International operierende Unternehmen sind auf Datenübertragungen ins Ausland angewiesen. Für diese Übermittlungen macht das deutsche Datenschutzrecht in § 4b BDSG und § 4c BDSG Vorgaben, die einen rechtskonformen Datentransfer gewährleisten sollen. Dabei ist relevant, ob die Datenübertragung innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraumes oder ins übrige Ausland stattfindet.
Der Inhalt im Überblick
Datenübermittlung innerhalb der EU
Das deutsche Datenschutzrecht unterscheidet zwischen „sicheren“ und „unsicheren“ Drittstaaten. Ausschlaggebend ist das jeweils vorhandene Datenschutzniveau in dem betreffenden Staat. Die Staaten der Europäischen Union bzw. des Europäischen Wirtschaftsraumes gelten per se als sog. sichere Drittstaaten, da aufgrund des europäischen Datenschutzrechts ein gemeinsamer, datenschutzrechtlicher Mindeststandard vorhanden ist. Man spricht dann von einem „angemessenen Datenschutzniveau“.
Datenübermittlung nach „außen“
Staaten außerhalb der EU bzw. des EWR müssen strenge Vorgaben erfüllen, um ebenfalls als sog. sichere Drittstaaten zu gelten. Bisher wurden lediglich die Schweiz, Argentinien, Kanada, Israel, Isle of Man und die Vogtei Guernsey als solche von der EU-Kommission anerkannt.
Gerade wurde dieser exklusiven Liste ein weiteres Mitglied hinzugefügt. Die Europäische Kommission hat per Durchführungsbeschluss vom 21. August 2012 beschlossen, dass auch Uruguay ab sofort zur Gruppe der sog. sicheren Drittstaaten gehört. In dem Beschluss heißt es wörtlich:
„Für die Zwecke von Artikel 25 Absatz 2 der Richtlinie 95/46/EG wird die Republik Östlich des Uruguay als Land angesehen, das ein angemessenes Schutzniveau bei der Übermittlung personenbezogener Daten aus der Europäischen Union bietet.“
EU-Datenschutzgruppe weiß es schon länger
Die Artikel-29-Datenschutzgruppe – das unabhängige Beratungsgremium der EU-Kommission in Datenschutzfragen – hatte bereits im Oktober 2010 der Europäischen Union empfohlen, Uruguay als sicheren Drittstaat anzusehen.
In der entsprechenden „Stellungnahme 6/2010 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten in der Republik Östlich des Uruguay“ (siehe „Opinion 6/2010 on the level of protection of personal data in the Eastern Republic of Uruguay, 12 October 2010, WP 177″) lassen sich die Einzelheiten zur Bewertung des uruguayischen Datenschutzniveaus nachlesen.
Entsprechendes hatte die Datenschutzgruppe ebenfalls für Neuseeland gefordert, da sie in ihrer „Stellungnahme 11/2011 zu Niveau des Schutzes personenbezogener Daten in Neuseeland“ (siehe „Opinion 11/2011 on the level of protection of personal data in New Zealand, 4 April 2011, WP 182″) festgestellt hatte, dass das Land ein angemessenes Datenschutzniveau gewährleiste.
Jetzt aber schnell, bevor es delikat wird!
Seit der Veröffentlichung der Empfehlung war jedoch nichts weiter passiert, so dass die Datenschutzgruppe im April 2012 schließlich die Europäische Kommissarin für Justiz und Grundrechte Viviane Reding in einem offenen Brief nachdrücklich aufforderte, sich in der Kommission für eine Anerkennung Uruguays einzusetzen (siehe „Letter from the Article 29 Working Party addressed to VP Reding, regarding the progress on the adequacy levels of Uruguay and New Zealand in the field of protection of privacy, 03 April 2012″).
Dass der immerhin schon zwei Jahre zurückliegenden Empfehlung nun so kurzerhand gefolgt wurde, lag eventuell auch an dem dezenten Hinweis der Datenschutzgruppe, dass die „International Conference of Data Protection and Privacy Commissioners“ im Oktober 2012 ausgerechnet in Uruguay stattfinden wird:
„Whilst I naturally fully understand the workload of your services during the last year, I feel that considering the importance the Commission attaches to the adequacy regime, the processes of assessing the adequacy of both Uruguay and New Zealand must be speeded up. As you are probably aware, this year’s International Conference of Data Protection and Privacy Commissioners will take place in Uruguay, therefore I would like to urge you to ensure that in both cases a decision is taken before the summer.“
Es hätte unter Umständen tatsächlich etwas unangenehm werden können, wenn ein Großteil der europäischen Datenschutzexperten im Oktober in Punta del Este eingetroffen wären, ohne dass sich die EU-Kommission auf eine (positive) Stellungnahme zum dortigen Datenschutzniveau hätte festlegen mögen. Dieser potentielle Faux pas wurde jedoch noch einmal abgewendet.
In Bezug auf Neuseeland liegt allerdings noch kein EU-Beschluss vor…
