Neben der Verarbeitung personenbezogener Daten innerhalb der Mitgliedstaaten sowie des EWR-Raumes, regelt die DSGVO (Datenschutzgrundverordnung (EU) 2016/679) im 5. Kapitel unter anderem die Zulässigkeitsvoraussetzungen der Übertragung bzw. Verarbeitung in sogenannten Drittländern, kurzum den internationalen Datentransfer.

Nicht unterschieden wird hierbei, ob der Empfänger staatlich oder privat ist.

Praktisch relevant ist dies insbesondere für die Wahl des Serverstandortes, als auch für jene eines möglichen Auftragsverarbeiters. Eine ebenso wichtige Rolle spielen diese Vorgaben zudem bei der Implementierung bestimmter Anwendungen auf der Website. Man denke hier insb. an US-amerikanische Unternehmen wie Google, Meta usw.

Die DSGVO nennt 3 Voraussetzungen für einen Datentransfer in ein Drittland, welche sicherstellen sollen, dass das Schutzniveau personenbezogener Daten jedenfalls gewahrt bleibt: der Angemessenheitsbeschluss, das Vorliegen geeigneter Garantien, sowie die Ausnahmen für bestimmte Fälle. Zu beachten gilt es aber, dass für jeden Transfer immer die gesamten Vorschriften der DSGVO Anwendung finden, weshalb diese nicht ausser Acht gelassen dürfen.

Der Angemessenheitsbeschluss ist ein von der Kommission erlassener formeller Beschluss, welcher jene Drittländer aufzählt, bei denen die Kommission davon ausgeht, dass das Niveau des Datenschutzes jenem der EU/dem EWR entspricht. Die gilt beispielsweise für die Schweiz.

Die Vereinigten Staaten hingegen gewähren personenbezogenen Daten kein angemessenes Schutzniveau (das vormals geltende EU-U.S. Privacy Shield wurde am 16.07.2020 vom EuGH für ungültig erklärt), weshalb die Vereinigten Staaten im Angemessenheitsbeschluss nicht genannt sind.

In diesem Fall ist das Vorliegen anderer geeigneter Garantien eine weitere Möglichkeit, um einen rechtmässigen Datentransfer in ein Drittland zu ermöglichen.

Von besonderer Relevanz sind dabei die EU- Standarddatenschutzklauseln, welche als Regelwerk von der EU-Kommission und den Aufsichtsbehörden genehmigt wurden. Dieses pauschale Regelwerk kann direkt zwischen dem Verantwortlichen und dem Auftragsverarbeiter verwendet werden. Ab dem 27. Dezember 2022 sind zudem die neuen Standarddatenschutzklauseln zu verwenden.

Hierbei gilt es zu beachten, dass die Drittländer ein angemessenes Schutzniveau der personenbezogenen Daten gewährleisten müssen, dh das Recht oder die Praxis des jeweiligen Drittlandes dürfen die Wirksamkeit der geeigneten Garantie nicht beeinträchtigen.

Existiert weder ein Angemessenheitsbeschluss, noch liegen geeignete Garantien vor, nennt die DSGVO einige Ausnahmen für bestimmte Fälle, welche die Datenübermittlungen, einzelfallbezogen in Drittländer dennoch ermöglichen. Ausnahmen sind beispielsweise die Einwilligung der betroffenen Person oder die Erforderlichkeit der Datenübermittlung zur Vertragserfüllung.

Die Nennung des Drittlandes im Angemessenheitsbeschlusses der Kommission bietet daher die schnellste und rechtssicherste Grundlage, da die EU-Kommission das Schutzniveau jener Drittländer bestätigt und folglich keine weitere Prüfung des jeweiligen Schutzniveaus erforderlich ist.

Die anderen beiden Voraussetzungen, dh das Vorliegen geeigneter Garantien oder eine der in der DSGVO genannten Ausnahmefälle sind immer gemessen am Schutzniveau des konkreten Drittlandes zu beurteilen.

Zu beachten ist daher, dass die DSGVO bei Verstößen gegen die Bestimmungen zur Übermittlung personenbezogener Daten an Drittländer Geldbußen von bis zu 20 Mio. Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres vorsieht. Jüngstes und sehr prominentes Beispiel ist hier die jüngst gegen den Facebook-Konzern „META“ verhängte Rekordstrafe iHv EUR 1,2 Milliarden.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.