Personenbezogene Daten im Visier

So funktioniert grenzüberschreitender Datenschutz

18.05.2011
Von 


Renate Oettinger war Diplom-Kauffrau Dr. rer. pol. und arbeitete als freiberufliche Autorin, Lektorin und Textchefin in München. Ihre Fachbereiche waren Wirtschaft, Recht und IT. Zu ihren Kunden zählten neben den IDG-Redaktionen CIO, Computerwoche, TecChannel und ChannelPartner auch Siemens, Daimler und HypoVereinsbank sowie die Verlage Campus, Springer und Wolters Kluwer. Am 29. Januar 2021 ist Renate Oettinger verstorben.

Letzte Möglichkeit: Vertragliche Sicherstellung des angemessenen Datenschutzniveaus

Greifen auch die Tatbestände des § 4c Abs. 1 BDSG nicht verbleibt dem deutschen Unternehmen noch die Möglichkeit, ein angemessenes Datenschutzniveau und die Wahrung der Rechte der von der Übermittlung betroffenen Personen vertraglich zu wahren. Dies kann durch Einzelverträge zwischen dem deutschen und dem ausländischen Unternehmen geschehen. Die Europäische Kommission hat hierfür drei so genannte "Standardverträge" geprüft, die nach Entscheidung der Kommission eine ausreichende Grundlage für eine datenschutzrechtlich zulässige Übermittlung personenbezogener Daten gewährleisten.

Leitfaden für die Auslandsübermittlung

Insofern gelten die folgenden Prinzipien:

1. Innerhalb der EU (einschließlich Norwegen, Island und Liechtenstein) kann man aufgrund der harmonisierten Datenschutzgesetze von dem gleichen Datenschutzniveau wie in der Bundesrepublik ausgehen. Länder außerhalb der EU mit einem vergleichbaren angemessenen Datenschutzniveau sind zudem Argentinien, Guernsey, Isle of Man, Jersey, Kanada und die Schweiz. In dieser Länder dürfen personenbezogene Daten grundsätzlich übermittelt werden.

2. Ausnahmsweise dürfen personenbezogene Daten auch an Unternehmen in die USA (als Land ohne angemessenem Datenschutzniveau) übermittelt werden, wenn sich das jeweilige Unternehmen den Safe-Harbour-Principles unterworfen hat.

3. Im Übrigen dürfen personenbezogene Daten nur übermittelt werden, wenn ausnahmsweise gemäß § 4c Abs. 1 BDSG eine Übermittlung trotz unangemessenen Datenschutzniveaus zulässig ist, oder sich das die personenbezogene Daten erhaltende Unternehmen im Ausland in so genannten Standardverträgen zur Einhaltung bestimmter Datenschutzvorschriften verpflichtet hat.

Fazit

Bei der Übermittlung personenbezogener Daten außerhalb der EU besteht für europäische Unternehmen grundsätzlich Handlungsbedarf, um Streitigkeiten mit den Datenschutz-Aufsichtsbehörden zu vermeiden. Je nach Einzelfall muss durch Zertifizierung der Gegenseite (bei US-Unternehmen) oder dem Abschluss von Datenschutz-Verträgen sichergestellt werden, dass ein aus europäischer Sicht angemessenes Datenschutzniveau gewährleistet wird, wenn keine Ausnahme nach § 4c Abs. 1 BDSG einschlägig ist. (oe)

Der Autor Dr. Sebastian Kraska ist Rechtsanwalt und externer Datenschutzbeauftragter im IITR Institut für IT-Recht - Kraska GmbH. Die Autorin Alma Lena Fritz ist Rechtsanwältin und externe Datenschutzbeauftragte im IITR Institut für IT-Recht - Kraska GmbH.

Kontakt:

IITR Institut für IT-Recht - Kraska GmbH, Eschenrieder Straße 62c, 82194 Gröbenzell, Tel.: 089 5130392-0, e-mail: skraska@iitr.de, Internet: www.iitr.de