Veröffentlicht am Kategorien News, Politik, Praxis, Praxis - Für Betroffene, Praxis - Verarbeitende Stellen, RechtTags , , , , , , , , , ,

Datenschutz-Aufsichtsbehörden: Datenübermittlung in Drittstaaten erfordert Prüfung in zwei Stufen

IITR Information[IITR – 17.09.13] Der Düsseldorfer Kreis (Gremium in der Konferenz der Datenschutz-Aufsichtsbehörden des Bundes und der Länder) hat in einer Stellungnahme betont, dass die Datenübermittlung in Drittstaaten zwingend eine zweistufige Prüfung erfordert.

In dem Beschluss vom 11./12. September 2013 heißt es (die Verlinkungen wurden ergänzt):

„Bei Datenübermittlungen in einen Drittstaat, also einen Staat außerhalb des Europäischen Wirtschaftsraums, sind Datenschutzfragen auf zwei Stufen zu prüfen:

Auf der ersten Stufe ist es erforderlich, dass die Datenübermittlung durch eine Einwilligung der betroffenen Person oder eine Rechtsvorschrift gerechtfertigt ist. Hierbei gelten die allgemeinen Datenschutzvorschriften (z.B. §§ 28 und 32 Bundesdatenschutzgesetz (BDSG)) mit der Besonderheit, dass trotz Vorliegens einer Auftragsdatenverarbeitung die Datenübermittlung nach § 4 Abs. 1 BDSG zulässig sein muss (vgl. § 3 Abs. 8 BDSG). Bei Auftragsdatenverarbeitung ist der Prüfungsmaßstab in der Regel § 28 Abs. 1 Satz 1 Nr. 2 BDSG, bei sensitiven Daten ist § 28 Abs. 6 ff. BDSG zu beachten.

Auf der zweiten Stufe ist zu prüfen, ob im Ausland ein angemessenes Datenschutzniveau besteht oder die Ausnahmen nach § 4c BDSG vorliegen.

Die Datenübermittlung ist nur zulässig, wenn auf beiden Stufen ein positives Prüfungsergebnis vorliegt.“

Kontakt:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-1891 7360
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Ein Gedanke zu „Datenschutz-Aufsichtsbehörden: Datenübermittlung in Drittstaaten erfordert Prüfung in zwei Stufen“

  1. Sehr geehrter Herr Dr. Kraska,
    ich habe von Kollegen (Nicht-Juristen) gehört, sobald Daten von einer Auslandsniederlassung in einem Data-Center in Deutschland gespeichert/ verarbeitet werden, so müssen sie dort verbleiben. Die Daten unterliegen dann natürlich dt. Rechtssprechung und dt. Compliance Richtlinien. Ich kann mir aber nicht vorstellen, dass die Daten dann nicht wieder zurück in die ursprüngl. Entities gesendet werden dürfen. Meines Wissens nach, wird so etwas durch Datentransferverträge zw. den einzelnen Niederlassungen geregelt, auch (oder gerade wenn) sie sich in unterschiedlichen Ländern befinden. Könnten Sie mir dies bestätigen? Vielen Dank und mit den besten Grüßen. Patrick Paddington

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *