Drittland – Übermittlung personenbezogener Daten an Drittländer, Art. 44 ff. DSGVO?

Die Übermittlung personenbezogener Daten an ein Drittland kann bspw. dann relevant werden, wenn US-amerikanische Webdienste im Unternehmen Anwendung finden sollen, z.B. YouTube, Twitter etc. Neben dem grundsätzlich erforderlichen Erlaubnistatbestand für die Übermittlung (Datenverarbeitung) sind ferner die Anforderungen aus Art. 44 ff. DSGVO zu beachten.

Bestenfalls liegt daher für die Datenübermittlung ein Angemessenheitsbeschluss der Europäischen Kommission (Art. 45 DSGVO) vor, der bestätigt, dass das Drittland ein vergleichbares Datenschutzniveau bietet, wie es in der EU durch die DSGVO vorgeschrieben ist. Derzeit besonders relevant ist diesbezüglich z.B. das EU-US Privacy Shield, was den danach zertifizierten US-amerikanischen Unternehmen ein vergleichbares Datenschutzniveau bestätigt, im Moment aber durchaus kritisch gesehen werden kann.

Liegt kein Angemessenheitsbeschluss vor, so kommen geeignete Garantien des Verantwortlichen nach Art. 46 DSGVO für die Datenübermittlung in ein Drittland in Betracht. Hierunter fallen rechtlich bindende und durchsetzbare Dokument im Sinne des Art. 46 Abs. 2 lit. a) DSGVO, Binding Corporate Rules (Art. 47 DSGVO), genehmigte Verhaltensregeln (Art. 40 DSGVO) oder Zertifizierungsmechanismen (Art. 42 DSGVO) sowie Standarddatenschutzklauseln/-vertragsklauseln der EU-Kommission oder einer Aufsichtsbehörde (Art. 93 Abs. 2 DSGVO).

Können weder geeignete Garantien noch ein Angemessenheitsbeschluss nachgewiesen werden, so verbleiben lediglich vereinzelte Ausnahmetatbestände für die Datenübermittlung in Art. 49 DSGVO. Hierunter fällt beispielsweise die ausdrückliche Einwilligung nach Art. 49 Abs. 1 S. 1 lit. a) DSGVO, nachdem die betroffene Person über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde. Ebenso ist eine Übermittlung zulässig, sofern sie für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich ist, vgl. Art. 49 Abs. 1 S. 1 lit. b) DSGVO.