In vielen Unternehmen sind Datenübermittlungen in Drittstaaten an der Tagesordnung: Sei es im Konzern, bei dem Mutter oder Tochter im Ausland außerhalb der EU bzw. des EWR sitzen, KMUs mit einer Vertriebs- oder Partnergesellschaft oder auch im kleinen Start-Up, das einen Newsletter-Versandanbieter mit Sitz in den USA verwendet. Das Bundesdatenschutzgesetz stellt an die Übermittlung personenbezogener Daten in Drittstaaten spezielle Anforderungen. Grundlage ist, dass die Datenverarbeitung nach deutschem Recht rechtmäßig ist. Ergänzend müssen jedoch die Anforderungen der §§ 4b und 4c BDSG eingehalten werden. Hier ein Überblick über die ergänzenden Voraussetzungen (einzelne, ausführliche Beiträge folgen):
Datenübermittlungen in Drittstaaten: Möglichkeiten der Zulässigkeit:
Safe-Harbor-Abkommen: „Safe-Harbor“ ist ein Abkommen, das die EU-Kommission mit der FTC abgeschlossen hat. Es handelt sich um eine Selbstverpflichtung der teilnehmenden US-Unternehmen, die sich zur Einhaltung von Standards verpflichten, die dem europäischen Datenschutzniveau entsprechen sollen. Das Abkommen ist vielfacher Kritik ausgesetzt, da die Einhaltung der Anforderungen durch die FTO nicht kontrolliert wird – und die Enthüllungen durch Edward Snowden ebenfalls nicht zu mehr Vertrauen beigetragen haben. Wer seine Datenübermittlung in die USA auf Safe Harbor stützen möchte, sollte verschiedene ergänzende Anforderungen der deutschen Aufsichtsbehörden Zudem kann es passieren, dass das Abkommen gekündigt wird.
- Update 6.10.2015: Safe Harbor ist tot, nach dem Urteil des EuGH und kann nicht mehr verwendet werden. Es sind nun die anderen Varianten heranzuziehen.
- EU-Standardvertragsklauseln: Das in der Praxis wichtigste Instrument sind die EU-Standardvertragsklauseln. Diese haben den Vorteil, dass – wenn die Klauseln vollständig und unverändert verwendet werden – keine Genehmigung der Verträge durch die nationalen Datenschutzbehörden erforderlich ist, Art. 26 Abs. 4 EG-DSRL. Sie können formalisiert verwendet werden und dienen Unternehmen regelmäßig zur rechtskonformen Datenübermittlung in Drittstaaten. Zu beachten ist, dass die deutschen Aufsichtsbehörden verlangen, dass die Anhänge ausgefüllt werden und um die Anforderungen des § 11 BDSG ergänzt, die die Klauseln selbst nicht enthalten. Dies ist mit geringen Aufwand Nachteil der Klauseln ist, dass Pflege und Abschluss unübersichtlich werden, wenn eine Vielzahl von Übermittlungen vorliegt.
- Binding Corporate Rules (BCR): Zunehmende Bedeutung erlangen BCR, die für Konzerne und Gruppen eine komfortable Möglichkeit der Datenübermittlung bieten. Wenn diese umgesetzt sind, bieten die BCR weitgehende Möglichkeiten der Datenübermittlung in Drittstaaten. Sie stellen sicher, dass die teilnehmenden Unternehmen das europäische Datenschutzniveau einhalten und erfordern keine einzelnen Genehmigungen oder Verträge. Nachteil ist, dass die Umsetzung aufwändig ist und eine Abstimmung mit allen Datenschutzbehörden der Länder erfolgen muss, in denen Konzern/Unternehmensgruppe ihren Sitz haben.
- Besondere Tatbestände: Nur marginalen Anwendungsbereich haben die Tatbestände der § 4c Abs. 1 Nr. 2 – 6 BDSG, die spezielle Einzelfälle regeln. Am relevantesten ist wohl die Nr. 2, die vorsieht, dass im Falle von vertraglichen Beziehungen Daten in Drittstaaten übermittelt werden können. Dies bezieht sich beispielsweise auf die Buchung von Hotels oder Mietwagen in den USA, für die die persönlichen Daten des Fahrers vorliegen müssen. Die Nr. 3 kann Anwendung finden bei D&O-Versicherungen für Mitarbeiter. Erkrankt eine Person im Drittstaat lebensgefährdend, können gem. Nr. 5 Gesundheitsdaten in den Drittstaat übermittelt werden.
- Einwilligung: In Einzelfällen kann eine Einwilligung der Betroffenen eingeholt werden (§ 4c Abs. 1 Nr. 1 BDSG). Die Anforderungen sind hoch, es ist vor allem dann darauf zurückzugreifen, wenn es keine anderen Möglichkeiten zur Übertragung So beispielsweise, wenn ein deutsches Unternehmen Daten seiner Mitarbeiter zur Teilnahme am konzernweiten Aktienoptionsprogramm an die außereuropäische Muttergesellschaft übermitteln möchte. Einwilligung in Datenübermittlungen in Drittstaaten müssen die besonderen Risiken darstellen, welche sich aus der Datenübermittlung in ein Land ohne ausreichendes Datenschutzniveau ergeben.
Hinweis: Zu den einzelnen Feldern der Datenübermittlung in Drittstaaten folgen noch einzelne Beiträge, die die Themen ausführlicher darstellen. Viele andere Beiträge zum Datenschutz finden Sie schon jetzt in meinem Blog.