Die meisten größeren Unternehmen und Konzerne sind heute grenzüberschreitend tätig. Und grenzüberschreitend heißt in diesem Zusammenhang nicht nur innerhalb der Europäischen Union, sondern auch weltweit. Die Daten, die hierbei übermittelt werden, sind nicht nur die von den jeweils tätigen Arbeitnehmern, sondern häufig auch Kundendaten.
Dieser Artikel soll darstellen, welche Unterschiede bei der Übermittlung an Länder der Europäischen Union und an Länder in anderen Staaten bestehen und was Konzerne bei einer solchen Übermittlung beachten sollten.
Der Inhalt im Überblick
Die Übermittlung innerhalb der EU
Für die Weitergabe von Daten an Stellen innerhalb der EU (einschließlich Norwegen, Island und Liechtenstein) gilt § 4b Abs. 1 BDSG, soweit keine bereichsspezifischen Vorschriften, wie etwa bei Sozialdaten, vorliegen. Die Weitergabe ist demnach zulässig, wenn dies im Rahmen der Verarbeitung und Nutzung der Daten auf der Grundlage der § 15 Abs. 1, § 16 Abs. 1 und §§ 28 bis 30a BDSG geschieht, und die Erhebung und Speicherung der Daten nach diesen Paragraphen zulässig ist. Häufig geht es hier um die Datenübermittlung an öffentliche Stellen oder die Übermittlung, die für eigene Geschäftszwecke erforderlich ist.
Die Übermittlung in Staaten der EU ist damit unter den genannten Voraussetzungen zulässig.
Die Übermittlung ins „EU-Ausland“
Etwas anderes gilt jedoch, wenn die Daten in Drittstaaten und somit in das so genannte „EU-Ausland“ übermittelt werden sollen.
Gemäß der Datenschutzrichtlinie 2002/56/EG (in Ergänzung der Datenschutzrichtlinie 95/46/EG) können personenbezogene Daten in Drittstaaten nur bei Vorliegen eines „angemessenen Schutzniveaus“ übermittelt werden.
Besteht im Drittstaat ein angemessenes Datenschutzniveau, ist eine Übermittlung zulässig. Die Entscheidung über die Frage, ob ein Drittstaat aufgrund von internen Rechtsvorschriften oder eingegangenen internationalen Verpflichtungen ein angemessenes Schutzniveau gewährleistet, trifft die EU-Kommission.
Bisher ist für die Schweiz, Kanada (nur teilweise), Argentinien, Vogtei Guernsey und die Insel Man ein solches Schutzniveau bestätigt worden. Für diese Länder gilt: eine Übermittlung von Daten ist ohne weitere vertragliche Absicherung möglich.
Problemfall USA
Die USA haben grundsätzlich (aus Sicht der Europäischen Union und den hier anerkannten Datenschutznormen) kein angemessenes Datenschutzniveau.
Doch gerade in die USA werden sehr häufig personenbezogene Daten übermittelt, vor allem, weil viele Konzerne in Nordamerika ihren Sitz haben und enge Handelsbeziehungen bestehen. Deshalb wurden die „Safe-Harbor-Principles“ entwickelt. Diese umfassen datenschutzrechtliche Vorgaben, insbesondere hinsichtlich der Auskunfts- und Informationspflichten, und bestimmen Weitergabe und Sicherheit personenbezogener Daten.
Nach dem „Safe-Harbor-Abkommen“ können sich US-Unternehmen bei der US-Behörde zertifizieren lassen und sich damit zur Einhaltung der „Principles“ verpflichten. Der Beitritt wird registriert und Verstöße können mit Sanktionen bestraft werden.
Liegt eine „Safe-Harbor“ Zertifizierung des Unternehmens vor und hat sich das deutsche Unternehmen, welches Daten übermitteln möchte, hiervon überzeugt (ein schriftlicher Nachweis sollte vorgelegt werden), so können personenbezogene Daten übermittelt werden.
Die Übermittlung in Drittstaaten
Ist das Datenschutzniveau nicht „angemessen“, entspricht es also nicht dem Standard der EU und es liegt auch keine Safe-Harbor-Zertifizierung vor, so kann die Übermittlung in Drittstaaten nur unter bestimmten Voraussetzungen stattfinden.
Zum einen gibt es § 4c BDSG, wonach zum Beispiel eine Einwilligung des Betroffenen eine Übermittlung von Daten rechtfertigen kann.
Greift auch dies nicht, kommt noch eine vertragliche Absicherung in Betracht. „Standardverträge“, geprüft von der Europäischen Kommission, stellen beispielsweise eine ausreichende Grundlage für eine datenschutzrechtlich zulässige Übermittlung personenbezogener Daten in Drittstaaten dar. Zudem können verbindliche Unternehmensregelungen („codes of conduct“) die datenschutzrechtlichen Voraussetzungen regeln.
Fazit
Bei einer Übermittlung von Daten ins Ausland ist stets darauf zu achten, dass die datenschutzrechtlichen Voraussetzungen eingehalten werden. Gerade wenn es um Drittstaaten geht, ist eine genaue Prüfung, ob eine Übermittlung ohne datenschutzrechtliche Bedenken erfolgen kann, unerlässlich.
