Datenschutzrecht: Übermittlung personenbezogener Daten in das Ausland

Rechtsanwalt & Fachanwalt für Informationstechnologierecht Jens Ferner: Ihr Anwalt in Alsdorf für die Region Aachen, Heinsberg & Düren im gesamten IT-Recht & Datenschutzrecht. Zu meiner Kerntätigkeit gehören als Fachanwalt für IT-Recht das Softwarerecht, Domainrecht, IT-Vertragsrecht, sowie mit Bezügen zur IT das Urheberrecht und Markenrecht.

Besprechungstermin vereinbaren: 02404-92100 | Anwalt für IT-Recht

Beachten Sie, dass wir ausnahmslos keine Beratung per Mail anbieten und dass wir nicht tätig sind, wenn sich Gerichtsstand oder Auftraggeber ausserhalb der Regionen Aachen, Heinsberg, Düren, Düsseldorf oder Köln befinden.

In der digitalen Welt ist die Übermittlung von Daten ans Ausland und Speicherung von Daten im Ausland nichts besonderes mehr. Es stellt sich aber die Frage, ob und unter welchen Voraussetzungen dies zulässig ist. Dazu ein kurzer Überblick.

Wo liegt das Zielland?

Als erstes ist zu unterscheiden, ob es um einen Staat innerhalb des europäischen Wirtschaftsraumes geht oder ausserhalb dessen. Entsprechend §4b Abs. 1 Nr. 1 und 2 BDSG sind Übermittlungen innerhalb des europäischen Wirtschaftsraums problemlos möglich, natürlich nur unter Einhaltung der allgemeinen datenschutzrechtlichen Regeln.

Wenn sich der Staat aber außerhalb des europäischen Wirtschaftsraums befindet („Drittstaat“) muss geprüft werden, ob eine Übermittlung zulässig ist.

Drittstaat: Angemessenes Datenschutzniveau?

Wenn der Drittstaat ein angemessenes Datenschutzniveau bietet, ist die Übermittlung zulässig. Dies ist besonders einfach, wenn die Europäische Kommission eine so genannte „Angemessenheitsentscheidung“ getroffen hat, was sie bereits für eine Mehrzahl von Staaten getan hat (Übersicht hier).

Hinweis: Beachten Sie, dass die USA hiervon nicht erfasst sind. Die Kommission hatte sich hier mit dem Safe-Harbor-Abkommen beholfen, mit dem man umgehen wollte, dass die USA de facto kein angemessenes Datenschutzniveau geboten haben. Dies hat der EUGH aber für ungültig erklärt. Die Konsequenzen sind noch nicht klar.

Drittstaat: Kein angemessenes Datenschutzniveau

Wenn der Drittstaat kein angemessenes Datenschutzniveau bietet, ist eine Übermittlung unzulässig. Allerdings kann mit §4c Abs.1 BDSG eine Übermittlung dennoch stattfinden, sofern

  1. der Betroffene seine Einwilligung gegeben hat,
  2. die Übermittlung für die Erfüllung eines Vertrags zwischen dem Betroffenen und der verantwortlichen Stelle oder zur Durchführung von vorvertraglichen Maßnahmen, die auf Veranlassung des Betroffenen getroffen worden sind, erforderlich ist,
  3. die Übermittlung zum Abschluss oder zur Erfüllung eines Vertrags erforderlich ist, der im Interesse des Betroffenen von der verantwortlichen Stelle mit einem Dritten geschlossen wurde oder geschlossen werden soll,
  4. die Übermittlung für die Wahrung eines wichtigen öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor Gericht erforderlich ist,
  5. die Übermittlung für die Wahrung lebenswichtiger Interessen des Betroffenen erforderlich ist oder
  6. die Übermittlung aus einem Register erfolgt, das zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offen steht, soweit die gesetzlichen Voraussetzungen im Einzelfall gegeben sind.

Die Ausnahmen sind überschaubar, in der wirtschaftlichen Praxis wird man am ehesten auf die Einwilligung setzen können. Die aber ist mit erheblichen Risiken behaftet, insbesondere dem Problem dass sie widerrufen werden kann.

Hinweis: Beachten Sie unseren umfassenden Beitrag zur Einwilligung im Datenschutzrecht

Andernfalls verbliebe noch die Möglichkeit, dass eine gesonderte Genehmigung zur konkreten Datenübermittlung nach §4c Abs.2 BDSG bei der zuständigen Datenschutzbehörde eingeholt wird. Auf Grund der Entwicklungen in der Safe-Harbor-Entscheidung muss man aber zurückhaltend sein, ob Musterverträge überhaupt noch helfen, vielmehr muss wohl tatsächlich die konkrete Übermittlung umfassend von der jeweiligen Aufsichtsbehörde einer Prüfung unterzogen werden.