th share video content contact download event event-wifi cross checkmark close icon-window-edit icon-file-download icon-phone xing whatsapp wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht twitter search print pdf mail linkedin Google-plus facebook pinterest skype vimeo snapchat arrow-up arrow-right arrow-left arrow-down calendar user home icon-gallery icon-flickr icon-youtube icon-instagram

EU-Datenschutz-Grundverordnung (DSGVO): Prüfschema internationaler Datenverkehr

Übersicht der Prüfschritte

Dieses Prüfschema zum „internationalenr Datenverkehr“ erfasst Übermittlungen von personenbezogenen Daten an Drittländer oder internationale Organisationen . Es ist dabei unerheblich, ob an weitere Verantwortliche oder Auftragsverarbeiter übermittelt wird. 

Vorab prüft der Verantwortliche, ob

Prüfschritte

1. Werden personenbezogene Daten von natürlichen Personen an (gemeinsam oder weitere) Verantwortliche oder Auftragsverarbeiter übermittelt („Know your transfers“)?

Werden keine personenbezogenen Daten übermittelt, endet die Prüfung hier. 

Werden personenbezogene Daten übermittelt, weiter zur Frage 2.  

2. Auf welcher Rechtsgrundlage erfolgt die Übermittlung?

  • Übermittlung an andere Verantwortliche: Prüfung der Grundlage für die Übermittlung von „schlicht-personenbezogenen“ oder sensiblen Daten nach den allgemeinen Grundsätzen (z.B. Einwilligung der betroffenen Person, etc.)

Übermittlungen an AuftragsverarbeiterNicht fett!: Es ist keine weitere Rechtmäßigkeitsgrundlage nötig, allerdings muss ein Auftragsverarbeitervertrag abgeschlossen sein.

3. Werden die Daten innerhalb des EWR-Raumes (das sind die EU-Staaten sowie die EWR-Staaten Liechtenstein, Island, Norwegen) an (weitere oder gemeinsam) Verantwortliche bzw. Auftragsverarbeiter übermittelt?

Wenn ja, sind keine weiteren Rechtsgrundlagen zu prüfen.

Wenn personenbezogene Daten in Staaten außerhalb des EWR-Raums übermittelt werden, weiter zur Frage 4.

4. Werden die Daten an (weitere oder gemeinsam) Verantwortliche bzw. Auftragsverarbeiter in Drittländer oder internationale Organisationen übermittelt?

Der Begriff „Drittländer“ umfasst Staaten, die nicht Mitglied der Europäischen Union (EU) oder des Europäischen Wirtschaftsraumes (EWR) sind. Unter „Internationalen Organisationen“ werden völkerrechtliche Organisationen und ihre nachgeordneten Stellen oder jede sonstige Einrichtung verstanden, die durch eine zwischen zwei oder mehr Ländern geschlossene Übereinkunft oder auf der Grundlage einer solchen Übereinkunft geschaffen werden (z.B. UNO, OSZE).

Übermittlungen von personenbezogenen Daten in Drittländer oder internationale Organisationen sind nur bei Erfüllung einer der nachfolgenden Voraussetzungen rechtmäßig:

4.1 Liegt für das Drittland, in das eine Datenübermittlung erfolgen soll, ein Angemessenheitsbeschluss der Europäischen Kommission vor?

Die Europäische Kommission kann mit Beschluss aussprechen, dass das Datenschutzregime des jeweiligen Drittlands ein mit der EU vergleichbares Datenschutzniveau aufweist. In diesem Fall sind keine weiteren Rechtsgrundlagen mehr zu prüfen.

Derzeit bestehen Angemessenheitsentscheidungen für folgende Staaten: Andorra, Argentinien, Färöer Inseln, Guernsey, Insel Man, Israel, Japan, Jersey, Kanada, Neuseeland, Schweiz, Südkorea, Uruguay, Vereinigtes Königreich Großbritannien und Nordirland.

4.2 Wenn kein Angemessenheitsbeschluss der Europäischen Kommission vorliegt: Liegen sonstige „geeigneter Garantien“ vor?

Solche „geeigneten Garantien“ können sein:

  • verbindliche interne Datenschutzvorschriften (Binding Corporate Rules), die von der zuständigen Aufsichtsbehörde genehmigt worden sind
  • Standarddatenschutzklauseln, die von der Kommission erlassen oder von einer Aufsichtsbehörde angenommen und von der Kommission genehmigt worden sind
Achtung: Bei Datenübermittlung in unsichere Drittländer auf Grundlage von Standarddatenschutzklauseln ist eine Risikoeinschätzung nötig (Transfer-Datenschutzfolgenabschätzung, Transfer Impact Assessments oder TIA). Eine solche Analyse muss eine Beschreibung des geplanten Transfers, die allgemeinen Parameter der Analyse (z.B. Zeitraum), die Sicherheitsvorkehrungen für den Transfer und die Risikoanalyse eines problematischen Zugriffs im Zielland erfassen.
  • genehmigte Verhaltensregeln oder ein genehmigter Zertifizierungsmechanismus

Achtung: Bei Datenübermittlung aufgrund „geeigneter Garantien“ muss geprüft werden, ob die Garantien tatsächlich geeignet sind, um einen sicheren Transfer zu ermöglichen. Sollten weiterhin Lücken im Schutz der personenbezogenen Daten im Drittland bestehen, müssen zusätzliche effektive technische, vertragliche oder organisatorische Maßnahmen („supplementary measures“) wie bspw. Pseudonymisierungs-, Verschlüsselungs- oder ähnliche Maßnahmen eingeführt werden (s. hierzu die Empfehlungen des Europäischen Datenschutzausschusses, 2. Anhang). 

4.3 Wenn weder ein Angemessenheitsbeschluss der Europäischen Kommission noch sonstige „geeignete Garantien“ vorliegen: Wird eine der nachfolgenden Voraussetzungen erfüllt?

  • Es liegt eine ausdrückliche Einwilligung des Betroffenen (nach Unterrichtung über die Risiken einer Übermittlung ohne Vorliegen eines Angemessenheitsbeschlusses oder geeigneter Garantien) vor
Achtung: Es ist nach derzeitigem Diskussionsstand aber fraglich, ob Datenverarbeitungen über Webseiten mit einer Einwilligung arbeiten können, weil hier nicht mehr von einem „Einzelfall“ gesprochen werden kann. Wer eine risikolose Datenverarbeitung möchte, muss sich um geeignete technische Sicherheitsmaßnahmen für die transferierten personenbezogenen Daten (Verschlüsselung, Pseudonymisierung oder Anonymisierung) kümmern oder sollte sich für europäische Alternativen entscheiden.
  • die Übermittlung ist für die Erfüllung eines Vertrages zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich
  • die Übermittlung ist zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einer anderen natürlichen oder juristischen Person geschlossen Vertrags erforderlich
  • die Übermittlung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich
  • die Übermittlung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder anderer Personen erforderlich, sofern die betroffene Person aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben
  • die Übermittlung ist aus wichtigen Gründen des öffentlichen Interesses notwendig oder die Übermittlung erfolgt aus einem Register, das nach dem Recht der Union oder der Mitgliedstaaten zur Information der Öffentlichkeit bestimmt ist

4.4. Liegen keine der unter 4.1.-4.3. genannten Fälle vor?

Falls keine der genannten Ausnahmen vorliegt, darf eine Übermittlung in ein Drittland oder eine internationale Organisation nur dann erfolgen,  

  • wenn die Übermittlung nicht wiederholt erfolgt,
  • nur eine begrenzte Zahl von betroffenen Personen betrifft, und
  • für die Wahrung der zwingenden berechtigten Interessen des Verantwortlichen erforderlich ist.

Letzteres gilt nur, sofern die Interessen oder die Rechte und Freiheiten der betroffenen Person nicht überwiegen und der Verantwortliche geeignete Garantien in Bezug auf den Schutz personenbezogener Daten vorgesehen hat. Der Verantwortliche muss die Aufsichtsbehörde von solchen Übermittlungen in Kenntnis setzen und die betroffene Person über die Übermittlung und seine zwingenden berechtigten Interessen informieren.

Die Anlage "Internationaler Datenverkehr: Prüfungs- und Entscheidungsbaum" finden Sie unter Downloads. 

Stand: