichtig ist es zu wissen, dass eine mögliche Aufhebung eines Angemessenheitsbeschlusses nur für die Zukunft gilt. Die bis zur Aufhebung durchgeführten Datentransfer bleiben selbstverständlich rechtmäßig.

Was ist zu tun um sich optimal vorzubereiten

Um in Anbetracht der deutlich erhöhten Bußgelder sicherzustellen, dass personenbezogene Daten rechtmäßig in ein Drittland übermittelt werden, sollten Unternehmen

  • bestehende Datenflüsse in ein Drittland analysieren (dabei dürfen Cloud-Dienstleister oder Newsletterversandanbieter nicht übersehen werden),
  • prüfen, ob der Transfer aufgrund einer Rechtsgrundlage zulässig ist und
  • bei Bedarf entsprechende Verträge mit den Dienstleistern abschließen.

Fazit

Der Mai 2018 macht nicht alles neu. Im Bereich des Drittlandtransfers kann auf bekannte Regelungen zurückgegriffen werden. Trotzdem sollten Unternehmen ihre bestehenden Datenflüsse auf Rechtmäßigkeit kontrollieren.

Im nächsten Beitrag in dieser Serie werden wir kurz die neuen Betroffenenrechte und den daraus resultierenden Handlungsbedarf für Unternehmen vorstellen.

Dr. Oliver Hornung, SKW Schwarz Rechtsanwälte , Frankfurt am Main.

Kontakt
close slider