th share video content contact download event event-wifi cross checkmark close xing wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht twitter search print pdf mail linkedin google-plus facebook whatsapp arrow-up arrow-right arrow-left arrow-down calendar user home icon-gallery icon-flickr icon-youtube icon-instagram pinterest skype vimeo snapchat
news.wko.at

Wann man personenbezogene Daten an Drittländer senden darf

Während der Datenverkehr innerhalb der Europäischen Union durch die Datenschutz-Grundverordnung und das dadurch gleiche Datenschutz-niveau keinen Beschränkungen unterliegt, ist der Datenverkehr mit Drittländern oder internationalen Organisationen nur unter bestimmten Voraussetzungen zulässig.

Dateschutzgrundverordnung
© Panchenko Vladimir/Shutterstock

Um Daten an Drittländer oder internationale  Organisationen weiterleiten zu dürfen, muss die Datenverarbeitung im Inland - also innerhalb der Europäischen Union (EU) - den Vorgaben der Datenschutz-Grundverordnung (DSGVO) entsprechen. Das dadurch unionsweit gewährleistete Schutzniveau für natürliche Personen darf auch bei der Übermittlung personenbezogener Daten aus der EU an Verantwortliche, Auftragsverarbeiter oder andere Empfänger in Drittländern oder an internationale Organisationen nicht untergraben werden. Dasselbe gilt auch dann, wenn aus einem Drittland oder von einer internationalen Organisation personenbezogene Daten an Verantwortliche oder Auftragsverarbeiter in demselben oder einem anderen Drittland bzw. einer internationalen Organisation weiter-übermittelt werden.

In der DSGVO sind folgende Fälle einer zulässigen Datenübermittlung an ein Drittland bzw. an eine internationale Organisation genannt:

  • Datenübermittlung durch Angemessenheitsbeschluss der EU-Kommission
    Datenübermittlungen auf der Grundlage eines Angemessenheitsbeschlusses bedürfen keiner besonderen Genehmigung durch die Aufsichtsbehörde. Angemessenheitsbeschlüsse (Durchführungsrechtsakte der EU-Kommission) müssen einen Mechanismus für eine regelmäßige Überprüfung, die mindestens alle vier Jahre zu erfolgen hat, vorsehen. Die EU-Kommission überwacht fortlaufend die Entwicklung in den entsprechenden Drittländern und widerruft, ändert oder setzt die Beschlüsse im Wege von Durchführungsrechtsakten aus, soweit Informationen vorliegen, dass das Drittland kein angemessenes Schutzniveau gewährleistet. Die aufgrund der Datenschutz-Richtlinie 95/46/EG erlassenen Angemessenheitsentscheidungen bleiben so lange in Kraft, bis sie aufgehoben werden. Das betrifft derzeit die Staaten Andorra, Argentinien, Färöer Inseln, Guernsey, Insel Man, Israel, Jersey, Kanada, Neuseeland, Schweiz, Uruguay sowie für die USA das Privacy Shield. Den ersten Angemessenheitsbeschluss seit Geltung der DSGVO hat die EU-Kommission am 23.1.2019 in Bezug auf Japan angenommen.

  • Vorliegen geeigneter Garantien 
    Ohne Genehmigung der Aufsichtsbehörde (in Österreich die Datenschutzbehörde) können diese geeigneten Garantien bestehen, in verbindlichen internen Datenschutzvorschriften (Binding Corporate Rules), die von der zuständigen Aufsichtsbehörde genehmigt worden sind. Diese werden momentan hauptsächlich von großen internationalen Konzernen genützt. Standarddatenschutzklauseln, die von der Kommission erlassen oder von einer Aufsichtsbehörde angenommen und von der Kommission genehmigt worden sind. Alle Verantwortlichen und Auftragsverarbeiter können diese Klauseln verwenden. genehmigten Verhaltensregeln, die durch Verbände oder Vereine erstellt wurden, oder einem genehmigten Zertifizierungsmechanismus. Vorbehaltlich der Genehmigung durch die Aufsichtsbehörde können die geeigneten Garantien  Vertragsklauseln sein, die zwischen den Verantwortlichen oder dem Auftragsverarbeiter und dem Verantwortlichen, dem Auftragsverarbeiter oder dem Empfänger der personenbezogenen Daten im Drittland vereinbart wurden. 

  • Ausnahmen für bestimmte Fälle (ohne Genehmigung der nationalen Aufsichtsbehörde)
    Es liegt eine ausdrückliche Einwilligung des Betroffenen (nach Unterrichtung über die Risiken einer Übermittlung ohne Vorliegen eines Angemessenheitsbeschlusses oder geeigneter Garantien) vor. Die Übermittlung ist für die Erfüllung eines Vertrages zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich. Die Übermittlung ist zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einer anderen natürlichen oder juristischen Person geschlossenen Vertrags erforderlich. Die Übermittlung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich. Die Übermittlung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder anderer Personen erforderlich, sofern die betroffene Person aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben. Die Übermittlung ist aus wichtigen Gründen des öffentlichen Interesses notwendig oder die Übermittlung erfolgt aus einem Register, das nach dem Recht der EU oder der Mitgliedsstaaten zur Information der Öffentlichkeit bestimmt ist. Falls keine der genannten Ausnahmen vorliegt, darf eine Übermittlung an ein Drittland oder eine internationale Organisation nur dann erfolgen, wenn die Übermittlung nicht wiederholt erfolgt, nur eine begrenzte Zahl von betroffenen Personen betrifft, und für die Wahrung der zwingenden berechtigten Interessen des Verantwortlichen erforderlich ist. Dies gilt nur, sofern die Interessen oder die Rechte und Freiheiten der betroffenen Person nicht überwiegen und der Verantwortliche geeignete Garantien in Bezug auf den Schutz personenbezogener Daten vorgesehen hat. Der Verantwortliche muss die Aufsichtsbehörde von solchen Übermittlungen in Kenntnis setzen und die betroffene Person über die Übermittlung und seine zwingenden berechtigten Interessen informieren.
Bei Verstößen gegen die genannten Bestimmungen sind Geldbußen von bis zu 20 Millionen Euro oder im Fall eines Unternehmens von bis zu vier Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres vorgesehen.

Das könnte Sie auch interessieren

  • Servicenews
Umweltpreis 2019

Jetzt für den Umweltpreis 2019 einreichen!

Ab sofort und bis 25. Februar 2019 können Wiener Betriebe Projekte und Ideen zum Umweltpreis der Stadt Wien und OekoBusiness Wien einreichen mehr

  • Servicenews
Nationalbank

Nationalbank bringt im Mai die neuen 100- und 200-Euro-Banknoten heraus

Die Ausgabe der neuen Banknoten startet am 28. Mai. Damit ist die Europa-Serie komplett, die als besonders fälschungssicher gilt. mehr