Drittstaaten

Definition Drittstaaten sind Staaten, in denen ein Datenschutzrecht herrscht, das dem →Betroffenen weniger Garantien gibt, als das Datenschutzrecht der EU-Richtlinie zum Schutz personenbezogener Daten aus dem Jahre 1995, das mit dem →BDSG umgesetzt worden ist.



Es sind die Länder, die nicht Mitglied der Europäischen Union oder des Europäischen Wirtschaftsraums, nämlich Norwegen, Liechtenstein und Island, sind. Drittstaat mit einem angemessenen Datenschutzniveau Besteht im Drittstaat ein angemessenen Datenschutzniveau, obgleich es sich nicht um einen EU-Mitgliedsstaat oder EWR-Mitgliedsstaat (Norwegen, Liechtenstein und Island) handelt, so ist eine Übermittlung wie innerhalb Deutschlands und innerhalb der EU-/EWR-Mitgliedsstaaten bei Vorliegen der allgemeinen →Übermittlungsvoraussetzungen zulässig. Zusätzliche Garantien sind nicht erforderlich. Die Entscheidung über die Frage, ob ein Drittstaat aufgrund von internen Rechtsvorschriften oder eingegangenen internationalen Verpflichtungen ein angemessenes Schutzniveau gewährleistet, trifft nach EU-Recht die Kommission. Bisher ist für folgende Länder offiziell bestätigt worden, dass sie ein angemessenes Datenschutzniveau haben, welches dem EU-Recht hinreichend vergleichbar ist: Schweiz, USA (nur soweit sich das Unternehmen den →Safe-Harbor-Regeln unterworfen hat), Kanada (nur teilweise), Argentinien, Vogtei Guernsey und die Insel Man. Drittstaat ohne ein angemessenes Datenschutzniveau Will ein Unternehmen personenbezogene Daten (→personenbezogene Daten) aus Deutschland in solche Drittstaaten übermitteln, die kein oder nur teilweise ein angemessenes Datenschutzniveau aufweisen, muss eine der folgenden Bedingungen erfüllt sein, damit die Datenschutzrechte des Betroffenen hinreichend gewährleistet sind.

• Die Übermittlung in den Drittstaat ist zur Erfüllung eines Vertrags mit dem Betroffenen oder im Rahmen von vom Betroffenen selbst veranlassten – vorvertraglichen Maßnahmen erforderlich (→Erfor-derlichkeit, Grundsatz der) und der Betroffene ist hierüber informiert, wie beispielsweise bei der Buchung eines US-Hotels über den von ihm beauftragten deutschen Reiseveranstalter oder bei der Übermittlung von Daten von Arbeitnehmern, deren Tätigkeit innerhalb eines internationalen Konzerns eindeutig internationalen Bezug hat, wie bei bestimmten leitenden Angestellten.
• Die Übermittlung ist erforderlich, um einen Vertrag zu erfüllen oder zu begründen, der zwar nicht mit dem →Betroffenen abgeschlossen worden ist bzw. abgeschlossen werden soll, der jedoch im Interesse des Betroffenen liegt. Ein Beispiel ist die Mietwagenreservierung im Drittstaat durch den Arbeitgeber zur Durchführung einer Dienstreise im Drittstaat.
• Der Betroffene ist über die beabsichtigte Übermittlung in den Drittstaat ohne angemessenes Datenschutzniveau aufgeklärt worden und hat in diese Übermittlung eingewilligt.
• Die übermittelten Daten entstammen öffentlich zugänglichen Registern wie dem Handelsregister.
• bei Eingreifen von weiteren speziellen Ausnahmetatbeständen: Übermittlung im öffentlichen Interesse, zu gerichtlichen Darlegungszwecken, für das lebenswichtige Interesse des Betroffenen
• Der Übermittlungsadressat ist über diese →Zweckbindung aufzuklären.

Administrative Ausnahmen Fehlt es an einem Verzicht des Betroffenen auf ein angemessenes Datenschutzniveau oder an einer Handlung des Betroffenen, die auf das Zurückstehen seines Interesses hinweist (gesetzliche Ausnahmen), ist die Übermittlung dennoch zulässig, wenn beim Unternehmen im Drittstaat ausreichende Garantien für die Wahrung des →informationellen Selbstbestimmungsrechts des Betroffenen gegeben sind.

• Die übermittelnde Stelle und der Dritte im Drittstaat, an den die Daten übermittelt werden, haben einen Übermittlungsvertrag abgeschlossen, der mindestens die →Standardvertragsklauseln der Europäischen Kommission vereinbart, ohne von ihrem Wortlaut abzuweichen und ohne widersprüchliche Ergänzungen hinzuzufügen.
• Die →Aufsichtsbehörde hat bestimmte Übermittlungen aufgrund eines Vertrags, der nicht die Standardvertragsklauseln beinhaltet, genehmigt. Dieser Vertrag stellt auf andere Weise als die Standardvertragsklauseln ein angemessenes Datenschutzniveau beim Adressaten der Daten im Drittstaat her.
• Die Aufsichtsbehörde hat bestimmte Übermittlungen aufgrund verbindlicher Unternehmensregeln (→Code of Conduct) genehmigt. Diese verbindlichen Unternehmensregeln stellen auf andere Weise als die Standardvertragsklauseln ein angemessenes Datenschutzniveau beim Adressaten der Daten im Drittstaat her.