Übermittlung in Drittstaaten: Beschluss der Datenschutz Aufsichtsbehörden

Der sog. Düsseldorfer Kreis (Gremium der Datenschutz-Aufsichtsbehörden des Bundes und der Länder) hat einen Beschluss zur Prüfung von Datenübermittlungen in Drittstaaten (12./13.September 2013) veröffentlicht.

Drittstaaten sind Länder außerhalb der EU bzw. des Europäischen Wirtschaftsraumes (also auch: Schweiz (!)).

Hierbei gilt die Besonderheit, dass trotz Vorliegens einer Auftragsdatenverarbeitung die Datenübermittlung nach § 4 Abs. 1 BDSG zulässig sein muss (vgl. § 3 Abs. 8 BDSG) [Anmerkung: in Berlin: § 6, 3 BlnDSG] .

Soll eine Datenübermittlung erfolgen, ist eine zweistufige Prüfung erforderlich:

Zunächst ist zu prüfen, ob die Datenübermittlung durch eine Einwilligung oder eine Rechtsgrundlage gerechtfertigt ist.

Wenn dies der Fall ist, ist in einem zweiten Schritt zu prüfen, ob ein sog. angemessenes Datenschutzniveau gegeben ist. Dies ist nur bei bestimmten Ländern bzw. unter bestimmten zusätzlichen Voraussetzungen der Fall. Ausgangspunkt für die Bestimmung ist in der Regel ein EU-Kommissionsbeschluss.Zudem kann bei Fehlen eines angemessenen Niveaus ggf. durch zusätzliche Vereinbarung sog. Standardvertragsklauseln ein positives Ergebnis erreicht werden.

Die Datenübermittlung ist nur zulässig, wenn auf beiden Stufen ein positives Prüfungsergebnis vorliegt.

 

18. September 2013 | Veröffentlicht von Ansgar Heitkamp
Veröffentlicht unter Allgemein