Immer wenn personenbezogene Daten in ein Land außerhalb der EU/des EWR übermittelt werden, gelten die besonderen Anforderungen des Kapitels V der DSGVO - zusätzlich zu den allgemeinen Anforderungen.
2-Stufen-Prüfung
Stufe 1: Allgemeine DSGVO-Anforderungen prüfen (Rechtsgrundlage nach Art. 6, Informationspflichten etc.) Stufe 2: Spezifische Drittlandsanforderungen nach Art. 44 ff. prüfen
Drei Legitimationswege
1. Angemessenheitsbeschluss (Art. 45 DSGVO) Die EU-Kommission stellt fest, dass ein Drittland ein angemessenes Datenschutzniveau bietet. Dann ist der Transfer ohne weitere Genehmigung möglich. Aktuelle Beschlüße bestehen u.a. für: Japan, Kanada (PIPEDA), Schweiz, UK, Republik Korea und die USA (EU-U.S. Data Privacy Framework).
2. Geeignete Garantien (Art. 46 DSGVO) Ohne Angemessenheitsbeschluss sind geeignete Garantien erforderlich:
- Standarddatenschutzklauseln (SCCs): Das häufigste Instrument. Neue SCCs der EU-Kommission seit Juni 2021.
- Verbindliche interne Datenschutzvorschriften (BCRs): Für Konzerne; müßen im Kohärenzverfahren genehmigt werden.
- Genehmigte Verhaltensregeln oder Zertifizierungen
Seit dem Schrems-II-Urteil des EuGH müßen zusätzlich Transfer Impact Assessments (TIA) durchgeführt werden.
3. Ausnahmen für bestimmte Fälle (Art. 49 DSGVO) Nur im Einzelfall und eng auszulegen: ausdrückliche Einwilligung nach Risikoaufklärung, Vertragserfüllung, Rechtsansprüche, lebenswichtige Interessen.
Praxistipp
Prüfen Sie bei jedem eingesetzten Dienst (Cloud, Analytics, CRM), ob Daten in Drittländer fließen. US-Dienste (Google, Microsoft, Amazon) erfordern besondere Aufmerksamkeit - das EU-U.S. Data Privacy Framework ist nur anwendbar, wenn der US-Empfänger zertifiziert ist.