computerwoche.de

Compliance & Recht

Personenbezogene Daten im Visier

So funktioniert grenzüberschreitender Datenschutz

18.05.2011
Von 


Renate Oettinger war Diplom-Kauffrau Dr. rer. pol. und arbeitete als freiberufliche Autorin, Lektorin und Textchefin in München. Ihre Fachbereiche waren Wirtschaft, Recht und IT. Zu ihren Kunden zählten neben den IDG-Redaktionen CIO, Computerwoche, TecChannel und ChannelPartner auch Siemens, Daimler und HypoVereinsbank sowie die Verlage Campus, Springer und Wolters Kluwer. Am 29. Januar 2021 ist Renate Oettinger verstorben.
Alle Posts des Autors Email:

Ausnahme USA: die sogenannten "Safe-Harbour-Principles"

Die USA haben aus Sicht des europäischen Normgebers kein angemessenes Datenschutzniveau. Um eine praktikable Lösung für die in der Praxis häufig vorkommende Übermittlung personenbezogener Daten in die USA sicherzustellen, wurden die so genannten Safe-Harbour-Principles (zu Deutsch "Grundsätze des sicheren Hafens") entwickelt. Diese umfassen datenschutzrechtliche Vorgaben insbesondere hinsichtlich der Auskunfts- und Informationspflichten der Unternehmen, der Weitergabe und Sicherheit personenbezogener Daten, der Datenintegrität sowie der Durchsetzung datenschutzrechtlicher Ansprüche.

Amerikanische Unternehmen können diesen Prinzipen freiwillig beitreten, indem sie sich gegenüber amerikanischen Behörden zur Einhaltung der Safe-Harbour-Priciple verpflichten. Der Beitritt wird auf einer entsprechenden Liste des US-Handelsministeriums registriert, die auch die Einhaltung der Safe-Harbour-Principles überwacht und einen Verstoß mit Strafen versieht.

Durch die Eintragung in die Liste gehen die Unternehmen bindende rechtliche Verpflichtungen ein. Aus Sicht der europäischen Union besteht bei Beitritt zu diesen Safe-Harbour-Priciples auch insoweit (also bezüglich der beigetretenen Unternehmen) ein angemessenes Datenschutzniveau, sodass auch an diese Unternehmen dann grundsätzlich personenbezogene Daten übermittelt werden können.

Gestattung nach § 4c Abs. 1 BDSG

Liegt keine der vorgenannten Ausnahmen vor kann eine Datenübermittlung in ein Drittland auch dann erfolgen, wenn § 4c Abs. 1 BDSG einschlägig ist. Dieser nennt dabei insbesondere folgende (restriktiv auszulegenden) Gestattungsmöglichkeiten:

1. Der Betroffene hat seine Einwilligung gegeben.

2. Die Übermittlung ist zu Vertragserfüllung notwendig und/oder liegt im Interesse des Betroffenen.

3. Die Übermittlung ist für die Wahrung eines wichtigen öffentlichen Interesses, zur Geltendmachung von Rechtsansprüchen oder zur Wahrung lebenswichtiger Interessen erforderlich.

Dabei ist die Stelle, an die die Daten übermittelt werden, immer darauf hinzuweisen, dass die übermittelten Daten nur zu dem Zweck verarbeitet oder genutzt werden dürfen, zu dessen Erfüllung sie übermittelt werden.