Zahl­rei­che Un­ter­neh­men in anderen Ländern sind immer dann be­trof­fen, wenn sich EU-weit etwas tut. Dies gilt für den Daten­schutz be­son­ders seit dem 25. Mai 2018 – dem Gül­tig­wer­den der Da­ten­­­schutz-Grun­d­­ver­­or­d­­nung (DS-GVO).

Die DS-GVO regelt den ein­heit­li­chen Schutz für den Umgang von per­so­nen­be­zo­ge­nen Daten in der Eu­ro­päi­schen Union (EU). Un­ter­neh­men, die per­so­nen­be­zo­ge­ne Daten von EU-Bürgern ver­ar­bei­ten, müssen sich, ausgend vom An­wen­dungs­be­reich, an die Re­ge­lun­gen der DS-GVO halten. Dies gilt für Un­ter­neh­men mit Sitz au­ßer­halb der EU, aus Da­ten­schutz­sicht, für so ge­nann­te Dritt­län­der – sobald sie Daten von EU-Bürgern ver­ar­bei­ten oder als Auf­trags­ver­ar­bei­ter in Ver­trags­be­zie­hun­gen zu EU-Un­­ter­­neh­­men stehen.

Welche Grund­sät­ze gelten für eine Da­ten­über­mitt­lung in Drittländer?
Nach der DS-GVO gilt wie bisher auch: es kommt darauf an, ob der Da­ten­ver­ar­bei­ter im Dritt­land ein an­ge­mes­se­nes Da­ten­schutz­ni­veau einhält. Ist dies nicht der Fall, ist zu prüfen, ob eine Aus­nah­me für die Da­ten­über­mitt­lung greift.

Die DS-GVO sieht für Da­ten­trans­fers in Dritt­län­der fol­gen­de Mög­lich­kei­ten vor (für öf­fent­li­che Stellen gelten im Ein­zel­fall er­gän­zen­de Regelungen):

  • Fest­stel­lung der An­ge­mes­sen­heit des Da­ten­schutz­ni­veaus im Dritt­land durch die EU-Kom­­mis­­si­on (Art. 45 DS-GVO)
    oder
  • Vor­lie­gen ge­eig­ne­ter Ga­ran­tien (Art. 46 DS-GVO)
    – Ver­bind­li­che interne Da­ten­schutz­vor­schrif­ten (Binding Cor­po­ra­te Rules) (Art.  46 Abs. 2 Buch­sta­be b, Artikel 47)
    – Stan­dard­da­ten­schutz­klau­seln der Kom­mis­si­on oder einer Auf­sichts­be­hör­de (Art. 46 Abs. 2 Buch­sta­be c und d)
    – Ge­neh­mig­te Ver­hal­tens­re­geln und ge­neh­mig­ter Zer­ti­fi­zie­rungs­me­cha­nis­mus (Art.l 46 Abs. 2 Buch­sta­be e und f)
    – Einzeln aus­ge­han­del­te Ver­trags­klau­seln (Art. 46 Abs. 3)
    oder
  • Aus­nah­men für be­stimm­te Fälle (Art. 49 DS-GVO)
    • Ein­wil­li­gung (Art. 49 Abs. 1 Un­ter­ab­satz 1 Buch­sta­be a)
    • Er­for­der­lich­keit zur Ver­trags­er­fül­lung (Art. 49 Abs. 1 Un­ter­ab­satz 1 Buch­sta­be b und c)
    • Wich­ti­ge Gründe des öf­fent­li­chen In­ter­es­ses (Art. 49 Abs. 1 Un­ter­ab­satz 1 Buch­sta­be d)
    • Ver­fol­gung von Rechts­an­sprü­chen (Art. 49 Abs. 1 Un­ter­ab­satz 1 Buch­sta­be e)
    • Schutz le­bens­wich­ti­ger In­ter­es­sen (Art. 49 Abs. 1 Un­ter­ab­satz 1 Buch­sta­be f)
    • Wahrung zwin­gen­der be­rech­tig­ter In­ter­es­sen (Art.l 49 Abs. 1 Un­ter­ab­satz 2 Satz 1

Was müssen An­bie­ter mit Sitz au­ßer­halb der EU beachten?
Neu zur bis­he­ri­gen Rechts­la­ge ist, der ter­ri­to­ria­le An­wen­dungs­be­reich der DS-GVO.
Gemäß Art. 3 Abs. 2 der DS-GVO (räum­li­cher An­wen­dungs­be­reich) findet die Ver­ord­nung An­wen­dung, sobald ein nicht in der Union nie­der­ge­las­se­ner Ver­ant­wort­li­cher oder Auf­trags­ver­ar­bei­ter Daten von be­trof­fe­nen Per­so­nen, die sich in der Union be­fin­den, ver­ar­bei­tet. Man spricht hier vom so ge­nann­ten „Markt­ort­prin­zip„. Davon be­trof­fen sind somit unter anderem Be­trei­ber von Online-Por­­ta­­len, Ver­sand­händ­ler, Ex­por­teu­re sowie jeg­li­che Dienst­leis­ter, die Leis­tun­gen in der EU an­bie­ten und dabei per­so­nen­be­zo­ge­ne Daten verarbeiten.
Das be­deu­tet, das Markt­ort­prin­zip gilt, wenn ein Un­ter­neh­men weder seinen Sitz noch eine Nie­der­las­sung in der EU hat, jedoch Per­so­nen in der EU ent­gelt­lich oder un­ent­gelt­lich Waren oder Dienst­leis­tun­gen anbiete oder deren Ver­hal­ten (Pro­fil­ing, Track­ing) be­ob­ach­tet. Die bloße Zu­gäng­lich­keit einer Web­sei­te z. B. führt nicht au­to­ma­tisch zur An­wen­dung der DS-GVO, al­ler­dings die Ver­wen­dung einer Sprache oder Währung, die in einem oder meh­re­ren Mit­glied­staa­ten der EU ge­bräuch­lich ist in Ver­bin­dung mit der Mög­lich­keit, Waren und/oder Dienst­leis­tun­gen in der anderen Sprache zu ver­wen­den (Er­wä­gungs­grund 23).

Weitere In­for­ma­tio­nen: DSK Kurz­pa­pier Nr. 4 Da­ten­über­mitt­lung in Drittländer

Daten­schutz ist kein Produkt. Daten­schutz ist ein Prozess.
Wenn Sie Fragen haben, kon­tak­tie­ren Sie uns:
per E-Mail consulting@AdOrgaSolutions.de oder
Büro München +49 89 411 726 – 35 / Büro Wien +43 1 253 017- 8177

Wie können wir Ihnen weiterhelfen?

Kontaktieren Sie uns: Wir sind gerne für Sie da!