Datenschutz international

Kennen Sie die Datenschutz-Gesetze in allen Ihren Zielmärkten?

Datenschutz ist kein rein deutsches oder europäisches Thema, sondern ein internationales. Viele deutsche Firmen agieren im europäischen Ausland oder sogar weltweit und müssen sich entsprechend auch an die Datenschutz-Regeln der anderen Länder halten. Gleiches gilt selbstverständlich auch für außereuropäische Unternehmen in Europa.

Innerhalb der EU gilt seit dem 25.05.2018 die EU-Datenschutzgrundverordnung (EU-DSGVO) um innerhalb der Union den Datenschutz zu harmonisieren. Zu beachten ist hier zusätzlich die ggf. vorhandenen Abweichungen in den nationalen Gesetzgebungen. Die EU-DSGVO gibt den einzelnen Mitgliedsstaaten die Möglichkeit so genannte Öffnungsklauseln zu nutzen um spezifische Regelungen im jeweiligen Mitgliedsland selber zu definieren. Diese Regelungen dürfen jedoch nicht unter das Niveau der Datenschutzgrundverordnung fallen.

In weiteren Ländern Europas gibt es in der Regel eigene Datenschutzgesetze, an die ein Unternehmen sich halten muss, wenn es in diesen geschäftlich aktiv ist und personenbezogene Daten verarbeitet. Viele dieser Länder haben bzw. passen dabei ihren Datenschutz an vielen Stellen an die EU-DSGVO an. International gibt es viele Abweichungen von europäischen Standard, so dass vor allem die Übertragung von personenbezogenen Daten die Unternehmen vor Probleme stellt.

Hier gibt es jedoch einige Regelungen, wie man personenbezogene Daten international übertragen kann.

 

Angemessenheitsbeschlüsse der EU-Kommission

Einige Länder fallen in Bezug auf das Datenschutzniveau unter einen Angemessenheitsbeschluss. In diesen Ländern wurde durch die EU-Kommission festgestellt, daß im betreffenden Land Datenschutz-Standards vorliegen, die der Europäischen Union genügen. Nach Abschluss eines solchen Verfahrens können personenbezogene Daten ohne Beschränkungen in dieses übertragen werden. Eine aktuelle Liste der Länder, in die man international personenbezogene Daten aufgrund eines Angemessenheitsbeschlusses übertragen kann, finden Sie hier.

Auch in die USA dürfen personenbezogene Daten übertragen werden. Die USA haben zwar keinen Angemessenheitsbeschluss, welcher sicher auch nicht kommen wird, jedoch gibt es zwischen den Vereinigten Staaten und der EU den so genannten Privacy Shield (Nachfolger des Safe Harbor-Abkommens). Wenn us-amerikanische Unternehmen dem Privacy Shield beigetreten sind und sich verpflichten den Regelungen zu folgen, so können zu diesen Unternehmen personenbezogene Daten übertragen werden. Ist das Unternehmen dem Abkommen nicht beigetreten müssen andere Lösungen gefunden werden.

 

Weitere Möglichkeiten personenbezogene Daten international zu übertragen

Eine weitere Möglichkeit personenbezogene Daten international übertragen zu können sind z.B. die Standarddatenschutzklauseln der EU. Besser bekannt waren diese unter der Bezeichnung Standardvertragsklauseln. Diese Klauseln können international mit Unternehmen abgeschlossen werden um die datenschutzrelevanten Punkte zu regeln um ein passendes Datenschutzniveau zu erreichen. Dabei müssen diese Standarddokumente lediglich an einigen Stellen ausgefüllt werden. Eine Abänderung, ein Weglassen von Teilen oder eine Umformulierung ist dabei strikt untersagt.

Unternehmensgruppen oder Konzerne haben auch die Möglichkeit so genannte Binding Corporate Rules (unternehmensinterne Datenschutzvorschriften) aufzustellen um innerhalb der Unternehmensgruppe oder des Konzerns personenbezogene Daten zu übertragen. Diese Regeln gelten dann für alle Unternehmen der Gruppe und alle Bereiche. Diese Unternehmensregeln müssen jedoch im Vorwege der Datenübertragung von der zuständigen Datenschutzaufsichtsbehörde genehmigt werden. Eine solche Regelung kann unter Umständen sehr teuer und zeitaufwändig sein.

Die Einwilligung stellt noch eine nutzbare Option zur Übertragung von personenbezogenen Daten dar. Hier muss jedoch die betroffene Person entsprechend eingewilligt haben.

[/alert_box]


Weitere Informationen

Binding Corporate Rules

Privacy Shield

Datenschutz Östereich

Datenschutz Schweiz