th share video content contact download event event-wifi cross checkmark close xing wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht twitter search print pdf mail linkedin google-plus facebook whatsapp arrow-up arrow-right arrow-left arrow-down calendar user home

Prüfschema Internationaler Datenverkehr

Wann ist eine Genehmigung der Datenschutzbehörde für eine Übermittlung oder Überlassung von Daten in Drittstaaten erforderlich?

Hinweis:
Grundvoraussetzung für eine zu genehmigende oder genehmigungsfreie Übermittlung oder Überlassung von Daten in Drittstaaten ist, dass die Datenanwendung im Inland rechtmäßig erfolgt (dazu siehe das Infoblatt „Zulässigkeit der Datenverwendung“).

Die nachfolgenden Ausführungen zur Prüfung einer zulässigen Datenübermittlung/-überlassung gehen davon aus, dass diese Grundvoraussetzung der zulässigen Datenanwendung im Inland bereits vorliegt.  

Prüfschritte 

1. Übermitteln oder Überlassen Sie personenbezogene Daten? Wenn ja, in welcher Ausprägung?

(dazu siehe das Infoblatt „Datenschutzgesetz 2000 – Wichtigste Begriffsbestimmungen“)

  • Direkt personenbezogene Daten: Das sind Angaben über natürliche oder juristische Personen, deren Identität bestimmt ist, d.h. die Daten (zB Name, Firmenname, Adresse, Geburtsdatum, Werturteile etc.) können einer natürlichen oder juristischen Person direkt zugeordnet werden. Bei dieser Datenart müssen die Prüfschritte 2 bis 5 getätigt werden.

  • Indirekt personenbezogene (pseudonymisierte) Daten: Das sind Daten, die der Empfänger verschlüsselt erhält und die von ihm mit rechtlich zulässigen Mitteln nicht entschlüsselt werden können. Da gem. § 8 Abs. 2 DSG 2000 bei der Verwendung indirekt personenbezogener Daten schutzwürdige Geheimhaltungsinteressen nicht verletzt werden, ist eine Übermittlung oder Überlassung ohne weitere Prüfschritte möglich. (Vgl. auch § 12 Abs. 3 Z 2 DSG 2000).

  • Anonymisierte Daten: Das sind Angaben, die niemand auf eine Person zurückführen kann. Sie haben keinerlei datenschutzrechtliche Relevanz und unterliegen somit nicht den Bestimmungen des DSG 2000. Bei anonymen Daten besteht kein Geheimhaltungsschutz, weshalb eine Übermittlung oder Überlassung dieser ohne weitere Prüfschritte zulässig ist. 

2. Werden die Daten innerhalb des EWR-Raumes (das sind die EU-Staaten sowie die EWR-Staaten Liechtenstein, Island, Norwegen) übermittelt oder überlassen? Werden die Daten in Drittstaaten (zB USA) übermittelt oder überlassen?

  • Eine Übermittlung oder Überlassung von direkt personenbezogenen Daten erfolgt ausschließlich im EWR-Raum: Innerhalb des EWR ist eine Übermittlung oder Über­lassung ohne Genehmigung der Datenschutzbehörde möglich.

    Achtung!
    Auch wenn bei einer Datenübermittlung oder –überlassung innerhalb des EWR keine Genehmigung der Datenschutzbehörde für diesen Vorgang erforderlich ist, bedeutet das nicht, dass nicht eventuell (vgl. oben „Hinweis“) eine Zustimmungserklärung des Betroffenen eingeholt werden muss (dazu siehe das Infoblatt „Verarbeitung von Daten und datenschutzrechtliche Zustimmungserklärung“)       .

  • Übermittlung oder –überlassung von Daten in Drittstaaten, wie zB in die USA: liegt eine Übermittlung oder –überlassung von Daten in Drittstaaten vor, so sind die weiteren Prüfschritte einzuhalten. 

3. In welche Drittstaaten werden die direkt personenbezogenen Daten übermittelt? In Drittstaaten mit angemessenem Datenschutz gemäß der Datenschutzangemessenheits-Verordnung oder in andere Drittstaaten? 

  • Es erfolgt eine Übermittlung oder Überlassung in Staaten mit angemessenem Datenschutz gemäß der Datenschutzangemessenheits-Verordnung (Schweiz, Argentinien, Guernsey, Insel Man, Jersey, Färöer Inseln, Andorra, Uruguay, Neuseeland, Israel, Kanada): Bei Übermittlungen oder Überlassungen in diese Staaten bedarf es keiner behördlichen Genehmigung.

  • EU-US-Privacy Shield: Erfolgt eine Übermittlung oder Überlassung an US-Unternehmen, die in der „Privacy Shield List“ eingetragen sind, bedarf es keiner behördlichen Genehmigung (siehe dazu „EU-US-Privacy Shield“).

Achtung!
Dies bedeutet aber nicht, dass nicht eventuell (vgl. oben „Hinweis“) eine Zustimmung des Betroffenen eingeholt werden muss (dazu siehe das Infoblatt „Informationen über die Zustimmungserklärung“)

  • Es erfolgt eine Übermittlung oder Überlassung in andere Drittstaaten (wie z.B. Indien): hier bedarf es der Prüfung weiterer Schritte.  

4. Liegt eine der sonstigen Voraussetzungen für genehmigungsfreie Übermittlungen oder Überlassungen gemäß § 12 DSG vor? 

Genehmigungsfrei sind folgende Datenübermittlung oder -überlassungen:  

  • Die Daten wurden im Inland zulässigerweise veröffentlicht

  • Es handelt sich um solche Daten, die für den Empfänger nur indirekt personenbezogen sind

  • Rechtsvorschriften im Gesetzesrang sehen eine Datenübermittlung oder –überlassung vor

  • Daten aus Anwendungen für private Zwecke oder publizistische Tätigkeiten werden übermittelt

  • der Betroffene hat ohne jeden Zweifel seine Zustimmung zur Übermittlung oder Überlassung seiner Daten ins Ausland gegeben

  • ein vom Auftraggeber mit dem Betroffenen oder mit einem Dritten eindeutig im Interesse des Betroffenen abgeschlossener Vertrag kann nicht anders als durch Übermittlung der Daten ins Ausland erfüllt werden

  • die Datenübermittlung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor ausländischen Behörden erforderlich und die Daten wurden rechtmäßig im Inland ermittelt

  • die Datenübermittlung oder –überlassung ist in einer Standard- oder Musteranwendung (siehe Infoblatt „Datenschutz durch Standard- und Musteranwendungen in der Wirtschaft sowie Link zur Verordnung) ausdrücklich angeführt

  • es handelt sich um einen Datenverkehr mit österreichischen Dienststellen im Ausland

  • es sich um Übermittlungen oder Überlassungen aus Datenanwendungen gemäß § 17 Abs 3 DSG 2000 handelt (es handelt sich hier vor allem um Datenanwendungen, die Zwecken der öffentlichen Sicherheit und der Vorbeugung, Verhinderung und Ver­folgung von Straftaten dienen)

sowie bei Dringlichkeit und umgehender nachträglicher Mitteilung an die Datenschutzbehörde: 

  • zur Wahrung eines wichtigen öffentlichen Interesses ist eine Datenübermittlung oder –überlassung notwendig

  • zur Wahrung eines lebenswichtigen Interesses einer Person ist eine Datenübermittlung oder –überlassung notwendig

Achtung: 
Auch im Falle der Genehmigungsfreiheit der Überlassung an einen Dienstleister ist es notwendig, dass dieser die Dienstleisterpflichten gem. § 11 Abs. 1 DSG 2000 einhält (§ 12 Abs. 5 DSG 2000). Aufgrund dieser Bestimmungen ist ein Dienstleistervertrag abzuschließen (vgl. §§ 10 und 11 DSG 2000) (vgl. dazu das Infoblatt „Der „Dienstleister“ im Datenschutzrecht“).

 5. Wenn keine der Voraussetzungen für eine genehmigungsfreie Datenübermittlung oder –überlassung vorliegt, muss bei der Datenschutzbehörde vor der Übermittlung/Überlassung der Daten in Drittstaaten eine Genehmigung eingeholt werden

(siehe dazu auch das Infoblatt „Datenverkehr mit dem Ausland“).  

Dem Antrag müssen eine Begründung für die Genehmigung sowie die erforderlichen Unterlagen beigelegt werden. Als erforderliche Unterlagen können dem Antrag je nach Sachverhalt Folgendes beigelegt werden: 

  • Angabe, ob eine Meldepflicht beim Datenverarbeitungsregister erfüllt wurde

  • die EU-Standardvertragsklauseln, die mit dem Datenempfänger im Drittstaat zwecks Schutzes des Geheimhaltungsinteresses der Betroffenen vereinbart wurden. (Die EU-Standardvertragsklauseln können hier abgerufen werden.)

  • innerhalb eines Konzerns können sog. „Corporate Binding Rules“ vereinbart worden sein; in diesem Fall ist die Vorlage dieser Unterlagen bei der Datenschutzbehörde zweckmäßig.

  • eventuell wurden weitere „Safeguards“ mit dem Datenempfänger im Drittstaat vereinbart (zB Verschlüsselungstechnologien).

Bitte wählen Sie oben ein Bundesland aus, um Kontakte und Serviceangebote des Bundeslandes zu erhalten.