Datenübermittlung in Drittländer
Wer personenbezogene Daten außerhalb Europas übermitteln will, muss sich an das europäische Datenschutzrecht halten. Die Datenschutz-Grundverordnung lässt einen Datentransfer in Drittländer nur unter bestimmten Bedingungen zu.
Neue Standardvertragsklauseln (2021)
In der Praxis erfolgt eine Übermittlung personenbezogener Daten häufig auf der Grundlage sogenannter Standardvertragsklauseln im Sinne von Art. 46 Abs. 2 Buchstabe c DS-GVO. Bei Standardvertragsklauseln handelt es sich um von der Europäischen Kommission verabschiedete Vertragsmuster. Mit den Standardvertragsklauseln werden europäische Datenschutzstandards vertraglich zwischen Datenexporteuren im Europäischen Wirtschaftsraum und Datenimporteuren in Drittstaaten vereinbart. Bei der Verwendung der von der Kommission verabschiedeten Vertragsmuster kann die Übermittlung personenbezogener Daten in Drittländer ohne weitere Genehmigung der Aufsichtsbehörden erfolgen. Die Offenlegung personenbezogener Daten für einen Abruf im Drittland steht der Übermittlung gleich. Aufgrund des Schrems II-Urteils vom 16.07.2020 hat der Europäische Gerichtshof (EuGH) die Anforderungen an die Verwendung von Standardvertragsklauseln in der Praxis ganz erheblich verschärft. Danach liegt es in der Verantwortung eines Datenexporteurs, vor der Übermittlung personenbezogener Daten zu prüfen, ob in dem Drittland ein Schutzniveau für personenbezogene Daten besteht, das dem in der EU gleichwertig ist. Die Europäische Kommission hat im Juni 2021 neue Standardvertragsklauseln erlassen (Durchführungsbeschluss (EU) 2021/914 der EU-Kommission v. 04.06.2021 – Az. C(2021) 3972, ABl. EU Nr. L 199/31 vom 07.06.2021).
Datenschutzkonferenz (DSK) veröffentlicht Anwendungshinweise zum Angemessenheitsbeschluss EU-US Data Privacy Framework mit weiterführenden Informationen.