Ein Gastbeitrag zur DSGVO von:
Dr. Oliver Hornung, Rechtsanwalt für IT & Digital Business
und Partner von SKW Schwarz Rechtsanwälte
Folgende Themen werden in dieser Beitragsserie behandelt
- Ziele und Grundsätze.
- Rechte der Betroffenen.
- Pflichten für Unternehmen.
- Internationale Datentransfers ins Ausland.
- Technischer und organisatorischer Datenschutz.
- Auftragsverarbeitung.
- Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten.
- Neues europäisches Datenschutzrecht gilt auch für Website-Betreiber.
- Aufsichtsbehörden.
- Bußgelder und Sanktionen.
- Beschäftigtendatenschutz.
- Was ist für Unternehmen zu tun?
Datentransfer ins Ausland
Die Regelungen zum Datentransfer ins Ausland, somit in unsichere Drittstaaten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums übernimmt die bisher bekannte Systematik aus dem BDSG, jedoch mit einigen neuen Akzenten.
Eine Übermittlung von personenbezogenen Daten in ein sogenanntes unsicheres Drittland ist dann zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die zur Übermittlung in Drittländer niedergelegten Bedingungen erfüllt und auch die sonstigen Bestimmungen der DSGVO beachtet. Eine Übermittlung ist danach zulässig, wenn die Europäische Kommission entschieden hat, dass ein angemessenes Schutzniveau besteht. Hat die Europäische Kommission keine solche Entscheidung getroffen, so darf ein Verantwortlicher oder ein Auftragsverarbeiter personenbezogene Daten in ein unsicheres Drittland nur dann übermitteln, sofern er geeignete Garantien vorgesehen hat und durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. Dies sind folgende Möglichkeiten:
- Verbindliche unternehmensinterne Datenschutzvorschriften (sogenannte Binding Corporate Rules BCR)
- Standardvertragsklauseln
- Individuelle Vertragsklauseln
Neu in diesem Zusammenhang sind die detaillierten Aufzählungen des Mindestinhalts für BCR oder die Möglichkeit der nationalen Aufsichtsbehörden, eigene Muster für Standardvertragsklauseln herauszugeben.