th share video content contact download event event-wifi cross checkmark close xing wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht twitter search print pdf mail LinkedIn Google-plus Facebook Whatsapp Flickr Youtube Instagram Pinterest Skype Vimeo Snapchat arrow-up arrow-right arrow-left arrow-down calendar user home

EU-Datenschutz-Grundverordnung (DSGVO): Prüfschema internationaler Datenverkehr

Übersicht der Prüfschritte

Hinweis: Die Bestimmungen der DSGVO und des österreichischen Datenschutzgesetzes (DSG) in der Fassung des Datenschutz-Anpassungsgesetzes 2018 und des Datenschutz-Deregulierungs-Gesetzes 2018 gelten seit 25.5.2018. Alle Datenverarbeitungen müssen dieser Rechtslage entsprechen. (Siehe dazu „Überblick“)

Unter dem Begriff „internationaler Datenverkehr“ werden Übermittlungen von personenbezogenen Daten an Drittländer oder an internationale Organisationen verstanden. Der Begriff „Drittländer“ umfasst Staaten, die nicht Mitglied der Europäischen Union (EU) oder des Europäischen Wirtschaftsraumes (EWR) sind. Unter „Internationalen Organisationen“ werden völkerrechtliche Organisationen und ihre nachgeordneten Stellen oder jede sonstige Einrichtung verstanden, die durch eine zwischen zwei oder mehr Ländern geschlossene Übereinkunft oder auf der Grundlage einer solchen Übereinkunft geschaffen werden (z.B. UNO, OSZE).

Zunächst hat jeder Verantwortliche zu prüfen, ob

  • er für die Datenverarbeitung inklusive einer Übermittlung an weitere oder gemeinsam Verantwortliche bzw. Auftragsverarbeiter die allgemeinen Grundsätze der Datenverarbeitung einhält,
  • eine Rechtmäßigkeitsgrundlage für die Übermittlung an weitere oder gemeinsame Verantwortliche vorliegt, sowie
  • die sonstigen Rechtspflichten, denen er unterliegt (z.B. Einhaltung der Betroffenenrechte, Ergreifen geeigneter Datensicherheitsmaßnahmen, Datenschutz-Folgenabschätzung), erfüllt. Weiters sind die zusätzlichen Voraussetzungen zu prüfen, die für den internationalen Datenverkehr relevant sind.

„(Gemeinsam) Verantwortliche“ sind natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die allein oder gemeinsam mit anderen über die Zwecke und (wesentlichen) Mittel der Verarbeitung von personenbezogenen Daten entscheiden. „Weitere Verantwortliche“ sind natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, außer der betroffenen Person, dem ersten Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, personenbezogene Daten zu verarbeiten, und über den Zweck und den (wesentlichen) Mitteleinsatz der Datenverarbeitung entscheiden.

Unter „Auftragsverarbeiter“ versteht die DSGVO natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeiten.

Prüfschritte

1. Werden überhaupt personenbezogene Daten von natürlichen Personen an (gemeinsam oder weitere) Verantwortliche oder Auftragsverarbeiter übermittelt?

Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („Betroffener“) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt (z.B. durch Namen) oder indirekt (z.B. durch IP-Nummern oder Standortdaten) oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität der natürlichen Person sind, identifiziert werden kann.

2. Auf welcher Rechtsgrundlage erfolgt die Übermittlung an (weitere oder gemeinsam) Verantwortliche bzw. Auftragsverarbeiter?

Für die Übermittlung „nicht-sensibler Daten“ an (weitere oder gemeinsam) Verantwortliche ist zu prüfen, ob eine der nachfolgenden Rechtmäßigkeitsgrundlagen im konkreten Einzelfall vorliegt:

  • die betroffene Person hat eine Einwilligung zur Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben
  • Besonderheiten bei Einwilligungserklärungen von Kindern: bei Angeboten von Diensten der Informationsgesellschaft, die einem Kind direkt gemacht werden, ist die Einwilligungserklärung eines Kindes nur dann datenschutzrechtlich gültig, wenn es das 14. Lebensjahr vollendet hat. In sonstigen Fällen hat die Einwilligung durch den Träger der elterlichen Verantwortung oder mit dessen Zustimmung zu erfolgen
  • die Datenverarbeitung ist für die Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen erforderlich
  • die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich
  • die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen
  • die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde
  • die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen

Bei besonderen Kategorien personenbezogener Daten („sensible Daten“) kommen für Übermittlungen an (weitere oder gemeinsam) Verantwortliche folgende Rechtmäßigkeitsgrundlagen infrage:

  • Vorliegen einer ausdrücklichen Einwilligung
  • Vorliegen einer gesetzlichen Grundlage (einschließlich Kollektivverträgen Betriebsvereinbarungen) zur Ausübung von Rechten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes
  • Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person (und die betroffene Person ist aus körperlichen oder rechtlichen Gründen außerstande ihre Einwilligung zu geben)
  • Datenverarbeitung durch eine politische, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation ohne Gewinnerzielungsabsicht im Rahmen ihrer rechtmäßigen Tätigkeit auf der Grundlage geeigneter Garantien
  • die personenbezogenen Daten wurden durch die betroffene Person offensichtlich öffentlich gemacht
  • zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder Behandlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit
  • aufgrund eines erheblichen öffentlichen Interesses auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats
  • Gesundheitsvorsorge, Arbeitsmedizin, medizinische Diagnostik, Versorgung oder Behandlung im Gesundheits-oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits-oder Sozialbereich (auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaates oder eines Vertrages mit einem Angehörigen eines Gesundheitsberufes). Die Daten müssen von Fachpersonal, das nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen einem Berufsgeheimnis unterliegt, oder Personen, die ebenfalls nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen einer Geheimhaltungspflicht unterliegen, verarbeitet werden
  • aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke (auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaates).

Bei Übermittlungen an Auftragsverarbeiter ist keine Rechtmäßigkeitsgrundlage erforderlich, sofern ein Auftragsverarbeitervertrag mit den notwendigen, gesetzlich vorgeschriebenen Inhalten abgeschlossen wurde.

3. Werden die Daten innerhalb des EWR-Raumes (das sind die EU-Staaten sowie die EWR-Staaten Liechtenstein, Island, Norwegen) an (weitere oder gemeinsam) Verantwortliche bzw. Auftragsverarbeiter übermittelt?

In diesem Fall sind neben den allgemeinen Rechtspflichten, wie etwa die Prüfung der Erfüllung der erforderlichen Rechtmäßigkeitsgrundlagen, keine weiteren Rechtsgrundlagen zu prüfen.

4. Werden die Daten an (weitere oder gemeinsam) Verantwortliche bzw. Auftragsverarbeiter in Drittstaaten oder internationale Organisationen übermittelt?

In diesem Fall sind neben den allgemeinen Rechtspflichten (z.B. Vorliegen von Rechtmäßigkeitsgrundlagen für die Übermittlung, Einhaltung der Grundprinzipien, Erfüllung der Betroffenenrechte etc.) noch weitere Rechtsgrundlagen zu prüfen.

Übermittlungen von personenbezogenen Daten in Drittstaaten oder internationale Organisationen sind nur bei Erfüllung einer der nachfolgenden Voraussetzungen rechtmäßig:

a.) Liegt für das Drittland, in das eine Datenübermittlung erfolgen soll, ein Angemessenheitsbeschluss der Europäischen Kommission vor?

Die Europäische Kommission kann mit Beschluss aussprechen, dass das Datenschutzregime des jeweiligen Drittlands ein mit der EU vergleichbares Datenschutzniveau aufweist. In diesem Fall sind keine weiteren Rechtsgrundlagen mehr zu prüfen.

Derzeit bestehen Angemessenheitsentscheidungen für folgende Staaten: Andorra, Argentinien, Färöer Inseln, Guernsey, Insel Man, Israel, Japan, Jersey, Kanada, Neuseeland, Schweiz und Uruguay.

Ein Sonderfall besteht für die USA: für die USA wurde ein „Selbstzertifizierungsmechanismus“ für Unternehmen („Privacy Shield“) eingerichtet. Danach wird angenommen, dass Unternehmen, die in der sogenannten „Privacy Shield“-Liste des US-amerikanischen Handelsministeriums eingetragen sind (https://www.privacyshield.gov/welcome), ein angemessenes Datenschutzniveau aufweisen und ohne weitere Voraussetzungen an diese Unternehmen Datenübermittlungen vorgenommen werden können.

b.) Wenn kein Angemessenheitsbeschluss der Europäischen Kommission vorliegt: Liegen sonstige „geeigneter Garantien“ vor?

Solche „geeigneten Garantien“ können sein:

  • verbindliche interne Datenschutzvorschriften (Binding Corporate Rules), die von der zuständigen Aufsichtsbehörde genehmigt worden sind
  • Standarddatenschutzklauseln, die von der Kommission erlassen oder von einer Aufsichtsbehörde angenommen und von der Kommission genehmigt worden sind
  • genehmigter Verhaltensregeln oder ein genehmigter Zertifizierungsmechanismus

c.) Wenn weder ein Angemessenheitsbeschluss der Europäischen Kommission noch sonstige „geeigneter Garantien“ vorliegen: Wird eine der nachfolgenden Voraussetzungen erfüllt?

  • Es liegt eine ausdrückliche Einwilligung des Betroffenen (nach Unterrichtung über die Risiken einer Übermittlung ohne Vorliegen eines Angemessenheitsbeschlusses oder geeigneter Garantien) vor
  • die Übermittlung ist für die Erfüllung eines Vertrages zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich
  • die Übermittlung ist zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einer anderen natürlichen oder juristischen Person geschlossen Vertrags erforderlich
  • die Übermittlung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich
  • die Übermittlung ist zum Schutz lebenswichtige Interessen der betroffenen Person oder anderer Personen erforderlich, sofern die betroffene Person aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben
  • die Übermittlung ist das wichtigen Gründen des öffentlichen Interesses notwendig oder die Übermittlung erfolgt aus einem Register, das nach dem Recht der Union oder der Mitgliedstaaten zur Information der Öffentlichkeit bestimmt ist

Falls keine der genannten Ausnahmen vorliegt, darf eine Übermittlung in ein Drittland oder eine internationale Organisation nur dann erfolgen, wenn die Übermittlung nicht wiederholt erfolgt, nur eine begrenzte Zahl von betroffenen Personen betrifft, und für die Wahrung der zwingenden berechtigten Interessen des Verantwortlichen erforderlich ist.

Letzteres gilt nur, sofern die Interessen oder die Rechte und Freiheiten der betroffenen Person nicht überwiegen und der Verantwortliche geeignete Garantien in Bezug auf den Schutz personenbezogener Daten vorgesehen hat. Der Verantwortliche muss die Aufsichtsbehörde von solchen Übermittlungen in Kenntnis setzen und die betroffene Person über die Übermittlung und seine zwingenden berechtigten Interessen informieren.

Die Anlage "Internationaler Datenverkehr: Prüfungs- und Entscheidungsbaum" finden Sie unter Downloads.