Internationaler Datentransfer (II) – Zulässigkeit

Die Verantwortung für die Zulässigkeit liegt gemäß § 4b (5) BDSG bei der übermittelnden Stelle (= verantwortliche Stelle). Es obliegt ihr daher auch, das Datenschutzniveau der Empfängerstellen zu überprüfen. § 4b (3) BDSG schreibt vor, dass alle bedeutsamen Umstände zu berücksichtigen sind.
N
achstehend ein Auszug von Punkten, die bei einer Überprüfung eine Rolle spielen können:

  • Art der Daten (handelt es sich z. B. um sensible Daten)
  • Zweckbestimmung der Datenverarbeitung
  • Zeitdauer der Datenverarbeitung (je länger, desto höher das Risiko)
  • Herkunfts- und Bestimmungsland
  • Für den Empfänger geltende Rechtsnormen
  • Für den Empfänge geltende Standesregeln (z. B. Berufsordnungen für Steuerberater und Ärzte)
  • Für den Empfänger geltende Sicherheitsmaßnahmen

Der wichtigste Punkt ist die Antwort auf die Frage, ob es Rechtsvorschriften gibt, die für ein angemessenes Datenschutzniveau sorgen. Kommt die übermittelende Stelle bei der Prüfung des Datenschutzniveaus zu dem Ergebnis, dass dies nicht angemessen ist, kann dennoch eine Datenübermittlung stattfinden. Voraussetzung dafür ist ein Ausnahmetatbestand gemäß § 4c (1) BDSG. Ausnahmetatbestände sind u. a.: – Datenübermittlung erfolgt zur Erfüllung eines Vertrages mit dem Betroffenen – Einwilligung des Betroffenen liegt vor. Es muss für den Betroffenen aber erkennbar sein, dass die Übermittlung in ein anderes Land mit unangemessenem Datenschutzniveau erfolgen soll. – Wichtige öffentliche Interessen wie z. B. Bekämpfung der Geldwäsche Greift keine der Ausnahmen des § 4c (1) BDSG und existiert auch per se kein angemessenes Schutzniveau, besteht dennoch eine Möglichkeit zum Datenaustausch: Genehmigung durch die zuständige Datenschutzaufsichtsbehörde. Klingt kompliziert – ist es auch. Vor der Übermittlung von Daten in Drittstaaten sollten Sie auf jeden Fall einen Experten für Datenschutz, einen externen Datenschutzbeauftragten, die Rechtmäßigkeit und Zulässigkeit prüfen lassen.