Personenbezogene Daten im Visier

So funktioniert grenzüberschreitender Datenschutz

Renate Oettinger ist Diplom-Kauffrau Dr. rer. pol. und arbeitet als freiberufliche Autorin, Lektorin und Textchefin in München. Ihre Fachbereiche sind Wirtschaft, Recht und IT.

Zu ihren Kunden zählen neben den IDG-Redaktionen CIO, Computerwoche, TecChannel und ChannelPartner auch Siemens, Daimler und HypoVereinsbank sowie die Verlage Campus, Springer und Wolters Kluwer.
Was passiert eigentlich, wenn Daten Ländergrenzen überschreiten? Dr. Sebastian Kraska und Alma Lena Fritz zeigen auf, was Unternehmen beachten müssen.
Der internationale Datentransfer gehört für viele Konzerne inzwischen zum Alltag.
Der internationale Datentransfer gehört für viele Konzerne inzwischen zum Alltag.
Foto: Fotolia, virtua73

In grenzüberschreitend tätigen Konzernen und Unternehmen gehört der internationale Datentransfer (insbesondere von Arbeitnehmer- und Kundendaten) zum alltäglichen Geschäft. Der folgende Beitrag gibt einen Überblick der hierbei zu beachtenden datenschutzrechtlichen Vorgaben und erläutert, was beachtet werden muss, sobald Daten die deutsche Grenze überschreiten.

Grundsatz des "angemessenen Datenschutzniveaus"

Gemäß der Datenschutzrichtlinie 2002/58/EG (in Ergänzung der Datenschutzrichtlinie 95/46/EG) und §§ 4b, c BSDG können personenbezogene Daten in Drittstaaten nur bei Vorliegen eines "angemessenen Schutzniveaus" übermittelt werden.

Dieses "angemessene Datenschutzniveau" wird eingehalten, wenn den wesentlichen Datenschutzgrundsätzen der europäischen Datenschutzrichtlinien entsprochen wird.

Datenübermittlung ins EU-Ausland grundsätzlich zulässig

Von zentraler Bedeutung ist danach zunächst, ob personenbezogene Daten aus Deutschland an eine Stelle in einem anderen EU-Land (einschließlich Norwegen, Island und Liechtenstein) oder in das "EU-Ausland" (so genannte "Drittländer") übermittelt werden sollen. Insoweit dürfen personenbezogene Daten (soweit die Übermittlung im Übrigen zulässig ist) stets in ein anderes EU-Land übermittelt werden.

"Angemessenheitsentscheidungen" der EU-Kommission

Daneben hat die EU-Kommission für die Länder Argentinien, Guernsey, Isle of Man, Jersey, Kanada und die Schweiz die Angemessenheit des dortigen Datenschutzniveaus verbindlich festgestellt. Auch in diese Länder dürfen daher grundsätzlich personenbezogene Daten übermittelt werden, ohne dass es einer näheren Befassung mit dem Datenschutzniveau dieser Länder bedarf.