Kostenlos testen Login
Home » Blog » Die Datenschutz-Grundverordnung – Was passiert außerhalb der EU?

Die Datenschutz-Grundverordnung – Was passiert außerhalb der EU?

12. March 2018

DSGVO außerhalb der EU - Newsletter2Go

Mit dem alleinigen Inkrafttreten der EU-DSGVO am 25. Mai kommen nicht nur auf Unternehmen innerhalb der EU datenschutzrechtliche Anforderungen zu. Auch außerhalb der EU hat die DSGVO teilweise Wirkung, sobald personenbezogene Daten von Betroffenen verarbeitet werden, die sich innerhalb der EU befinden. Was das beispielsweise für die Zusammenarbeit mit Firmen in der Schweiz oder den USA bedeutet, erfahren Sie im Interview mit unserem Datenschutzbeauftragten und Justiziar.

In Deutschland wird durch das Bundesdatenschutzgesetz bereits ein hoher Datenschutz-Standard gewährleistet. Am 25. Mai tritt eine Verordnung in Kraft, die den Datenschutz europaweit regeln wird. Aber warum ist Datenschutz so wichtig?

Durch das Datenschutzrecht werden die Daten von natürlichen Personen geschützt. In Deutschland hat dieser Schutz durch das “Allgemeine Persönlichkeitsrecht” nach Art. 2 Absatz 1 in Verbindung mit der Menschenwürde aus Art. 1 Absatz 1 Grundgesetz Verfassungsrang.

Dies ist insbesondere im Zuge der Digitalisierung der Gesellschaft zu beachten. Das Datenschutzrecht möchte dem sogenannten “gläsernen Menschen” vorbeugen.

Was ist das Ziel des EU-weiten Datenschutzrechts – wieso wurde die DSGVO beschlossen?

Bisher wurde das Datenschutzrecht in den einzelnen Mitgliedsländern der Europäischen Union unterschiedlich gehandhabt. Die bisherigen Datenschutzrichtlinien der EU haben dem jeweiligen nationalen Gesetzgeber viel Spielraum in der Umsetzung belassen.

Durch die Datenschutz-Grundverordnung wird das Datenschutzrecht europaweit harmonisiert. Sie bewirkt, dass europaweit ein vergleichbares Datenschutzniveau garantiert wird.

Seit wann steht das fest und welche Länder wird es betreffen?

Die DSGVO gilt bereits seit dem 24. Mai 2016. Seither besteht eine Übergangszeit, in welcher sowohl die DSGVO als auch das bisherige Bundesdatenschutzgesetz (BDSG) Anwendung finden. Die betroffenen Länder sind zunächst alle Mitgliedstaaten der Europäischen Union. Der räumliche Anwendungsbereich der DSGVO geht jedoch noch weit darüber hinaus. So findet die DSGVO nach Art. 3 Abs. 2 DSGVO auch unter den darin befindlichen Voraussetzungen Anwendung auf Unternehmen mit Sitz außerhalb der Europäischen Union.

Was bedeutet die DSGVO für internationale Datentransfers?

Soweit personenbezogene Daten von Betroffenen verarbeitet werden, die sich innerhalb der EU befinden, müssen auch Unternehmen mit Sitz außerhalb der EU ihre Geschäftsabläufe auf die Vorgaben der DSGVO umstellen. Dies gilt jedoch nur, wenn das jeweilige Unternehmen in der EU den Betroffenen seine Waren und Dienstleistungen anbietet oder das Verhalten der Betroffenen (beispielsweise im Bereich Marktforschung) beobachtet.

Was ist ein Drittland im Sinne der DSGVO?

Drittländer sind solche Staaten, die nicht Mitglied der Europäischen Union sind. Zukünftig wird nach dem Brexit beispielsweise auch England als Drittland im Sinne des Datenschutzrechts gelten.

Welche Konsequenzen wird es beispielsweise für Firmen in der Schweiz geben oder Firmen in der EU, die mit Schweizer Firmen zusammenarbeiten?

Zunächst sind hier die Vorgaben des Art. 45 DSGVO zu beachten. Danach kann eine Datenübermittlung nur in ein Drittland vorgenommen werden, für welches die Europäische Kommission einen sogenannten Angemessenheitsbeschluss getroffen hat. Dieser Angemessenheitsbeschluss besagt, dass das jeweilige Drittland ein angemessenes datenschutzrechtliches Schutzniveau bietet. Hinsichtlich der Schweiz besteht ein solcher Angemessenheitsbeschluss. Eine Datenübermittlung personenbezogener Daten in die Schweiz ist nach Art. 45 DSGVO grundsätzlich möglich.

Darüber hinaus wurde ein solcher Beschluss u.a. für die folgenden Länder getroffen:

  • Argentinien
  • Andorra
  • Kanada
  • Neuseeland
  • Israel
  • Färöer Inseln
  • Uruguay

Ist die Datenverarbeitung mit einem Dienstleister aus den USA generell unzulässig?

Neben dem Standortprinzip der DSGVO kann die Nutzung eines US-Dienstleisters unter Umständen zulässig sein. Zu denken ist eine Auswahl des US-Dienstleisters anhand des EU-US Privacy Shields. Die Europäische Kommission hat beschlossen, das dieser EU-US Privacy Shield dem erforderlichen Datenschutzniveau der EU entspricht Die zertifizierten US-amerikanischen Unternehmen sind auf der Website https://www.privacyshield.gov/ hinterlegt. Die dort aufgeführten Unternehmen können auch für eine Datenverarbeitung innerhalb der USA genutzt werden. Dies ist aber auch mit Nachteilen verbunden. So sind mögliche Rechtsstreitigkeiten möglicherweise außerhalb der Europäischen Union zu führen und es könnten sich Haftungsmöglichkeiten nach dem US-amerikanischen Recht ergeben. Darüber hinaus ist auch der Anbieterwechsel bei Dienstleistern innerhalb der Europäischen Union mitunter unkomplizierter. Aus datenschutzrechtlicher Sicht ist die Nutzung eines europäischen Anbieters aufgrund des einheitlichen Datenschutzniveaus empfehlenswert.

Leave a Reply

Your email address will not be published. Required fields are marked *