Der Datentransfer an Drittstaaten ist nach der neuen EU-Datenschutz-Grundverordnung nur unter bestimmten Voraussetzungen zulässig.
Aus Berichten über Soziale Netzwerke ist bekannt: Unsere Daten bleiben häufig nicht in Österreich. Beliebte Destinationen für Datentransfers sind nicht nur andere EU-Mitgliedstaaten, sondern vor allem auch Drittstaaten wie die USA.
Grundvoraussetzung für die Zulässigkeit eines jeden Datentransfers ins Ausland ist zunächst (weiterhin), dass die Grundsätze für die rechtmäßige Verarbeitung personenbezogener Daten eingehalten werden.
Für den Datentransfer innerhalb der EU bestehen ab Geltung der neuen Datenschutz-Grundverordnung (DSGVO) mit 25. Mai 2018 keine weiteren Voraussetzungen. Der Datentransfer an Drittstaaten ist nach der DSGVO zusammengefasst zulässig:
aufgrund eines Angemessenheitsbeschlusses der Europäischen Kommission, oder
bei Vorhandensein sogenannter "geeigneter Garantien", oder
in bestimmten aufgezählten Ausnahmefällen.
Angemessenheitsbeschlüsse, in denen Drittstaaten von der Kommission ein angemessenes Datenschutzniveau attestiert wird, gibt es derzeit nur wenige, wie etwa für Andorra, Argentinien, Kanada, Schweiz, Israel, Neuseeland, Uruguay - und die USA.
Mit den USA wurde zuletzt das "EU-US Privacy Shield" vereinbart, das das vom EuGH als unzulässig eingestufte "Safe Harbour"-Abkommen ersetzte. Aufgrund des Privacy Shield sind schon heute Datentransfers in die USA - ohne Vorabgenehmigung der Datenschutzbehörde - zulässig, sofern der Datenempfänger unter dem Privacy Shield zertifiziert ist. Dies ist etwa bei Google und Microsoft der Fall (siehe www.privacyshield.gov/list).
Neu ist nach der DSGVO, dass ein Datentransfer in Drittstaaten auch dann genehmigungsfrei ist, wenn dies unter Verwendung sogenannter "Standarddatenschutzklauseln" geschieht. Diese stellt den in der Praxis wohl häufigsten Fall für das Vorhandensein "geeigneter Garantien" dar. Datentransfers auf dieser Grundlage werden damit ab dem
25. Mai 2018 wesentlich erleichtert. Derzeit bedarf die Verwendung von solchen "Standardvertragsklauseln" nämlich noch der Genehmigung der Datenschutzbehörde.
Als "Ausnahmefall" bleibt der Datentransfer in Drittstaaten etwa dann zulässig, wenn der Betroffene ausdrücklich dazu einwilligt. Voraussetzung ist allerdings, dass er über die möglichen Risiken umfangreich informiert wurde.
Datentransfers in Drittstaaten bleiben somit auch nach der DSGVO möglich. Allerdings ist auf die einzelnen Voraussetzungen Bedacht zu nehmen. Vor allem die Information der Betroffenen spielt eine grundlegende Rolle: Selbst wenn es etwa einen Angemessenheitsbeschluss gibt, müssen Betroffene darüber adäquat informiert werden.
Unternehmen sind gut beraten, rechtzeitig zu überprüfen, ob ihre Datentransfers der DSGVO entsprechen. Bei einem Verstoß drohen bekanntlich nicht nur zivilrechtliche Schritte durch Betroffene, sondern auch die Verhängung massiver Geldbußen in Höhe von bis zu 20 Millionen Euro beziehungsweise vier Prozent des weltweiten Vorjahresumsatzes durch die Datenschutzbehörde.