Internationaler Datentransfer

Der internationale Datentransfer personenbezogener Daten hat eine große Bedeutung. Entsprechend dem Konzept der EG-Datenschutzrichtlinie (95/46/EG des Europäischen Rates und des Rates vom 24.10.1995), die einerseits den innergemeinschaftlichen Datenverkehr erleichtern und andererseits den Schutz personenbezogener Daten von EU-Bürgern auch außerhalb der EU sicherstellen soll, sieht das BDSG eine unterschiedliche Vorgehensweise vor.

Rechtsgrundlagen: § 4b BDSG (Datentransfer ins Ausland), §§ 28 bis 30 BDSG (Zulässigkeit der Datenweitergabe).

Datenübermittlung innerhalb der EU/des EWR oder an Drittstaaten
Bei einem internationalen Austausch personenbezogener Daten innerhalb der EU und des Europäischen Wirtschaftsraums (EU-Mitgliedsstaaten sowie Island, Liechtenstein, Norwegen) gilt § 4b (1) BDSG. Also die gleichen Regeln wie wenn der Datenaustausch an Stellen innerhalb Deutschlands erfolgen würde. Lediglich §§ 28 bis 30 des Bundesdatenschutzgesetzes sind zu prüfen (materielle Zulässigkeit der Datenweitergabe).

Soll die Datenweitergabe allerdings an Stellen in so genannte Drittstaaten, d. h. nicht innerhalb der EU und des Europäischen Wirtschaftsraumes, erfolgen, muss zusätzlich zur Prüfung der materiellen Rechtsgrundlage der Übermittlung geprüft werden, ob bei der Empfängerstelle ein im Vergleich zum deutschen und somit zum europäischen Recht angemessenes Datenschutzniveau herrscht.

Es hat gemäß § 4b (2) S. 2 BDSG eine Übermittlung personenbezogener Daten zu unterbleiben, wenn bei der Empfängerstelle ein angemessenes Datenschutzniveau nicht gewährleistet ist. Basis ist hierfür die Vorgabe in Art. 25 (1) der EG-Datenschutzrichtlinie.

Was bedeutet „angemessenes“ Datenschutzniveau?
Die Prüfung auf die Zulässigkeit der Datenübermittlung in Drittstaaten erfolgt in einem zweistufigen Verfahren:
    1. Stufe: Zulässigkeit nach nationalen Datenschutzvorschriften insbesondere § 28, und auch § 32 BDSG.
    2. Stufe: Einhaltung der besonderen Anforderungen bzgl. Des Drittstaatentransfers nach den §§ 4b, 4c BDSG.

Dem liegt zugrunde, dass das nach deutschem Datenschutzrecht gewährleistete Datenschutzniveau gewahrt bleiben soll. Deshalb muss die der internationale Austausch durch einen Erlaubnistatbestand (1. Stufe) gedeckt sein. Die Interessenabwägung nach § 28 (1) Satz 1 BDSG wird vorausgesetzt.

Wenn die grundsätzliche Übermittlungsbefugnis festgestellt worden ist, werden im Rahmen der 2. Stufe die besonderen Voraussetzungen nach §§4b und 4c BDSG überprüft. In Stufe 2 wird besonders überprüft, ob beim Datenempfänger im Drittland ein angemessenes Datenschutzniveau durch die in § 4c (2) BDSG ausdrücklich genannten Schutzgarantien (Vertragsklauseln, verbindliche Unternehmensregelungen) oder andere ausreichende Garantien (7. B. Safe-Harbor-Zertifizierung) gewährleistet ist.

Klingt kompliziert – ist es auch. Vor der Übermittlung von Daten in Drittstaaten sollten Sie auf jeden Fall einen Experten für Datenschutz, einen externen Datenschutzbeauftragten, die Rechtmäßigkeit und Zulässigkeit prüfen lassen.