Es wurde leider kein Ergebnis gefunden. Bitte versuchen Sie es erneut.

keine Ergebnisse
Affiliate-Marketing
Afterbuy
Amazon
Apotheken-Online-Shop
Apps (Datenschutzerklärung)
Argato
Avocadostore
Azoo
Booklooker
branchbob
BrickLink
Cardmarket
Cdiscount.com
Check24
Chrono24
commerce:seo
Conrad
CosmoShop
Decathlon
Delcampe
Dienstleistungen
Discogs
Dropshipping-Marktplatz
eBay
eBay-Kleinanzeigen
ecwid
eGun
Einkaufsbedingungen (B2B)
ePages
Etsy
Etsy (digitale Inhalte)
Facebook
Fairmondo.de
For-vegans
Fotografie und Bildbearbeitung
Galeria
Gambio
Gambio-Cloud
Gastro-Lieferservice (Restaurants)
GTC for Shopify
GTC-Kaufland.de
Handmade at Amazon
home24
Homepage (kein Verkauf)
Homepages
Hood
Hosting-B2B
Hosting-B2B-B2C
Idealo-Direktkauf
Individuelle Kundenkommunikation (B2B)
Individuelle Kundenkommunikation (B2C)
Instagram
Jimdo
Joomla
JTL
Kasuwa
Kaufland
Kaufland - alle Sprachen
Kauflux
Lightspeed
LinkedIn
Lizenzo
Magento 1 und Magento 2
Manomano
Mediamarkt
MeinOnlineLager
metro.de
modified eCommerce-Shops
Mädchenflohmarkt
Online-Shop
Online-Shop (digitale Inhalte)
Online-Shop - B2B
OpenCart
Otto
Oxid-Shops
Palundu
Pinterest
plentymarkets
Praktiker
Prestashop
Printkataloge
Productswithlove
RAIDBOXES
Restposten
Restposten24
Ricardo.ch
Seminare
Shop - Online-Kurse (live oder on demand)
Shop - Verkauf von eigener Software
Shop - Verkauf von fremder Software
Shop - Vermietung von Waren
Shopgate
shopify
Shopware
Shpock+
Shöpping
Smartvie
Snapchat
Squarespace
Stationärer Handel
STRATO
Teilehaber.de
TikTok-Präsenzen
Tumblr
Twitch
Twitter
TYPO3
Verkauf von Veranstaltungstickets
Vermietung Ferienwohnungen
Vermietung von Shops (inkl. Hosting)
VersaCommerce
VirtueMart
webador
Werky
Wix
WooCommerce
WooCommerce German Market
WooCommerce Germanized
WordPress
Wordpress-Shops
wpShopGermany
Xanario
XING
xt:Commerce
YouTube
Zen-Cart
ZVAB
von Dr. Sebastian Kraska

Das Institut für Datenschutz und IT-Recht informiert: So funktioniert internationaler Datenschutz

News vom 07.10.2009, 15:46 Uhr | Keine Kommentare

In grenzüberschreitend tätigen Konzernen und Unternehmen gehört der internationale Datentransfer (insbesondere von Arbeitnehmer- und Kundendaten) zum alltäglichen Geschäft. Der folgende Beitrag gibt einen ersten Überblick der hierbei zu beachtenden datenschutzrechtlichen Vorgaben und erläutert was beachtet werden muss, sobald Daten die deutsche Grenze überschreiten.

 

Grundsatz des „angemessenen Datenschutzniveaus“

Gemäß der Datenschutzrichtlinie 2002/58/EG (in Ergänzung der Datenschutzrichtlinie 95/46/EG) und §§ 4 b, c BSDG können personenbezogene Daten in Drittstaaten nur bei Vorliegen eines „angemessenen Schutzniveaus“ übermittelt werden.

Dieses „angemessene Datenschutzniveau“ wird eingehalten, wenn den wesentlichen Datenschutzgrundsätzen der europäischen Datenschutzrichtlinien entsprochen wird.

Banner Unlimited Paket

Datenübermittlung ins EU-Ausland grundsätzlich zulässig

Von zentraler Bedeutung ist danach zunächst, ob personenbezogene Daten aus Deutschland an eine Stelle in einem anderen EU-Land (einschließlich Norwegen, Island und Liechtenstein) oder in das „EU-Ausland“ (so genannte „Drittländer“) übermittelt werden sollen. Insoweit dürfen personenbezogene Daten (soweit die Übermittlung im Übrigen zulässig ist) stets in ein anderes EU-Land übermittelt werden.

„Angemessenheitsentscheidungen“ der EU-Kommission

Daneben hat die EU-Kommission für die Länder Argentinien, Guernsey, Isle of Man, Jersey, Kanada und die Schweiz die Angemessenheit des dortigen Datenschutzniveaus verbindlich festgestellt. Auch in diese Länder dürfen daher grundsätzlich personenbezogene Daten übermittelt werden, ohne dass es einer näheren Befassung mit dem Datenschutzniveau dieser Länder bedarf.

Ausnahme USA: Die so genannten „Safe-Harbour-Principles“

Die USA haben aus Sicht des europäischen Normgebers kein angemessenes Datenschutzniveau. Um eine praktikable Lösung für die in der Praxis häufig vorkommende Übermittlung personenbezogener Daten in die USA sicherzustellen, wurden die so genannten Safe-Harbour-Principles (zu Deutsch „Grundsätze des sicheren Hafens“) entwickelt. Diese umfassen datenschutzrechtliche Vorgaben insbesondere hinsichtlich der Auskunfts- und Informationspflichten der Unternehmen, der Weitergabe und Sicherheit personenbezogener Daten, der Datenintegrität sowie der Durchsetzung datenschutzrechtlicher Ansprüche.

Amerikanische Unternehmen können diesen Prinzipen freiwillig beitreten, indem sie sich gegenüber amerikanischen Behörden zur Einhaltung der Safe-Harbour-Priciple verpflichten. Der Beitritt wird auf einer entsprechenden Liste des US-Handelsministeriums registriert, welche auch die Einhaltung der Safe-Harbour-Principles überwacht und einen Verstoß mit Strafen versieht. Durch die Eintragung in die Liste gehen die Unternehmen bindende rechtliche Verpflichtungen ein. Aus Sicht der europäischen Union besteht bei Beitritt zu diesen Safe-Harbour-Priciples auch insoweit (also bezüglich der beigetretenen Unternehmen) ein angemessenes Datenschutzniveau, so dass auch an diese Unternehmen dann grundsätzlich personenbezogene Daten übermittelt werden können.

Im Übrigen: Gestattung nach § 4 c Abs. 1 BDSG

Liegt keine der vorgenannten Ausnahmen vor kann eine Datenübermittlung in ein Drittland auch dann erfolgen, wenn § 4 c Abs. 1 BDSG einschlägig ist. Dieser nennt dabei insbesondere folgende (restriktiv auszulegenden) Gestattungsmöglichkeiten:

  • Der Betroffene hat seine Einwilligung gegeben.
  • Die Übermittlung ist zu Vertragserfüllung notwendig und/oder liegt im Interesse des Betroffenen.
  • Die Übermittlung ist für die Wahrung eines wichtigen öffentlichen Interesses, zur Geltendmachung von Rechtsansprüchen oder zur Wahrung lebenswichtiger Interessen erforderlich.

Dabei ist die Stelle, an die die Daten übermittelt werden, immer darauf hinzuweisen, dass die übermittelten Daten nur zu dem Zweck verarbeitet oder genutzt werden dürfen, zu dessen Erfüllung sie übermittelt werden.

Letzte Möglichkeit: Vertragliche Sicherstellung des angemessenen Datenschutzniveaus

Greifen auch die Tatbestände des § 4 c Abs. 1 BDSG nicht verbleibt dem deutschen Unternehmen noch die Möglichkeit, ein angemessenes Datenschutzniveau und die Wahrung der Rechte der von der Übermittlung betroffenen Personen vertraglich zu wahren. Dies kann durch Einzelverträge zwischen dem deutschen und dem ausländischen Unternehmen geschehen. Die Europäische Kommission hat hierfür drei so genannte „Standardverträge“ geprüft, die nach Entscheidung der Kommission eine ausreichende Grundlage für eine datenschutzrechtlich zulässige Übermittlung personenbezogener Daten gewährleisten.

Leitfaden für die Auslandsübermittlung

Insofern gelten die folgenden Prinzipien:

  • Innerhalb der EU (einschließlich Norwegen, Island und Liechtenstein) kann man aufgrund der harmonisierten Datenschutzgesetze von dem gleichen Datenschutzniveau wie in der Bundesrepublik ausgehen. Länder außerhalb der EU mit einem vergleichbaren angemessenen Datenschutzniveau sind zudem Argentinien, Guernsey, Isle of Man, Jersey, Kanada und die Schweiz. In dieser Länder dürfen personenbezogene Daten grundsätzlich übermittelt werden.
  • Ausnahmsweise dürfen personenbezogene Daten auch an Unternehmen in die USA (als Land ohne angemessenem Datenschutzniveau) übermittelt werden, wenn sich das jeweilige Unternehmen den Safe-Harbour-Principles unterworfen hat.
  • Im Übrigen dürfen personenbezogene Daten nur übermittelt werden, wenn ausnahmsweise gemäß § 4 c Abs. 1 BDSG eine Übermittlung trotz unangemessenen Datenschutzniveaus zulässig ist, oder sich das die personenbezogene Daten erhaltende Unternehmen im Ausland in so genannten Standardverträgen zur Einhaltung bestimmter Datenschutzvorschriften verpflichtet hat.

Fazit

Bei der Übermittlung personenbezogener Daten außerhalb der EU besteht für europäische Unternehmen grundsätzlich Handlungsbedarf, um Streitigkeiten mit den Datenschutz-Aufsichtsbehörden zu vermeiden. Je nach Einzelfall muss durch Zertifizierung der Gegenseite (bei US-Unternehmen) oder dem Abschluss von Datenschutz-Verträgen sichergestellt werden, dass ein aus europäischer Sicht angemessenes Datenschutzniveau gewährleistet wird, wenn keine Ausnahme nach § 4 c Abs. 1 BDSG einschlägig ist.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Bildquelle:
© shoot4u - Fotolia.com
Dr. Sebastian Kraska Autor:
Dr. Sebastian Kraska
Rechtsanwalt

Besucherkommentare

Bisher existieren keine Kommentare.

Vielleicht möchten Sie der Erste sein?

© 2005-2023 · IT-Recht Kanzlei Keller-Stoltenhoff, Keller