Die Übermittlung von Daten in Drittländer

Die Datenschutz-Grundverordnung (DSGVO) regelt in Art. 44–50 die Voraussetzungen für die Übermittlung von personenbezogenen Daten in sogenannte Drittländer oder an internationale Organisationen. Das sind Staaten, die nicht der Europäischen Union oder dem Europäischen Wirtschaftsraum (EWR) angehören.

Diese Vorschriften gelten sowohl für Verantwortliche als auch für Auftragsverarbeiter. Das soll sicherstellen, dass alle Beteiligten das Schutzniveau der DSGVO für natürliche Personen einhalten.

ACHTUNG: Eine Datenübermittlung, die nicht den gesetzlichen Voraussetzungen genügt, kann als Ordnungswidrigkeit mit Bußgeldern bis zu 20 Millionen Euro oder bei Unternehmen mit bis zu 4 % des gesamten weltweit erwirtschafteten Jahresumsatz des vorangegangenen Geschäftsjahres geahndet werden, je nachdem, welcher Betrag höher ist (Art. 83 Abs. 5 DSGVO).

Zulässigkeit der Datenübermittlung feststellen

Was ein Unternehmen zu tun hat, um zu einer rechtskonformen Datenübermittlung in ein Drittland zu kommen, hängt davon ab, auf welche der verschiedenen Rechtsgrundlagen, die nach der DSGVO möglich sind, es diese Übertragung stützt. Die Reihenfolge, in der Verantwortliche mögliche Rechtsgrundlagen überprüfen müssen, legt in gewissem Rahmen die DSGVO selbst fest.

So gilt es zunächst, zwischen Ländern mit angemessenem und ohne angemessenes Datenschutzniveau zu unterscheiden.

• Zu den Ländern mit angemessenem Datenschutzniveau gehören zunächst die EU-Mitgliedstaaten, die der DSGVO unterliegen, und die Länder des EWR-Raums. Daneben gehören dazu die Staaten, für die die EU-Kommission in…