In grenzüberschreitend tätigen Konzernen und Unternehmen gehört der internationale Datentransfer (insbesondere von Arbeitnehmer- und Kundendaten) zum alltäglichen Geschäft. Der folgende Beitrag gibt einen Überblick der hierbei zu beachtenden datenschutzrechtlichen Vorgaben und erläutert, was beachtet werden muss, sobald Daten die deutsche Grenze überschreiten.

Grundsatz des "angemessenen Datenschutzniveaus"

Gemäß der Datenschutzrichtlinie 2002/58/EG (in Ergänzung der Datenschutzrichtlinie 95/46/EG) und §§ 4b, c BSDG können personenbezogene Daten in Drittstaaten nur bei Vorliegen eines "angemessenen Schutzniveaus" übermittelt werden.

Dieses "angemessene Datenschutzniveau" wird eingehalten, wenn den wesentlichen Datenschutzgrundsätzen der europäischen Datenschutzrichtlinien entsprochen wird.

Datenübermittlung ins EU-Ausland grundsätzlich zulässig

Von zentraler Bedeutung ist danach zunächst, ob personenbezogene Daten aus Deutschland an eine Stelle in einem anderen EU-Land (einschließlich Norwegen, Island und Liechtenstein) oder in das "EU-Ausland" (so genannte "Drittländer") übermittelt werden sollen. Insoweit dürfen personenbezogene Daten (soweit die Übermittlung im Übrigen zulässig ist) stets in ein anderes EU-Land übermittelt werden.

"Angemessenheitsentscheidungen" der EU-Kommission

Daneben hat die EU-Kommission für die Länder Argentinien, Guernsey, Isle of Man, Jersey, Kanada und die Schweiz die Angemessenheit des dortigen Datenschutzniveaus verbindlich festgestellt. Auch in diese Länder dürfen daher grundsätzlich personenbezogene Daten übermittelt werden, ohne dass es einer näheren Befassung mit dem Datenschutzniveau dieser Länder bedarf.