Datenübermittlung ins Ausland
Was ist zu beachten ?
Wann muß was getan werden, wenn ein Unternehmen Daten in das Ausland übermittelt ?
Hier eine checklistenartige Aufbereitung.
1. Rechtsgrundlagen
§ 4b und § 4c Bundesdatenschutzgesetz (BDSG), siehe auch § 3 VIII BDSG.
2. Regelungsinhalt
Achtung: die übermittelnde Stelle bleibt verantwortlich !
3. 1. Unproblematische Übermittlung
Achtung: häufiger und schwerer Fehler: es wird nur geprüft, welche besonderen Voraussetzungen erfüllt werden müssen, nicht aber die Zulässigkeit der Übermittlung selbst. "Unproblematisch heißt hier also nur, daß die diegleichen Prüfungen bezüglich der zulässigkeit der Übermittlung anzustellen sind, wie bei einer innerstaatlichen Übermittlung.
§ 4b I BDSG, Übermittlung von Daten in
– Mitgliedstaaten der Europäischen Union,
– andere Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum
(Norwegen, Liechtenstein, Island),
– an Organe und Einrichtungen der Europäischen Gemeinschaften,
Es gelten die gleichen Erlaubnisnormen wie für Übermittlungen im Inland (also §§ 28- 30
BDSG).
3.2 Problematische Übermittlung
§ 4b II Satz 1 zweite Alternative BDSG
Grundsätzlich finden die „normalen“ Erlaubnisnormen auch für Übermittlungen an sonstige ausländische oder über- oder zwischenstaatliche Stellen entsprechend des Abs. 1 Anwendung.
Aber: § 4b II Satz 2 BDSG
Eine Übermittlung hat zu unterbleiben, wenn der Betroffene ein schutzwürdiges Interesse
am Ausschluß der Übermittlung hat. Hier hat immer eine umfangreiche Prüfung zu erfol -
gen, ob ein solches schutzwürdiges Interesse vorliegt.
Es wird z.B. dann angenommen, wenn bei der empfangenden Stelle ein angemessenes Datenschutzniveau nicht gewährleistet
ist. Auch bei sensiblen Daten bitte mit Vorsicht herangehen !
3.2.1 Angemessenes Datenschutzniveau
Vorsicht: die "freihändige" interne Feststellung eines angemessenen Datenschutzniveaus, z.b. durch den Datenschutzbeauftragten des Unternehmens, genügt i.d.R. nicht !
3.2.2 Feststellung des angemessenen Datenschutzniveaus durch die Europäische Kommission
Ein angemessenes Datenschutzniveau ist gewährleistet, wenn die Europäische Kommission das festgestellt hat. Dies ist bisher der Fall
für die Länder
– Argentinien,
– Guernsey,
– Kanada, in begrenztem Umfang,
– Schweiz,
– USA, wenn sich diese Stellen dem Safe Harbour - Abkommen angeschlossen haben.
3.2.3 Schaffung eines angemessenen Datenschutzniveaus durch die Nutzung
der Standardvertragsklauseln
Werden zur Datenübermittlung Standardvertragsklauseln der Europäischen
Kommission angewandt, wird angenommen, daß bei der empfangenden
Stelle ein angemessenes Datenschutzniveau herrscht. Das gilt z.B, auch, wenn für die USA anstelle eines Beitritts des Importeurs der Daten in den USA zum Safe-Harbour-Abkommen der Importeur und der Exporteur solche Klauseln vereinbaren.
Achtung: die einfache Übernahme der Klauseln kann zu schwerwiegenden Problemen führen, wenn nicht der Zusammenhang zum eigentlichen Hauptvertrag, der die beiden Parteien miteinander verbindet, geprüft wurde !
3.2.4 Weitere zu berücksichtigende Faktoren bei der Bewertung des
angemessenen Datenschutzniveaus nach § 4b III Satz 1 BDSG
Weitere Gesichtspunkte, die in die Bewertung des Datenschutzniveaus
einzubeziehen sind u. a.:
– die Art der übermittelten Daten,
– die Zweckbestim mung,
– die Dauer der geplanten Verarbeitung,
– das Herkunfts - und das Endbestimmungsland,
– die für den betreffenden Empfänger geltenden Rechtsnormen, sowie
– die für ihn geltenden Standesregeln und Sicherheitsmaßnahmen.
Die tatsächlich bei der Beurteilung des Datenschutzniveaus hinzugezogenen Umstände
sind abzuwägen. Diese Abwägung ist niederzulegen, damit sie
bei einer datenschutzrechtlichen Kontrolle durch die Aufsichtsbehörde nachvollzogen
werden kann.
3.2.5 Angemessenes Datenschutzniveau durch Unternehmensregelungen
(auch „Codes of Conduct“)
Im Rahmen der Beurteilung des angemessenen Datenschutzniveaus sind alle Umstände
heranzuziehen. Dazu gehören also auch Unternehmensregelungen (oft auch „Codes of
Conduct“ - CoC genannt), die ein solches gewährleisten könnten.
Die Unternehmensregelungen müssen dazu führen, daß die datenschutzrechtlichen Min -
deststandards des BDSG eingehalten werden. Wirklich effektiv ist das vor allem dann, wenn Datenübermittlungen innerhalb von Konzernstrukturen grenzüberschreitend stattfinden. Andernfalls müßten die CoC ein Bindeglied zu den vertraglichen Regelungen mit dem Austauschpartner
aufweisen.
3.3. Gesetzliche Ausnahmen vom angemessenen Datenschutzniveau
Bei der empfangenden Stelle ist kein angemessenes Datenschutzniveau nötig, wenn ein
Ausnahmetatbestand erfüllt wird:
§ 4c I BDSG:
Nr. 1
Der Betroffene hat seine Einwilligung in die Übermittlung erteilt.
Nr. 2
Die Übermittlung ist erforderlich, damit ein Vertrag zwischen dem Betroffenen und der
verantwortlichen Stelle oder eine vorvertragliche Maßnahme, die auf Veranlassung des
Betroffenen getroffen wird, durchgeführt werden kann. Hierunter fällt nicht eine Übermittlung zur Durchführung von Gehaltsabrechnungen oder Personalverwaltungen. Die Regelung ist praktisch nahezu ohne Bedeutung.
Nr. 3
Die Übermittlung muß zum Abschluß oder zur Erfüllung eines Vertrages erforderlich sein,
der im Interesse des Betroffenen von der verantwortlichen Stelle mit einem Dritten geschlossen wurde oder geschlossen werden soll.
Nr. 4
Die Übermittlung muß zur Wahrung eines wichtigen öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor Gericht erforderlich sein.
Nr. 5
Die Übermittlung muß zur Wahrung lebenswichtiger Interessen des Betroffenen erforderlich sein.
Nr. 6
Die Übermittlung muß aus einem Register erfolgen, das zur Information der Öffentlichkeit
bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offen steht, soweit die gesetzlichen Voraussetzungen im Einzelfall gegeben sind.
3.4 Weitere Ausnahme nach § 4c II BDSG
Darüber hinaus kann die zuständige Aufsichtsbehörde einzelne Übermittlungen personenbezogener Daten an andere als die unter 3. genannten Stellen genehmigen, wenn die verantwortliche Stelle ausreichende Garantien hinsichtlich des Schutzes des Persönlichkeitsrechts und der Ausübung der damit verbundenen Recht vorweist.
Solche Garantien können aus Vertragsklauseln oder verbindlichen Unternehmensregelungen hervorgehen (s.o., CoC) so daß an dieser Stelle eine Prüfung der Unternehmensregelung durch die Aufsichtsbehörde erfolgen könnte.
Zu diesem Themenbereich berät Sie:
Rechtsanwalt Dr. Kai Stumper
Kanzlei Dr. Stumper - firstlex
Tel.: 0700 3477 8539 *
dr.stumper@firstlex.de
Neuer Wall 80, 20354 Hamburg
*12 ct./Min aus dem Festnetz der Telekom |
 |
Letztes Update 02.04.2010 | Copyright© firstlex – Rechtsanwalt Dr. Kai Stumper |
|
