Datenübermittlung

Im heutigen Wirtschaftsalltag ist durch zunehmende Globalisierung und Konzernbildung grenzüberschreitende Datenübermittlung mittlerweile sehr häufig zu beobachten. Dies betrifft oft auch personenbezogene Daten. Um den Schutz der Persönlichkeitsrechte der Betroffenen zu wahren, gibt es eine Reihe von Bedingungen, die zu beachten sind.

Wenn eine verantwortliche Stelle personenbezogene Daten aus Deutschland an einen Empfänger in einem anderen Staat übermittelt, bleibt sie für die Daten verantwortlich. Der Übermittler muss sicherstellen können, dass die Persönlichkeitsrechte der Betroffenen durch die Übermittlung nicht verletzt werden.

Grundsätzlich muss gemäß §4 Abs. 1 BDSG vorab geprüft werden, ob die geplante Übermittlung überhaupt zulässig ist. Dies kann durch zwei Faktoren gegeben sein:

  1. es ist durch ein Gesetz erlaubt
  2. die betroffenen Personen haben ihre Einwilligung erteilt (§4a BDSG)

Diese Prüfung erfolgt immer und unabhängig davon, in welches Land die Daten übermittelt werden sollen. Auch bei einer geplanten Übermittlung im Inland muss zuerst die Zulässigkeit festgestellt werden. Fehlt diese, darf eine Übermittlung nicht stattfinden.

Als nächstes ist es erforderlich zu prüfen, ob in dem Land, in das die Daten übermittelt werden sollen, ein angemessenes Datenschutzniveau herrscht. Ist das nicht der Fall, ist eine Datenübermittlung unter Umständen nicht zulässig. Hier ist es wichtig zu wissen, welche Voraussetzungen nötig sind um eine Übermittlung begründen zu können.
Es gibt aktuell drei Kategorien von Staaten, in denen ein angemessenes Datenschutzniveau herrscht und in die, Zulässigkeit vorausgesetzt, Daten übermittelt werden dürfen:

1. EU/EWR – Europäischer Wirtschaftsraum
Hierzu zählen alle Mitgliedstaaten der EU sowie Island, Norwegen und Liechtenstein

2. Staaten mit angemessenem Schutzniveau, attestiert durch die EU
Andorra, Argentinien, Australien, Kanada,  Schweiz, Färöer Inseln, Guerney, Israel, Isle of Man

3. USA nur in Verbindung mit dem Safe Harbor Abkommen
Grundsätzlich besteht in den USA kein angemessenes Datenschutzniveau. Um für europäische Geschäftspartner ein angemessenes Datenschutzniveau zu bieten, können US-Unternehmen die vom US-Handelsministerium erstellten Grundsätze des „sicheren Hafens“ anerkennen. Informationen zu Safe Harbor finden Sie hier. Das ist jedoch kein Freibrief für Datenübermittlung, denn es gibt für die exportierende Stelle auch Pflichten zur Überprüfung der importierenden Stelle.

Findet Datenübermittlung an eine Stelle in einem Drittstaat statt, also eine Stelle auf die keine der oben genannten Kategorien zutrifft, muss die exportierende Stelle grundsätzlich selbst sicherstellen, dass der Empfänger dennoch ein angemessenes Schutzniveau vorweisen kann. In solche einem Fall ist es dringend empfehlenswert, die von der EU ausgearbeiteten EU-Standardvertragsklauseln zu verwenden und einen Vertrag zwischen der exportierenden und der importierenden Stelle zu schließen. Nur so kann für den Betroffenen eine Garantie für den Schutz seiner Persönlichkeitsrechte gewährleistet werden. Dieser Vertrag kann ohne Prüfung der Aufsichtsbehörde verwendet werden, wenn er in seiner ursprünglichen Form verwendet wird. Werdne jedoch einzelne klauseln individuell verändert, bedarf der Vertrag einer Genehmigung durch die Aufsichtsbehörde.

Sie sehen also, bei der Datenübermittlung ins Ausland muss man sehr genau auf alle Details achten, um die Persönlichkeitsrechte der Betroffenen nicht zu verletzen.

Schreibe einen Kommentar