Zahlreiche Unternehmen in anderen Ländern sind immer dann betroffen, wenn sich EU-weit etwas tut. Dies gilt für den Datenschutz besonders seit dem 25. Mai 2018 – dem Gültigwerden der Datenschutz-Grundverordnung (DS-GVO).
Die DS-GVO regelt den einheitlichen Schutz für den Umgang von personenbezogenen Daten in der Europäischen Union (EU). Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, müssen sich, ausgend vom Anwendungsbereich, an die Regelungen der DS-GVO halten. Dies gilt für Unternehmen mit Sitz außerhalb der EU, aus Datenschutzsicht, für so genannte Drittländer – sobald sie Daten von EU-Bürgern verarbeiten oder als Auftragsverarbeiter in Vertragsbeziehungen zu EU-Unternehmen stehen.
Welche Grundsätze gelten für eine Datenübermittlung in Drittländer?
Nach der DS-GVO gilt wie bisher auch: es kommt darauf an, ob der Datenverarbeiter im Drittland ein angemessenes Datenschutzniveau einhält. Ist dies nicht der Fall, ist zu prüfen, ob eine Ausnahme für die Datenübermittlung greift.
Die DS-GVO sieht für Datentransfers in Drittländer folgende Möglichkeiten vor (für öffentliche Stellen gelten im Einzelfall ergänzende Regelungen):
- Feststellung der Angemessenheit des Datenschutzniveaus im Drittland durch die EU-Kommission (Art. 45 DS-GVO)
oder - Vorliegen geeigneter Garantien (Art. 46 DS-GVO)
– Verbindliche interne Datenschutzvorschriften (Binding Corporate Rules) (Art. 46 Abs. 2 Buchstabe b, Artikel 47)
– Standarddatenschutzklauseln der Kommission oder einer Aufsichtsbehörde (Art. 46 Abs. 2 Buchstabe c und d)
– Genehmigte Verhaltensregeln und genehmigter Zertifizierungsmechanismus (Art.l 46 Abs. 2 Buchstabe e und f)
– Einzeln ausgehandelte Vertragsklauseln (Art. 46 Abs. 3)
oder - Ausnahmen für bestimmte Fälle (Art. 49 DS-GVO)
• Einwilligung (Art. 49 Abs. 1 Unterabsatz 1 Buchstabe a)
• Erforderlichkeit zur Vertragserfüllung (Art. 49 Abs. 1 Unterabsatz 1 Buchstabe b und c)
• Wichtige Gründe des öffentlichen Interesses (Art. 49 Abs. 1 Unterabsatz 1 Buchstabe d)
• Verfolgung von Rechtsansprüchen (Art. 49 Abs. 1 Unterabsatz 1 Buchstabe e)
• Schutz lebenswichtiger Interessen (Art. 49 Abs. 1 Unterabsatz 1 Buchstabe f)
• Wahrung zwingender berechtigter Interessen (Art.l 49 Abs. 1 Unterabsatz 2 Satz 1
Was müssen Anbieter mit Sitz außerhalb der EU beachten?
Neu zur bisherigen Rechtslage ist, der territoriale Anwendungsbereich der DS-GVO.
Gemäß Art. 3 Abs. 2 der DS-GVO (räumlicher Anwendungsbereich) findet die Verordnung Anwendung, sobald ein nicht in der Union niedergelassener Verantwortlicher oder Auftragsverarbeiter Daten von betroffenen Personen, die sich in der Union befinden, verarbeitet. Man spricht hier vom so genannten „Marktortprinzip„. Davon betroffen sind somit unter anderem Betreiber von Online-Portalen, Versandhändler, Exporteure sowie jegliche Dienstleister, die Leistungen in der EU anbieten und dabei personenbezogene Daten verarbeiten.
Das bedeutet, das Marktortprinzip gilt, wenn ein Unternehmen weder seinen Sitz noch eine Niederlassung in der EU hat, jedoch Personen in der EU entgeltlich oder unentgeltlich Waren oder Dienstleistungen anbiete oder deren Verhalten (Profiling, Tracking) beobachtet. Die bloße Zugänglichkeit einer Webseite z. B. führt nicht automatisch zur Anwendung der DS-GVO, allerdings die Verwendung einer Sprache oder Währung, die in einem oder mehreren Mitgliedstaaten der EU gebräuchlich ist in Verbindung mit der Möglichkeit, Waren und/oder Dienstleistungen in der anderen Sprache zu verwenden (Erwägungsgrund 23).
Weitere Informationen: DSK Kurzpapier Nr. 4 Datenübermittlung in Drittländer
Datenschutz ist kein Produkt. Datenschutz ist ein Prozess.
Wenn Sie Fragen haben, kontaktieren Sie uns:
per E-Mail consulting@AdOrgaSolutions.de oder
Büro München +49 89 411 726 – 35 / Büro Wien +43 1 253 017- 8177