So funktioniert internationaler Datenschutz

Beitrag von Herrn Rechtsanwalt Dr. Sebastian Kraska und Frau Rechtsanwältin Alma Lena Fritz

07.10.2009 - In grenzüberschreitend tätigen Konzernen und Unternehmen gehört der internationale Datentransfer (insbesondere von Arbeitnehmer- und Kundendaten) zum alltäglichen Geschäft. Der folgende Beitrag gibt einen ersten Überblick der hierbei zu beachtenden datenschutzrechtlichen Vorgaben und erläutert was beachtet werden muss, sobald Daten die deutsche Grenze überschreiten.

Grundsatz des „angemessenen Datenschutzniveaus“

Gemäß der Datenschutzrichtlinie 2002/58/EG (in Ergänzung der Datenschutzrichtlinie 95/46/EG) und §§ 4 b, c BSDG können personenbezogene Daten in Drittstaaten nur bei Vorliegen eines „angemessenen Schutzniveaus“ übermittelt werden.

Dieses „angemessene Datenschutzniveau“ wird eingehalten, wenn den wesentlichen Datenschutzgrundsätzen der europäischen Datenschutzrichtlinien entsprochen wird.

Datenübermittlung ins EU-Ausland grundsätzlich zulässig

Von zentraler Bedeutung ist danach zunächst, ob personenbezogene Daten aus Deutschland an eine Stelle in einem anderen EU-Land (einschließlich Norwegen, Island und Liechtenstein) oder in das „EU-Ausland“ (so genannte „Drittländer“) übermittelt werden sollen. Insoweit dürfen personenbezogene Daten (soweit die Übermittlung im Übrigen zulässig ist) stets in ein anderes EU-Land übermittelt werden.

„Angemessenheitsentscheidungen“ der EU-Kommission

Daneben hat die EU-Kommission für die Länder Argentinien, Guernsey, Isle of Man, Jersey, Kanada und die Schweiz die Angemessenheit des dortigen Datenschutzniveaus verbindlich festgestellt. Auch in diese Länder dürfen daher grundsätzlich personenbezogene Daten übermittelt werden, ohne dass es einer näheren Befassung mit dem Datenschutzniveau dieser Länder bedarf.

Ausnahme USA: Die so genannten „Safe-Harbour-Principles“

Die USA haben aus Sicht des europäischen Normgebers kein angemessenes Datenschutzniveau. Um eine praktikable Lösung für die in der Praxis häufig vorkommende Übermittlung personenbezogener Daten in die USA sicherzustellen, wurden die so genannten Safe-Harbour-Principles (zu Deutsch „Grundsätze des sicheren Hafens“) entwickelt. Diese umfassen datenschutzrechtliche Vorgaben insbesondere hinsichtlich der Auskunfts- und Informationspflichten der Unternehmen, der Weitergabe und Sicherheit personenbezogener Daten, der Datenintegrität sowie der Durchsetzung datenschutzrechtlicher Ansprüche.

Amerikanische Unternehmen können diesen Prinzipen freiwillig beitreten, indem sie sich gegenüber amerikanischen Behörden zur Einhaltung der Safe-Harbour-Priciple verpflichten. Der Beitritt wird auf einer entsprechenden Liste des US-Handelsministeriums registriert, welche auch die Einhaltung der Safe-Harbour-Principles überwacht und einen Verstoß mit Strafen versieht. Durch die Eintragung in die Liste gehen die Unternehmen bindende rechtliche Verpflichtungen ein. Aus Sicht der europäischen Union besteht bei Beitritt zu diesen Safe-Harbour-Priciples auch insoweit (also bezüglich der beigetretenen Unternehmen) ein angemessenes Datenschutzniveau, so dass auch an diese Unternehmen dann grundsätzlich personenbezogene Daten übermittelt werden können.

Im Übrigen: Gestattung nach § 4 c Abs. 1 BDSG

Liegt keine der vorgenannten Ausnahmen vor kann eine Datenübermittlung in ein Drittland auch dann erfolgen, wenn§ 4 c Abs. 1 BDSG einschlägig ist. Dieser nennt dabei insbesondere folgende (restriktiv auszulegenden) Gestattungsmöglichkeiten:

  1. Der Betroffene hat seine Einwilligung gegeben.
  2. Die Übermittlung ist zu Vertragserfüllung notwendig und/oder liegt im Interesse des Betroffenen.
  3. Die Übermittlung ist für die Wahrung eines wichtigen öffentlichen Interesses, zur Geltendmachung von Rechtsansprüchen oder zur Wahrung lebenswichtiger Interessen erforderlich.


Dabei ist die Stelle, an die die Daten übermittelt werden, immer darauf hinzuweisen, dass die übermittelten Daten nur zu dem Zweck verarbeitet oder genutzt werden dürfen, zu dessen Erfüllung sie übermittelt werden.

Letzte Möglichkeit: Vertragliche Sicherstellung des angemessenen Datenschutzniveaus

Greifen auch die Tatbestände des § 4 c Abs. 1 BDSG nicht verbleibt dem deutschen Unternehmen noch die Möglichkeit, ein angemessenes Datenschutzniveau und die Wahrung der Rechte der von der Übermittlung betroffenen Personen vertraglich zu wahren. Dies kann durch Einzelverträge zwischen dem deutschen und dem ausländischen Unternehmen geschehen. Die Europäische Kommission hat hierfür drei so genannte „Standardverträge“ geprüft, die nach Entscheidung der Kommission eine ausreichende Grundlage für eine datenschutzrechtlich zulässige Übermittlung personenbezogener Daten gewährleisten.

Leitfaden für die Auslandsübermittlung

Insofern gelten die folgenden Prinzipien:

  1. Innerhalb der EU (einschließlich Norwegen, Island und Liechtenstein) kann man aufgrund der harmonisierten Datenschutzgesetze von dem gleichen Datenschutzniveau wie in der Bundesrepublik ausgehen. Länder außerhalb der EU mit einem vergleichbaren angemessenen Datenschutzniveau sind zudem Argentinien, Guernsey, Isle of Man, Jersey, Kanada und die Schweiz. In dieser Länder dürfen personenbezogene Daten grundsätzlich übermittelt werden.
  2. Ausnahmsweise dürfen personenbezogene Daten auch an Unternehmen in die USA (als Land ohne angemessenem Datenschutzniveau) übermittelt werden, wenn sich das jeweilige Unternehmen den Safe-Harbour-Principles unterworfen hat.
  3. Im Übrigen dürfen personenbezogene Daten nur übermittelt werden, wenn ausnahmsweise gemäß § 4 c Abs. 1 BDSG eine Übermittlung trotz unangemessenen Datenschutzniveaus zulässig ist, oder sich das die personenbezogene Daten erhaltende Unternehmen im Ausland in so genannten Standardverträgen zur Einhaltung bestimmter Datenschutzvorschriften verpflichtet hat.

Fazit

Bei der Übermittlung personenbezogener Daten außerhalb der EU besteht für europäische Unternehmen grundsätzlich Handlungsbedarf, um Streitigkeiten mit den Datenschutz-Aufsichtsbehörden zu vermeiden. Je nach Einzelfall muss durch Zertifizierung der Gegenseite (bei US-Unternehmen) oder dem Abschluss von Datenschutz-Verträgen sichergestellt werden, dass ein aus europäischer Sicht angemessenes Datenschutzniveau gewährleistet wird, wenn keine Ausnahme nach § 4 c Abs. 1 BDSG einschlägig ist.

Sebastian Kraska Var2

Über den Autor - Rechtsanwalt Dr. Sebastian Kraska

Herr Dr. Sebastian Kraska gründete die IITR Datenschutz GmbH, die auf den Bereich des betrieblichen Datenschutzes spezialisiert ist und als Anbieter von Datenschutz-Management-Systemen mehr als 2.500 Unternehmen bei der Bewältigung datenschutzrechtlicher Anforderungen unterstützt.

Herr Dr. Kraska selbst ist als Rechtsanwalt ausschließlich im Datenschutzrecht sowie gemeinsam mit Regionalpartnern als externer Datenschutzbeauftragter tätig und betreut dabei Unternehmen und Behörden. Er ist zudem Beirat der Zeitschrift ZD des Beck-Verlages.

Jetzt beraten lassen

Rückrufservice

 

Beratung vereinbaren