Ob Google, Shopify oder Facebook: Viele der Anbieter von Tools oder Dienstleistungen, mit denen Online-Händler arbeiten, haben ihren Hauptsitz außerhalb der EU. Was ist zu beachten, wenn im Rahmen dieser Zusammenarbeit personenbezogene Daten der Nutzer an den Dienstleister übertragen werden? Welche Veränderungen ergeben sich durch den Start der Datenschutzgrundverordnung?
Es mag auf den ersten Blick ungewöhnlich erscheinen, dennoch ist die Übermittlung personenbezogener Daten an einen Dienstleister in einem sog. Drittland auch für einen Onlineshop häufig ein Thema. Viele Anbieter gängiger Tools sitzen nicht innerhalb des Geltungsbereichs des europäischen Datenschutzrechts. Ein Drittland in diesem Sinne ist dabei jedes Land außerhalb der Mitgliedstaaten der Europäischen Union sowie der Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum.
Im Bundesdatenschutzgesetz (BDSG) ist dieser Fall in § 4 b BDSG geregelt. Demnach ist die Weitergabe personenbezogener Daten an einen Dritten oder Auftragnehmer mit Sitz in einem Drittstaat nicht zulässig, wenn der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat. Dieses liegt insbesondere vor, wenn bei der empfangenden Stelle ein angemessenes Datenschutzniveau nicht gewährleistet ist.
Letztlich ist die Zulässigkeit daher anhand der Frage zu beurteilen, ob ein angemessenes Datenschutzniveau vorhanden ist.
Dies ist unter Berücksichtigung aller Umstände zu bestimmen. Die Europäische Kommission ist ermächtigt, ein solches Datenschutzniveau durch Beschluss festzustellen. Dies hat sie für einige Länder vollständig oder bezogen auf einzelne Bereiche bereits getan. Hierzu gehört zum Beispiel der Beschluss, der auf das sogenannte EU - US Privacy Shield referenziert.
Daneben sieht § 4 c BDSG Ausnahmen vor, bei denen eine Übermittlung auch ohne angemessenes Datenschutzniveau zulässig ist. Diese werden in der Praxis häufig herangezogen. Besonders relevant sind dabei folgende Alternativen:
Im Rahmen der Datenschutzgrundverordnung ist der Übermittlung personenbezogener Daten in Drittstaaten ein ganzer Abschnitt gewidmet. In den Artikeln 44 ff. DSGVO ist die Zulässigkeit des Datentransfers in Länder außerhalb der EU, bzw. des EWR geregelt.
Art. 44 DSGVO leitet den Abschnitt ein und stellt zunächst klar, dass eine Übermittlung von Daten in Drittstaaten nur unter Einhaltung der in den folgenden Artikeln festgehaltenen Vorgaben zulässig ist. Diese Artikel sehen eine Reihe von Möglichkeiten zur Rechtmäßigkeit eines Datentransfers vor:
Neu ist, dass auch eine durch die Aufsichtsbehörden entsprechend anerkannte Zertifizierung als geeignete Garantie zur Einhaltung eines angemessenen Datenschutzniveaus herangezogen werden kann. Alles in allem ergeben sich jedoch keine umfassenden Änderungen durch die Datenschutzgrundverordnung im Bereich des Datentransfers in Drittstaaten.
Nichtsdestotrotz stellt sich die Frage, was für fortlaufende Datentransfers in Drittstaaten gilt, die sich auf bisherige Entscheidungen der Kommission zum angemessenen Datenschutzniveau stützen.
Hierzu liefert Art. 45 Abs. 9 die Antwort: Entscheidungen der Kommission bleiben in Kraft, bis sie durch die Kommission selbst geändert, ersetzt oder aufgehoben werden.
Im Hinblick auf die Zulässigkeit einer Übermittlung personenbezogener Daten in Drittstaaten ändert sich mit dem Start der Datenschutzgrundverordnung am 25.05.2018 nicht allzu viel. Neu ist die Möglichkeit der Anerkennung von Zertifikaten als geeignete Garantie eines angemessenen Datenschutzniveaus durch die Aufsichtsbehörden.
Bisherige Kommissionsentscheidungen bleiben zunächst weiterbestehen, bis die Kommission erneut über sie entscheidet.
Unser Tipp: Nutzen Sie die Datenschutzgrundverordnung trotzdem als Anlass, um zu überprüfen, wohin personenbezogene Daten übermittelt werden und ob die Zulässigkeitsvoraussetzungen hierfür gegeben sind.
Bildnachweis: Bloomicon/shutterstock.com