Internationaler Datenverkehr

Internationale Kontakte und Geschäftsbeziehungen prägen das moderne Wirtschaftsleben. Der Austausch personenbezogener Daten über nationale Grenzen hinweg ist meist Bestandteil dieser internationalen Beziehungen. Damit der Schutz der Persönlichkeitsrechte auch im internationalen Geschäftsverkehr gewahrt bleibt, sind für Datenverarbeitungen, die nicht ausschließlich im Geltungsbereich des Bundesdatenschutzgesetzes stattfinden, einige Besonderheiten zu beachten. Es gilt dabei regelmäßig zwei Fragen zu klären:

 

Welches nationale Datenschutzrecht ist auf eine Verarbeitung personenbezogener Daten anwendbar?

Bei der Verarbeitung von Daten über weltweit verzweigte Netzstrukturen oder weil teilweise ausländische Stellen mit einzelnen Datenverarbeitungsschritten beauftragt werden, besteht bei vielen Unternehmen oft Unklarheit darüber, auf welche Verarbeitung personenbezogener Daten sie welches nationale Datenschutzrecht anwenden müssen. Wir erläutern Lösungen für die in der Praxis häufigsten Fallkonstellationen.
Mehr zum richtigen nationalen Datenschutzrecht

 

Welche Anforderungen sind bei der Übermittlung von Daten in das Ausland zum Schutz der Persönlichkeitsrechte zu beachten?

Wenn eine Daten verarbeitende Stelle personenbezogene Daten aus Deutschland heraus an eine Stelle in einem anderen Staat übermittelt, trägt sie die Verantwortung dafür, dass diese Übermittlung die Persönlichkeitsrechte der betroffenen Personen nicht verletzt. Je nach der Grundlage der Datenübermittlung und je nachdem, in welchen Staat übermittelt wird, sind unterschiedliche Anforderungen zu beachten. Die folgenden Ausführungen richten sich in erster Linie an nicht-öffentliche Stellen und beziehen sich auf die Vorgaben des Bundesdatenschutzgesetzes in den §§ 4b, 4c (Regelungen zu Datenübermittlungen in das Ausland durch öffentliche Stellen in NRW sind in § 17 Datenschutzgesetz NRW getroffen).
Mehr zum Datenschutz bei Übermittlung in das Ausland

 

Arbeitshilfen

Besonders international agierende Konzerne und Unternehmen mit vernetzten Strukturen müssen sich bei ihrem Datenverkehr mit oft komplizierten Datenschutzfragen auseinandersetzen. Der Düsseldorfer Kreis, die Arbeitskonferenz der Datenschutzaufsichtsbehörden in Deutschland, hat deswegen nach einer Konsultation von Vertreterinnen und Vertretern aus der Wirtschaft Arbeitshilfen erstellt. Das Positionspapier stellt die Rechtsauffassung der Datenschutzaufsichtsbehörden zu in der Praxis häufig anzutreffenden Rechtsfragen dar. Die Handreichung mit Fallgruppen zur internationalen Auftragsdatenverarbeitung beinhaltet die häufigsten Fallkonstellationen und soll Unternehmen die rechtliche Bewertung erleichtern.

 

Auftragsdatenverarbeitung durch Datenverarbeiter in Drittstaaten

Die Anforderungen des § 11 Bundesdatenschutzgesetz müssen auch bei der Weitergabe von Daten an Auftragsdatenverarbeiter in Drittstaaten eingehalten werden.

Mehr zur Auftragsdatenverarbeitung in Drittstaaten.

 

 

Datenschutzbehörden in Europa

Hier finden Sie die Adressen der und Links zu den Datenschutzbeauftragten und -kommissionen der Staaten des Europäischen Wirtschaftsraumes und zum Europäischen Datenschutzbeauftragten.

 

 

Datenübermittlungen in die USA – Fragen und Antworten zum EU-US Privacy Shield

Stand: 12.09.2016

 

Dieser Beitrag gibt einen Überblick über die Regelungen des EU-US Privacy Shield. Er richtet sich schwerpunktmäßig an verantwortliche Stellen. Zur Umsetzung der Angemessenheitsentscheidung der EU-Kommission über das EU-US Privacy Shield sind Abstimmungen zwischen den Aufsichtsbehörden in Deutschland und der EU erforderlich - auch um gemeinsame Verständnisse in Auslegungs¬fragen zu erreichen. Die folgenden Informationen werden deshalb kontinuierlich aktualisiert, erweitert und gegebenenfalls angepasst.

Bis zum 06.10.2015 konnten Datenübermittlungen in die USA über die entsprechende Angemessenheitsentscheidung der EU-Kommission auf die sogenannten Safe-Harbor-Grundsätze gestützt werden. Der Europäische Gerichtshof (EuGH) hat jedoch mit Urteil vom 06.10.2015 die Angemessenheitsent¬scheidung der EU-Kommission zu Safe Harbor für ungültig erklärt (Az. C-362/14). Datenübermittlungen in die USA können deshalb nicht mehr auf die Regelungen zu Safe Harbor und entsprechende Selbstzertifizierungen von US-Unternehmen gestützt werden. In Folge dieses Urteils hat die EU-Kommission mit den USA das sogenannte EU-US Privacy Shield verhandelt. Dieses soll die durch den EuGH aufgestellten Vorgaben erfüllen und Safe Harbor ersetzen.

Mit Beschluss vom 12.07.2016 hat die EU-Kommission die Entscheidung getroffen, dass unter den Regelungen des EU-US Privacy Shield ein angemessenes Datenschutzniveau für Datenübermittlungen in die USA besteht.

Die Artikel-29-Gruppe, in der die europäischen Datenschutzbehörden zusammenarbeiten, begrüßt Verbesserungen im Vergleich zur Safe-Harbor-Entscheidung. Sie bedauert in ihrer Presseerklärung vom 26.07.2016 jedoch, dass mit dem EU-US Privacy Shield nicht alle Bedenken ausgeräumt sind.

- Hier können Sie alle Fragen und Antworten komplett herunterladen -