Internationaler Datenverkehr

Internationale Kontakte und Geschäftsbeziehungen prägen das moderne Wirtschaftsleben. Der Austausch personenbezogener Daten über nationale Grenzen hinweg ist meist Bestandteil dieser internationalen Beziehungen. Damit der Schutz der Persönlichkeitsrechte auch im internationalen Geschäftsverkehr gewahrt bleibt, sind für Datenverarbeitungen, die nicht ausschließlich im Geltungsbereich des Bundesdatenschutzgesetzes stattfinden, einige Besonderheiten zu beachten. Es gilt dabei regelmäßig zwei Fragen zu klären:

 

Welches nationale Datenschutzrecht ist auf eine Verarbeitung personenbezogener Daten anwendbar?

Bei der Verarbeitung von Daten über weltweit verzweigte Netzstrukturen oder weil teilweise ausländische Stellen mit einzelnen Datenverarbeitungsschritten beauftragt werden, besteht bei vielen Unternehmen oft Unklarheit darüber, auf welche Verarbeitung personenbezogener Daten sie welches nationale Datenschutzrecht anwenden müssen. Wir erläutern Lösungen für die in der Praxis häufigsten Fallkonstellationen.
Mehr zum richtigen nationalen Datenschutzrecht

 

Welche Anforderungen sind bei der Übermittlung von Daten in das Ausland zum Schutz der Persönlichkeitsrechte zu beachten?

Wenn eine Daten verarbeitende Stelle personenbezogene Daten aus Deutschland heraus an eine Stelle in einem anderen Staat übermittelt, trägt sie die Verantwortung dafür, dass diese Übermittlung die Persönlichkeitsrechte der betroffenen Personen nicht verletzt. Je nach der Grundlage der Datenübermittlung und je nachdem, in welchen Staat übermittelt wird, sind unterschiedliche Anforderungen zu beachten. Die folgenden Ausführungen richten sich in erster Linie an nicht-öffentliche Stellen und beziehen sich auf die Vorgaben des Bundesdatenschutzgesetzes in den §§ 4b, 4c (Regelungen zu Datenübermittlungen in das Ausland durch öffentliche Stellen in NRW sind in § 17 Datenschutzgesetz NRW getroffen).
Mehr zum Datenschutz bei Übermittlung in das Ausland

 

Arbeitshilfen

Besonders international agierende Konzerne und Unternehmen mit vernetzten Strukturen müssen sich bei ihrem Datenverkehr mit oft komplizierten Datenschutzfragen auseinandersetzen. Der Düsseldorfer Kreis, die Arbeitskonferenz der Datenschutzaufsichtsbehörden in Deutschland, hat deswegen nach einer Konsultation von Vertreterinnen und Vertretern aus der Wirtschaft Arbeitshilfen erstellt. Das Positionspapier stellt die Rechtsauffassung der Datenschutzaufsichtsbehörden zu in der Praxis häufig anzutreffenden Rechtsfragen dar. Die Handreichung mit Fallgruppen zur internationalen Auftragsdatenverarbeitung beinhaltet die häufigsten Fallkonstellationen und soll Unternehmen die rechtliche Bewertung erleichtern. Fallgruppe A der Handreichung bezieht sich auf die EU-Standardvertragsklauseln 2002/16/EG und ist für die EU-Standardvertragsklauseln 2010/87/EU nicht mehr anwendbar. Neben der Handreichung des Düsseldorfer Kreises hat auch die Artikel-29-Gruppe Informationen zu den EU-Standardvertragsklauseln für Auftragsverarbeiter in Fragen und Antworten zusammengestellt (WP 176 vom 12.07.2010).

 

Auftragsdatenverarbeitung durch Datenverarbeiter in Drittstaaten

Die Anforderungen des § 11 Bundesdatenschutzgesetz müssen auch bei der Weitergabe von Daten an Auftragsdatenverarbeiter in Drittstaaten eingehalten werden.

Mehr zur Auftragsdatenverarbeitung in Drittstaaten

 

 

Datenschutzbehörden in Europa

Hier finden Sie die Adressen der und Links zu den Datenschutzbeauftragten und -kommissionen der Staaten des Europäischen Wirtschaftsraumes und zum Europäischen Datenschutzbeauftragten.

 

EU-US Privacy Shield – Informationen für Betroffene

Der EU-US Privacy Shield gewährt Ihnen als Betroffenen bestimmte Rechte, für den Fall, dass Ihre personenbezogenen Daten aus der Europäischen Union (z.B. aus Deutschland) an Privacy-Shield-zertifizierte US-Unternehmen übermittelt werden.

Mehr zu den Betroffenenrechten




Datenübermittlungen in die USA – Fragen und Antworten zum EU-US Privacy Shield

Stand: 12.05.2017

 

Dieser Beitrag gibt einen Überblick über die Regelungen des EU-US Privacy Shield. Er richtet sich schwerpunktmäßig an verantwortliche Stellen. Zur Umsetzung der Angemessenheitsentscheidung der EU-Kommission über das EU-US Privacy Shield sind Abstimmungen zwischen den Aufsichtsbehörden in Deutschland und der EU erforderlich - auch um gemeinsame Verständnisse in Auslegungsfragen zu erreichen. Die folgenden Informationen werden deshalb kontinuierlich aktualisiert, erweitert und gegebenenfalls angepasst.

Bis zum 06.10.2015 konnten Datenübermittlungen in die USA über die entsprechende Angemessenheitsentscheidung der EU-Kommission auf die sogenannten Safe-Harbor-Grundsätze gestützt werden. Der Europäische Gerichtshof (EuGH) hat jedoch mit Urteil vom 06.10.2015 die Angemessenheitsentscheidung der EU-Kommission zu Safe Harbor für ungültig erklärt (Az. C-362/14). Datenübermittlungen in die USA können deshalb nicht mehr auf die Regelungen zu Safe Harbor und entsprechende Selbstzertifizierungen von US-Unternehmen gestützt werden. In Folge dieses Urteils hat die EU-Kommission mit den USA das sogenannte EU-US Privacy Shield verhandelt. Dieses soll die durch den EuGH aufgestellten Vorgaben erfüllen und Safe Harbor ersetzen.

Mit Beschluss vom 12.07.2016 hat die EU-Kommission die Entscheidung getroffen, dass unter den Regelungen des EU-US Privacy Shield ein angemessenes Datenschutzniveau für Datenübermittlungen in die USA besteht.

Die Artikel-29-Gruppe, in der die europäischen Datenschutzbehörden zusammenarbeiten, begrüßt Verbesserungen im Vergleich zur Safe-Harbor-Entscheidung. Sie bedauert in ihrer Presseerklärung vom 26.07.2016 jedoch, dass mit dem EU-US Privacy Shield nicht alle Bedenken ausgeräumt sind.

Sie hat ebenfalls Fragen und Antworten für EU-Unternehmen zum EU-US Privacy Shield veröffentlicht, die personenbezogene Daten auf der Grundlage des Privacy Shield an US-Unternehmen übermitteln wollen. Eine vorläufige deutsche (Arbeits-)Übersetzung der Dokumente auf Deutsch finden Sie hier.


Die Inhalte der Dokumente der Artikel-29-Gruppe sind, sofern Überschneidungen bestehen, auch in den nachfolgenden FAQs der LDI NRW berücksichtigt.

- Hier können Sie alle Fragen und Antworten komplett herunterladen -