Datenschützer fordern zweistufige Prüfung bei Datenübermittlung in Drittstaat
Am 11.09. und am 12.09.2013 hat der Düsseldorfer Kreis (ein Gremium der Datenschutzbehörden für den nicht-öffentlichen Bereich, vgl. Wikipedia) einen Beschluss gefasst, der die Anforderungen an die Übermittlung von personenbezogenen Daten in Staaten außerhalb des Europäischen Wirtschaftsraums (EWR), also zum Beispiel in die USA, festlegt.
Insoweit soll eine Prüfung in zwei Stufen erforderlich sein. Die Datenübermittlung in einen Drittstaat ist demnach nur dann zulässig, wenn auf den beiden Stufen jeweils ein positives Prüfungsergebnis vorliegt:
Auf der ersten Stufe ist es erforderlich, dass die Datenübermittlung durch eine Einwilligung der betroffenen Person oder eine Rechtsvorschrift gerechtfertigt ist. Dabei gelten die allgemeinen Datenschutzvorschriften, insbesondere die §§ 28 und 32 des Bundesdatenschutzgesetzes, BDSG) mit der Besonderheit, dass auch bei einer so genannten Auftragsdatenverarbeitung die Datenübermittlung nach § 4 Absatz 1 BDSG zulässig sein muss (vgl. § 3 Abs. 8 BDSG). Bei Auftragsdatenverarbeitung ist der Prüfungsmaßstab in der Regel § 28 Absatz 1 Satz 1 Nr. 2 BDSG, bei besonders schützenswerten Daten ist § 28 Absatz 6 ff. BDSG zu beachten.
Auf der zweiten Stufe ist dann zu prüfen, ob im Ausland ein angemessenes Datenschutzniveau besteht oder die Ausnahmen nach § 4c BDSG vorliegen.
Hier ist der Wortlaut des Beschlusses im Einzelnen nachzulesen: http://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/DuesseldorferKreis/12092013DatenuebermittlungInDrittstaaten.pdf?__blob=publicationFile
Wem das jetzt zu viele Paragraphen und Bedingungen waren (was durchaus nachvollziehbar ist), kann sich auch gerne mit Fragen und rechtlicher Beratung und Unterstützung an uns wenden. Fest steht, dass ein Verstoß gegen die datenschutzrechtlichen Vorgaben heutzutage nicht nur einen großes Imageverlust bedeutet, sondern auch eine Ordnungswidrigkeit darstellt mit nicht unerheblichen Geldbußen, die auch mal in den sechsstelligen Bereich gehen können (je nach Schwere des Vorfalls).
Timo Schutt
Rechtsanwalt für Datenschutz
Fachanwalt für IT-Recht
Insoweit soll eine Prüfung in zwei Stufen erforderlich sein. Die Datenübermittlung in einen Drittstaat ist demnach nur dann zulässig, wenn auf den beiden Stufen jeweils ein positives Prüfungsergebnis vorliegt:
Auf der ersten Stufe ist es erforderlich, dass die Datenübermittlung durch eine Einwilligung der betroffenen Person oder eine Rechtsvorschrift gerechtfertigt ist. Dabei gelten die allgemeinen Datenschutzvorschriften, insbesondere die §§ 28 und 32 des Bundesdatenschutzgesetzes, BDSG) mit der Besonderheit, dass auch bei einer so genannten Auftragsdatenverarbeitung die Datenübermittlung nach § 4 Absatz 1 BDSG zulässig sein muss (vgl. § 3 Abs. 8 BDSG). Bei Auftragsdatenverarbeitung ist der Prüfungsmaßstab in der Regel § 28 Absatz 1 Satz 1 Nr. 2 BDSG, bei besonders schützenswerten Daten ist § 28 Absatz 6 ff. BDSG zu beachten.
Auf der zweiten Stufe ist dann zu prüfen, ob im Ausland ein angemessenes Datenschutzniveau besteht oder die Ausnahmen nach § 4c BDSG vorliegen.
Hier ist der Wortlaut des Beschlusses im Einzelnen nachzulesen: http://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/DuesseldorferKreis/12092013DatenuebermittlungInDrittstaaten.pdf?__blob=publicationFile
Wem das jetzt zu viele Paragraphen und Bedingungen waren (was durchaus nachvollziehbar ist), kann sich auch gerne mit Fragen und rechtlicher Beratung und Unterstützung an uns wenden. Fest steht, dass ein Verstoß gegen die datenschutzrechtlichen Vorgaben heutzutage nicht nur einen großes Imageverlust bedeutet, sondern auch eine Ordnungswidrigkeit darstellt mit nicht unerheblichen Geldbußen, die auch mal in den sechsstelligen Bereich gehen können (je nach Schwere des Vorfalls).
Timo Schutt
Rechtsanwalt für Datenschutz
Fachanwalt für IT-Recht