Rendering leuchtender Würfel mit 1 und 0 miteinander durch leuchtende Ketten verbunden
© fotomek | stock.adobe.com

EU-Datenschutz-Grundverordnung (DSGVO): Prüfschema internationaler Datenverkehr

Was ist bei internationalen Transfers von Daten zu beachten?

Lesedauer: 4 Minuten

Dieses Prüfschema zum „internationalen Datenverkehr“ erfasst Übermittlungen von personenbezogenen Daten an Drittländer oder internationale Organisationen . Es ist dabei unerheblich, ob an weitere Verantwortliche oder Auftragsverarbeiter übermittelt wird. 

Vorab prüft der Verantwortliche, ob

Prüfschritte

1. Werden personenbezogene Daten von natürlichen Personen an (gemeinsam oder weitere) Verantwortliche oder Auftragsverarbeiter übermittelt („Know your transfers“)?

Werden keine personenbezogenen Daten übermittelt, endet die Prüfung hier. 

Werden personenbezogene Daten übermittelt, weiter zur Frage 2.  

2. Auf welcher Rechtsgrundlage erfolgt die Übermittlung?

  • Übermittlung an andere Verantwortliche: Prüfung der Grundlage für die Übermittlung von „schlicht-personenbezogenen“ oder sensiblen Daten nach den allgemeinen Grundsätzen (z.B. Einwilligung der betroffenen Person, etc.)

Übermittlungen an Auftragsverarbeiter: Es ist keine weitere Rechtmäßigkeitsgrundlage nötig, allerdings muss ein Auftragsverarbeitervertrag abgeschlossen sein.

3. Werden die Daten innerhalb des EWR-Raumes (das sind die EU-Staaten sowie die EWR-Staaten Liechtenstein, Island, Norwegen) an (weitere oder gemeinsam) Verantwortliche bzw. Auftragsverarbeiter übermittelt?

Wenn ja, sind keine weiteren Rechtsgrundlagen zu prüfen.

Wenn personenbezogene Daten in Staaten außerhalb des EWR-Raums übermittelt werden, weiter zur Frage 4.

4. Werden die Daten an (weitere oder gemeinsam) Verantwortliche bzw. Auftragsverarbeiter in Drittländer oder internationale Organisationen übermittelt?

Der Begriff „Drittländer“ umfasst Staaten, die nicht Mitglied der Europäischen Union (EU) oder des Europäischen Wirtschaftsraumes (EWR) sind. Unter „Internationalen Organisationen“ werden völkerrechtliche Organisationen und ihre nachgeordneten Stellen oder jede sonstige Einrichtung verstanden, die durch eine zwischen zwei oder mehr Ländern geschlossene Übereinkunft oder auf der Grundlage einer solchen Übereinkunft geschaffen werden (z.B. UNO, OSZE).

Übermittlungen von personenbezogenen Daten in Drittländer oder internationale Organisationen sind nur bei Erfüllung einer der nachfolgenden Voraussetzungen rechtmäßig:

4.1 Liegt für das Drittland, in das eine Datenübermittlung erfolgen soll, ein Angemessenheitsbeschluss der Europäischen Kommission vor?

Die Europäische Kommission kann mit Beschluss aussprechen, dass das Datenschutzregime des jeweiligen Drittlands ein mit der EU vergleichbares Datenschutzniveau aufweist. In diesem Fall sind keine weiteren Rechtsgrundlagen mehr zu prüfen.

Derzeit bestehen Angemessenheitsentscheidungen für folgende Staaten: Andorra, Argentinien, Färöer Inseln, Guernsey, Insel Man, Israel, Japan, Jersey, Kanada, Neuseeland, Schweiz, Südkorea, Uruguay, das Vereinigte Königreich (UK) und seit 10. Juli 2023 wieder für die USA („Adequacy decision for the EU-US Data Privacy Framework“ oder kurz „DPF“).

4.2 Wenn kein Angemessenheitsbeschluss der Europäischen Kommission vorliegt: Liegen sonstige „geeigneter Garantien“ vor?

Solche „geeigneten Garantien“ können sein:

  • verbindliche interne Datenschutzvorschriften (Binding Corporate Rules), die von der zuständigen Aufsichtsbehörde genehmigt worden sind
  • Standarddatenschutzklauseln, die von der Kommission erlassen oder von einer Aufsichtsbehörde angenommen und von der Kommission genehmigt worden sind.
  • genehmigte Verhaltensregeln oder ein genehmigter Zertifizierungsmechanismus

4.3 Wenn weder ein Angemessenheitsbeschluss der Europäischen Kommission noch sonstige „geeignete Garantien“ vorliegen: Wird eine der nachfolgenden Voraussetzungen erfüllt?

  • Es liegt eine ausdrückliche Einwilligung des Betroffenen (nach Unterrichtung über die Risiken einer Übermittlung ohne Vorliegen eines Angemessenheitsbeschlusses oder geeigneter Garantien) vor
  • die Übermittlung ist für die Erfüllung eines Vertrages zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich
  • die Übermittlung ist zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einer anderen natürlichen oder juristischen Person geschlossen Vertrags erforderlich
  • die Übermittlung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich
  • die Übermittlung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder anderer Personen erforderlich, sofern die betroffene Person aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben
  • die Übermittlung ist aus wichtigen Gründen des öffentlichen Interesses notwendig oder die Übermittlung erfolgt aus einem Register, das nach dem Recht der Union oder der Mitgliedstaaten zur Information der Öffentlichkeit bestimmt ist

4.4. Liegen keine der unter 4.1.-4.3. genannten Fälle vor?

Falls keine der genannten Ausnahmen vorliegt, darf eine Übermittlung in ein Drittland oder eine internationale Organisation nur dann erfolgen,  

  • wenn die Übermittlung nicht wiederholt erfolgt,
  • nur eine begrenzte Zahl von betroffenen Personen betrifft, und
  • für die Wahrung der zwingenden berechtigten Interessen des Verantwortlichen erforderlich ist.

Letzteres gilt nur, sofern die Interessen oder die Rechte und Freiheiten der betroffenen Person nicht überwiegen und der Verantwortliche geeignete Garantien in Bezug auf den Schutz personenbezogener Daten vorgesehen hat. Der Verantwortliche muss die Aufsichtsbehörde von solchen Übermittlungen in Kenntnis setzen und die betroffene Person über die Übermittlung und seine zwingenden berechtigten Interessen informieren.

Die Anlage "Internationaler Datenverkehr: Prüfungs- und Entscheidungsbaum" finden Sie unter Downloads. 

Stand: 01.04.2024

Weitere interessante Artikel
  • Zwei Personen stehen vor Servern und blicken auf aufgeklapptes Notebook, das eine Person in Händen hält
    EU-Datenschutz-Grundverordnung (DSGVO): Meldung von Datenschutz­verletzungen (Data Breach Notification) 
    Weiterlesen
  • Person mit Brillen sitzt an Tisch und sichtet Dokumente, aufgeklapptes Notebook und Wasserglas auf Tisch platziert
    EU-Datenschutz-Grundverordnung (DSGVO): Data Breach Notification - Muster Benachrichtigung der betroffenen Person
    Weiterlesen
  • Eine Person sitzt bei einem Schreibtisch und blickt dabei auf einen Monitor, eine zweite Person mit Brille und Bart steht dahinter und blickt ebenfalls freudig auf den Monitor
    EU-Datenschutz-Grund­verordnung (DSGVO): Muster -Datenverarbeitungs­verzeichnis für Auftrags­verarbeiter
    Weiterlesen