Rufen Sie uns an!
02162/361 86 90

Datenübermittlung in Drittländer ist nicht immer zulässig

Ist es nicht schon fast alltäglich, Daten weltweit zu übermitteln? Gehaltslisten werden an den Mutterkonzern mit Sitz in den USA übermittelt, der E-Mail Server wird in Indien betrieben und die E-Mail Archivierung erfolgt in einer Cloud, deren Standort vermutlich gar nicht genau bekannt ist. Und manche nutzen Onlinespeicher in Drittländern (z.B. Dropbox), um sensible Daten mit anderen auszutauschen. Viele machen sich dabei gar keine Gedanken darüber, dass sie dadurch personenbezogene Daten in Länder übermitteln, in denen kein angemessenes Datenschutzniveau herrscht. Und dass diese Übermittlung aufgrund des fehlenden Datenschutzniveaus zunächst NICHT zulässig ist.

Wann genau und unter welchen Bedingungen eine Übermittlung personenbezogener Daten in ein Drittland überhaupt zulässig ist, kann nicht pauschal beantwortet werden. Es gilt immer im Einzelfall zu prüfen, um welche Daten es sich handelt, wohin sie übermittelt werden sollen, wer sie empfangen soll und welchem Zweck die Übermittlung dient. Und vor allem, ob der Betroffene durch die Übermittlung in seinem schutzwürdigen Interesse nicht beeinträchtigt wird.

Die Prüfung von geplanten Übermittlungen außerhalb des Europäischen Wirtschaftsraums fällt in den Aufgabenbereich des Datenschutzbeauftragten, der anhand der ihm zur Verfügung gestellten Informationen die Situation bewertet und eine abschließende Stellungnahme zur geplanten Übermittlung verfasst. Wichtig ist hierbei, dass die gelieferten Informationen vollständig sind, da ansonsten eine zuverlässige Bewertung nicht erfolgen kann.

Denken Sie immer daran, geplante Übermittlungen in Drittländer VOR Beginn der Übermittlung Ihrem Datenschutzbeauftragten anzuzeigen, damit dieser Sie unterstützen kann, die Übermittlung gesetzeskonform im Sinne des Bundesdatenschutzgesetzes durchzuführen. Eine bereits begonnene Übermittlung kann nicht nachträglich „gerade gebogen werden“ und stellt einen Datenschutz Verstoß dar, der mit einem Bußgeld bis zu 300.00,00 EUR oder mehr geahndet werden kann.

Zu Ihrer Information verlinken wir HIER auf den aktuellen Beschluss des Düsseldorfer Kreises (Gremium in der Konferenz der Datenschutz-Aufsichtsbehörden des Bundes und der Länder) vom 11./12. September 2013 beigefügt. Dieser hat in einer Stellungnahme betont, dass die Datenübermittlung in Drittstaaten zwingend eine zweistufige Prüfung erfordert.