th share video content contact download event event-wifi cross checkmark close xing wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht twitter search print pdf mail linkedin google-plus facebook whatsapp arrow-up arrow-right arrow-left arrow-down calendar user home

EU-Datenschutz-Grundverordnung (DSGVO): Internationaler Datenverkehr

Wann ist der Transfer personenbezogener Daten an Drittländer zulässig?

Hinweis:
Die Bestimmungen der DSGVO gelten ab 25.5.2018. Bis dahin müssen alle Datenanwendungen an die neue Rechtslage angepasst werden. Ab diesem Zeitpunkt drohen hohe Geldstrafen. (Siehe dazu „Zeitplan und Kurzüberblick“)

Während der Datenverkehr innerhalb der EU aufgrund des durch die DSGVO gewährleisteten gleichen Datenschutzniveaus keinen Beschränkungen unterliegt, ist der Datenverkehr mit Drittländern (oder internationalen Organisationen) nur unter folgenden Voraussetzungen zulässig:

Zunächst muss die Datenverarbeitung im Inland (innerhalb der EU) den Vorgaben der DSGVO entsprechen. 

Dieses unionsweit gewährleistete Schutzniveau für natürliche Personen darf bei der Übermittlung personenbezogener Daten aus der Union an Verantwortliche, Auftragsverarbeiter oder andere Empfänger in Drittländern oder an internationale Organisationen nicht untergraben werden. Dasselbe gilt auch dann, wenn aus einem Drittland (oder von einer internationalen Organisation) personenbezogene Daten an Verantwortliche oder Auftragsverarbeiter in demselben oder einem anderen Drittland (bzw internationale Organisation) weiterübermittelt werden.

Die DSGVO nennt folgende Fälle einer zulässigen Datenübermittlung an ein Drittland bzw eine internationale Organisation: 

Angemessenheitsbeschluss der Kommission:

Datenübermittlungen auf der Grundlage eines Angemessenheitsbeschlusses bedürfen keiner besonderen Genehmigung durch die Aufsichtsbehörde.

Angemessenheitsbeschlüsse (Durchführungsrechtsakte der Kommission) müssen einen Mechanismus für eine regelmäßige Überprüfung, die mindestens alle 4 Jahre zu erfolgen hat, vorsehen. Die Kommission überwacht fortlaufend die Entwicklung in den entsprechenden Drittländern und widerruft, ändert oder setzt die Beschlüsse im Wege von Durchführungsrechtsakten aus, soweit Informationen vorliegen, dass das Drittland kein angemessenes Schutzniveau gewährleistet. 

Die aufgrund der Datenschutz-Richtlinie 95/46/EG erlassenen Angemessenheitsentscheidungen bleiben so lange in Kraft, bis sie aufgehoben werden (das betrifft derzeit die Staaten Andorra, Argentinien, Färöer Inseln, Guernsey, Insel Man, Israel, Jersey, Kanada, Neuseeland, Schweiz, Uruguay sowie für die USA das Privacy Shield). 

Vorliegen geeigneter Garantien:

Ohne Genehmigung der Aufsichtsbehörde können diese geeigneten Garantien bestehen, in:

  • verbindlichen internen Datenschutzvorschriften (Binding Corporate Rules), die von der zuständigen Aufsichtsbehörde genehmigt worden sind.

  • Standarddatenschutzklauseln, die von der Kommission erlassen oder von einer Aufsichtsbehörde angenommen und von der Kommission genehmigt worden sind.

  • genehmigten Verhaltensregeln oder einem genehmigten Zertifizierungsmechanismus (beide zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters in dem Drittland zur Anwendung der geeigneten Garantien, einschließlich in Bezug auf die Rechte der betroffenen Personen). 

Vorbehaltlich der Genehmigung durch die Aufsichtsbehörde können die geeigneten Garantien insbesondere auch bestehen in: 

  • Vertragsklauseln, die zwischen den Verantwortlichen oder dem Auftragsverarbeiter und dem Verantwortlichen, dem Auftragsverarbeiter oder dem Empfänger der personenbezogenen Daten im Drittland vereinbart wurden. 

Ausnahmen für bestimmte Fälle (ohne Genehmigung der Aufsichtsbehörde):

  • Es liegt eine ausdrückliche Einwilligung des Betroffenen (nach Unterrichtung über die Risiken einer Übermittlung ohne Vorliegen eines Angemessenheitsbeschlusses oder geeigneter Garantien) vor. 

  • Die Übermittlung ist für die Erfüllung eines Vertrages zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich. 

  • Die Übermittlung ist zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einer anderen natürlichen oder juristischen Person geschlossenen Vertrags erforderlich. 

  • Die Übermittlung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich. 

  • Die Übermittlung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder anderer Personen erforderlich, sofern die betroffene Person aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben. 

  • Die Übermittlung ist aus wichtigen Gründen des öffentlichen Interesses notwendig oder die Übermittlung erfolgt aus einem Register, das nach dem Recht der Union oder der Mitgliedstaaten zur Information der Öffentlichkeit bestimmt ist.

Falls keine der genannten Ausnahmen vorliegt, darf eine Übermittlung an ein Drittland oder eine internationale Organisation nur dann erfolgen, wenn die Übermittlung nicht wiederholt erfolgt, nur eine begrenzte Zahl von betroffenen Personen betrifft, und für die Wahrung der zwingenden berechtigten Interessen des Verantwortlichen erforderlich ist.

Dies gilt nur, sofern die Interessen oder die Rechte und Freiheiten der betroffenen Person nicht überwiegen und der Verantwortliche geeignete Garantien in Bezug auf den Schutz personenbezogener Daten vorgesehen hat. Der Verantwortliche muss die Aufsichtsbehörde von solchen Übermittlungen in Kenntnis setzen und die betroffene Person über die Übermittlung und seine zwingenden berechtigten Interessen informieren. 

Geldstrafen 

Bei Verstößen gegen die genannten Bestimmungen sind Geldbußen von bis zu EUR 20 Mio oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres vorgesehen.


Relevante Artikel der DSGVO: Art 44-49
Relevante Erwägungsgründe: 101-115

Bitte wählen Sie oben ein Bundesland aus, um Kontakte und Serviceangebote des Bundeslandes zu erhalten.