Die Übermittlung von personenbezogenen Daten an Drittländer, also Länder außerhalb des Europäischen Wirtschaftsraumes (EWR), ist in der Datenschutz-Grundverordnung (DSGVO) streng geregelt. Es müssen bestimmte Bedingungen erfüllt sein, um sicherzustellen, dass der Schutz der personenbezogenen Daten nicht beeinträchtigt wird. Hier sind einige der wichtigsten Punkte, die beachtet werden müssen:
- Angemessenes Datenschutzniveau
Eine Übermittlung von personenbezogenen Daten kann nur stattfinden, wenn das Drittland nach Auffassung der Europäischen Kommission ein angemessenes Datenschutzniveau gewährleistet.
- Sicherheitsmaßnahmen
Sind die Datenschutzstandards in einem Drittland nicht als angemessen eingestuft, muss der Datenexporteur andere geeignete Schutzmaßnahmen ergreifen, z. B. durch den Abschluss von Standardvertragsklauseln oder durch die Einführung verbindlicher interner Datenschutzvorschriften (Binding Corporate Rules, BCRs).
- Informationspflicht
Die betroffene Person muss über die Datenübermittlung in ein Drittland und die damit verbundenen Risiken informiert werden.
- Rechtmäßigkeit der Datenübermittlung
Die Übermittlung von Daten an ein Drittland muss auf einer der in der DSGVO genannten Rechtsgrundlagen beruhen, z. B. auf der Einwilligung der betroffenen Person, der Erfüllung eines Vertrages oder der Wahrung berechtigter Interessen.
- Dokumentation und Nachweisbarkeit
Die Einhaltung der oben genannten Anforderungen sollte dokumentiert und nachgewiesen werden können, um der Rechenschaftspflicht nach der DSGVO zu genügen.
Die Übermittlung von Daten in Drittländer stellt eine besondere Herausforderung im Bereich des Datenschutzes dar und sollte daher sorgfältig geplant und durchgeführt werden. Bei Unsicherheiten sollte rechtlicher Rat eingeholt werden.