Datenübermittlung in Drittländer & an internationale Organisationen

Für die Übermittlung personenbezogener Daten in ein Drittland (d.h. in ein Land, in dem die DSGVO nicht gilt) bedarf es spezieller Voraussetzungen: 

Entweder muss erreicht bzw. nachgewiesen werden, dass beim Empfänger im Drittland ein angemessenes Datenschutzniveau gegeben ist, oder die Datenübermittlung wird auf einen Ausnahmetatbestand gestützt.

Ein angemessenes Datenschutzniveau kann einerseits mit einem Angemessenheitsbeschluss nach Art. 45 DSGVO festgestellt werden. Die Europäische Kommission hat dazu eine Übersichtsseite erstellt, auf der auch die Länder angegeben sind, für die die Europäische Kommission einen Angemessenheitsbeschluss getroffen hat.

Andererseits kann, wenn kein Angemessenheitsbeschluss vorliegt, eine Datenübermittlung in Drittländer auf geeignete Garantien nach Art. 46 DSGVO gestützt werden. Zu diesen geeigneten Garantien zählen neben anderen verbindliche interne Datenschutzvorschriften und Standardvertragsklauseln. Diese sind erforderlichenfalls mit ergänzenden Maßnahmen (bspw. vertragliche Regelungen oder technische Vorkehrungen zu Verschlüsselung) zu flankieren.

Liegen weder ein Angemessenheitsbeschluss noch geeignete Garantien vor und kann somit ein angemessenes Datenschutzniveau beim Empfänger im Drittland nicht garantiert werden, kann die Datenübermittlung alternativ nur auf einen der Ausnahmetatbestände des Art. 49 DSGVO gestützt werden. Dazu zählt neben anderen die ausdrückliche Einwilligung der betroffenen Person in die Drittlandübermittlung.