Die Übermittlung personenbezogener Daten erfolgt häufig über Landesgrenzen hinweg. Besondere Vorsicht gilt bei Datentransfers in sogenannte Drittstaaten. Es besteht ein erhöhtes Risiko hinsichtlich DSGVO-Verstößen. Solche Verstöße können mit hohen Bußgeldern geahndet werden.
Das wesentliche Problem besteht darin, dass internationale Datentransfers oft versteckt lauern. Hauptgrund hierfür ist das Internet: Häufiger denn je werden Daten mit Personenbezug in die Cloud verlagert – und die Nutzer von Cloud-Diensten wissen längst nicht immer, an welchen Standorten sich die Server befinden.
Verantwortliche in Unternehmen sollten unbedingt wissen, in welche Länder eine Datenübertragung erfolgt. Nur so kann geprüft werden, ob sich darunter Drittländer / Drittstaaten befinden.
DSGVO Unterscheidung zwischen EWR Staaten und Drittstaaten
Die DSGVO soll ein hohes Datenschutzniveau im europäischen Wirtschaftsraum (EWR) sicherstellen. Werden weitere Voraussetzungen, wie z.B. geschlossene Verträge über Auftragsverarbeitungen einmal ausgeklammert, sind Datentransfers innerhalb der Staaten des EWR dank der DSGVO zulässig.
Die EWR-Staaten umfassen alle Mitgliedstaaten der Europäischen Union:
Belgien, Bulgarien, Dänemark, Deutschland, Estland, Finnland, Frankreich, Griechenland, Irland, Italien, Kroatien, Lettland, Litauen, Luxemburg, Malta, die Niederlande, Österreich, Polen, Portugal, Rumänien, Schweden, Slowakei, Slowenien, Spanien, Tschechische Republik, Ungarn und Zypern
sowie folgende Länder:
Island, Liechtenstein und Norwegen.
Alle Länder, die nicht dem EWR angehören, sind Drittstaaten.
Drittstaaten mit Angemessenheitsbeschluss
Da in Drittstaaten die nicht die Vorgaben der DSGVO, sondern andere datenschutzrechtliche Bestimmungen gelten, kann das jeweilige Datenschutzniveau abweichen. Art. 45 DSGVO legt fest, dass ein Datentransfer in einen Drittstaat nur erlaubt ist, wenn seitens der EU ein Angemessenheitsbeschluss vorliegt. Solch ein Beschluss wird nur erteilt, wenn im Land ein adäquates Datenschutzniveau gewährleistet ist.
Derzeit (Stand: Juli 2023) liegt für folgende Drittstaaten ein Angemessenheitsbeschluss vor:
- Andorra
- Argentinien
- Färöer
- Großbritannien (vorerst bis zum 28.06.2025)
- Guernsey
- Israel
- Isle of Man
- Japan
- Jersey
- Kanada (nur kommerzielle Organisationen)
- Neuseeland
- Schweiz
- Südkorea
- Uruguay
- USA (nur wenn Empfänger nach EU-U.S. Data Privacy Framework zertifiziert sind)
Datentransfer auf Basis geeigneter Garantien
Sollte für ein Drittland kein Angemessenheitsbeschluss existieren, kann gemäß Art. 46 Abs. 1 DSGVO dennoch ein Datentransfer zulässig sein, sofern geeignete Garantien zum Schutz der Daten durch den Empfänger geboten sind. Dies können Binding Corporate Rules oder die von der EU Kommission verabschiedeten Standardvertragsklauseln sein. Über die Garantien hinaus müssen durchsetzbare und wirksame Rechtsbehelfe gegeben sein.
Weitere Lösungsansätze für eine zulässige Datenübermittlung
Für den Fall, dass weder ein Angemessenheitsbeschluss noch geeignete Garantien vorliegen, hält Art. 49 DSGVO weitere Ausnahmetatbestände bereit. So ist es möglich, Daten in das Drittland zu übermitteln, wenn die betroffene Person dazu einwilligt. Wichtig in diesem Zusammenhang: Die bloße Einwilligung genügt nicht, vorab gilt es die Person über die datenschutzrechtlichen Risiken, die aus dem fehlenden Angemessenheitsbeschluss und fehlenden Garantien resultieren, zu informieren.
Gemäß Art. 49 DSGVO kann ein Datentransfer in ein solches Drittland ebenfalls zulässig sein, wenn er aus wichtigen Gründen des öffentlichen Interesses notwendig ist.
Absicherung von Datentransfers in Drittländer mit Unterstützung vom Experten
Sie planen Datenübermittlungen in Drittländer oder übermitteln Daten bereits und suchen in diesem Zusammenhang kompetente Unterstützung? Wir unterstützen Sie gerne, indem beispielsweise unsere Datenschutzexperten Ihre Prozesse analysieren und Lösungsansätze erarbeiten – gerne unter Berücksichtigung Ihres bestehenden Datenschutzkonzepts, damit Sie auch in Zukunft sicher aufgestellt sind. Interessiert? Nutzen Sie unsere kostenlose Erstberatung.
Fragen & Antworten zum Thema
Sind rechtssichere Datentransfers in die USA möglich?
Kein anderer Drittstaat stellt Unternehmen bei internationalen Datentransfers so oft vor Herausforderungen wie die USA. Dies liegt daran, dass US-amerikanische Unternehmen das Feld der Cloud-Dienste dominieren, jedoch frühere Angemessenheitsbeschlüsse mehrfach annulliert wurden, wie z.B. das Safe Harbour und das Privacy Shield Abkommen. Erfreulicherweise wurde im Juli 2023 von der Europäischen Kommission der EU-US-Datenschutzrahmen angenommen. Damit steht Unternehmen abseits von Standardvertragsklauseln und anderen Garantien eine attraktive Lösung zur Verfügung.