Datenschutz

Datenschutz-Aufsichtsbehörden: Datenübermittlung in Drittstaaten erfordert Prüfung in zwei Stufen

17.09.2013

IITR Information[IITR – 17.09.13] Der Düsseldorfer Kreis (Gremium in der Konferenz der Datenschutz-Aufsichtsbehörden des Bundes und der Länder) hat in einer Stellungnahme betont, dass die Datenübermittlung in Drittstaaten zwingend eine zweistufige Prüfung erfordert.

In dem Beschluss vom 11./12. September 2013 heißt es (die Verlinkungen wurden ergänzt):

“Bei Datenübermittlungen in einen Drittstaat, also einen Staat außerhalb des Europäischen Wirtschaftsraums, sind Datenschutzfragen auf zwei Stufen zu prüfen:

Auf der ersten Stufe ist es erforderlich, dass die Datenübermittlung durch eine Einwilligung der betroffenen Person oder eine Rechtsvorschrift gerechtfertigt ist. Hierbei gelten die allgemeinen Datenschutzvorschriften (z.B. §§ 28 und 32 Bundesdatenschutzgesetz (BDSG)) mit der Besonderheit, dass trotz Vorliegens einer Auftragsdatenverarbeitung die Datenübermittlung nach § 4 Abs. 1 BDSG zulässig sein muss (vgl. § 3 Abs. 8 BDSG). Bei Auftragsdatenverarbeitung ist der Prüfungsmaßstab in der Regel § 28 Abs. 1 Satz 1 Nr. 2 BDSG, bei sensitiven Daten ist § 28 Abs. 6 ff. BDSG zu beachten.

Auf der zweiten Stufe ist zu prüfen, ob im Ausland ein angemessenes Datenschutzniveau besteht oder die Ausnahmen nach § 4c BDSG vorliegen.

Die Datenübermittlung ist nur zulässig, wenn auf beiden Stufen ein positives Prüfungsergebnis vorliegt.”

Kontakt:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-1891 7360
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Rechtsanwalt Dr. Sebastian Kraska

Über den Autor - Rechtsanwalt Dr. Sebastian Kraska

Herr Dr. Sebastian Kraska gründete die IITR Datenschutz GmbH, die auf den Bereich des betrieblichen Datenschutzes spezialisiert ist und als Anbieter von Datenschutz-Management-Systemen Unternehmen bei der Bewältigung datenschutzrechtlicher Anforderungen unterstützt.

Herr Dr. Kraska selbst ist als Rechtsanwalt ausschließlich im Datenschutzrecht sowie gemeinsam mit Regionalpartnern als externer Datenschutzbeauftragter tätig und betreut dabei Unternehmen und Behörden. Er ist zudem Beirat der Zeitschrift ZD des Beck-Verlages.

Beitrag teilen:

1 Kommentar zu diesem Beitrag:

Patrick Paddington

Sehr geehrter Herr Dr. Kraska,
ich habe von Kollegen (Nicht-Juristen) gehört, sobald Daten von einer Auslandsniederlassung in einem Data-Center in Deutschland gespeichert/ verarbeitet werden, so müssen sie dort verbleiben. Die Daten unterliegen dann natürlich dt. Rechtssprechung und dt. Compliance Richtlinien. Ich kann mir aber nicht vorstellen, dass die Daten dann nicht wieder zurück in die ursprüngl. Entities gesendet werden dürfen. Meines Wissens nach, wird so etwas durch Datentransferverträge zw. den einzelnen Niederlassungen geregelt, auch (oder gerade wenn) sie sich in unterschiedlichen Ländern befinden. Könnten Sie mir dies bestätigen? Vielen Dank und mit den besten Grüßen. Patrick Paddington

Kommentar schreiben:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

IITR Chatbot IITR Chatbot