Internationale Datentransfers jenseits der DSGVO
Beim Datentransfer in Drittstaaten geraten zwei Aspekte leicht aus dem Blick: Erstens fließen Daten innerhalb von Unternehmensgruppen regelmäßig in beide Richtungen, zweitens haben auch Drittstaaten Vorschriften für grenzüberschreitende Datenübertragungen.
Nicht jede Beschränkung grenz- überschreitender Datenflüsse ist Datenschutzrecht im engeren Sinne. Wer internationale Transfers nur unter dem Blickwinkel der Drittlandübermittlung gemäß Datenschutz-Grundverordnung (DSGVO) betrachtet, läuft Gefahr, unterschiedliche Regelungstypen zu vermischen und wichtige Prüfstränge zu übersehen.
Datentransfer – auch ohne Personenbezug rechtsrelevant
Für die Praxis empfiehlt es sich, mindestens vier Fallgruppen zu unterscheiden:
- datenschutzrechtliche Transferregeln
- Datenlokalisierungspflichten
- nationale Sicherheit und Staatsschutz
- Exportkontrolle und technische Daten
1. Datenschutzrechtliche Transferregeln
Hierunter fallen die aus europäischer Sicht vertrauten Anforderungen an die Übermittlung personenbezogener Daten in Drittländer. Vergleichbare Regelungen finden sich aber auch in anderen Rechtsordnungen.
Ihr Schutzzweck liegt typischerweise darin, den Schutz natürlicher Personen nicht dadurch zu unterlaufen, dass personenbezogene Daten in einen Rechtsraum mit geringerem Schutzniveau verlagert werden. Der Prüfungsmaßstab ist hier personenbezogen und grundrechtlich geprägt.
2. Datenlokalisierungspflichten
Datenlokalisierungspflichten gehen über bloße Transferregeln hinaus. Sie zielen darauf, bestimmte Daten im Inland zu halten, statt nur grenzüberschreitende Übermittlungen unter Bedingungen zu erlauben.
Betroffen sein können je nach Rechtsordnung nicht nur personenbezogene Daten, sondern auch sensible Daten etwa aus dem Gesundheits-, Finanz-, Telekommunikations-, Forsch…
Weiterlesen mit Abo