Internationale Datentransfers
Welche Instrumente für die Übermittlung personenbezogener Daten in Drittländer außerhalb des EWR zur Verfügung stehen — von Angemessenheitsbeschlüssen über Standardvertragsklauseln bis hin zu Ausnahmen nach Art. 49 DSGVO.
Die Übermittlung personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) ist nur unter bestimmten Voraussetzungen zulässig. Kapitel V der DSGVO (Art. 44–49) enthält ein abgestuftes System von Transferinstrumenten, das sicherstellen soll, dass das durch die DSGVO gewährleistete Schutzniveau nicht durch Drittlandsübermittlungen unterlaufen wird.
Angemessenheitsbeschluesse
Die erste und einfachste Grundlage ist ein Angemessenheitsbeschluss der EU-Kommission nach Art. 45 DSGVO. Liegt ein solcher Beschluss vor, kann die Datenübermittlung ohne weitere Genehmigung stattfinden. Derzeit anerkannte Länder umfassen unter anderem die Schweiz, Japan, Neuseeland, das Vereinigte Königreich und — nach dem Schrems-II-Urteil und dem EU-US Data Privacy Framework (DPF) von 2023 — für zertifizierte US-Unternehmen auch die USA.
Geeignete Garantien
Fehlt ein Angemessenheitsbeschluss, sind geeignete Garantien nach Art. 46 DSGVO erforderlich. Das wichtigste Transferinstrument sind die von der EU-Kommission genehmigten Standardvertragsklauseln (Standard Contractual Clauses, SCCs), die seit 2021 in aktualisierter Form vorliegen. Die SCCs müssen unverändert übernommen werden; Ergänzungen sind möglich, soweit sie die SCCs nicht aushöhlen. Weiters stehen verbindliche interne Datenschutzvorschriften (Binding Corporate Rules, BCRs) für konzerninterne Transfers sowie genehmigte Verhaltensregeln oder Zertifizierungsmechanismen zur Verfügung.
Nach dem Schrems-II-Urteil des EuGH (C-311/18) sind Verantwortliche zusätzlich verpflichtet, einen Transfer Impact Assessment (TIA) durchzuführen, um sicherzustellen, dass das Transferinstrument im Zielland einen gleichwertigen Schutz bietet. Bei US-Transfers unter dem DPF ist die Zertifizierung des US-Empfängers über die offizielle DPF-Liste zu verifizieren.
Ausnahmen nach Art. 49 DSGVO
Art. 49 DSGVO enthält Ausnahmen, auf die nur in Ausnahmefällen zurückgegriffen werden sollte. Hierzu zählen die ausdrückliche Einwilligung der betroffenen Person, die Vertragserfüllung, wichtige Gründe des öffentlichen Interesses sowie lebenswichtige Interessen. Die Aufsichtsbehörden betonen, dass Art. 49-Ausnahmen keine dauerhafte Grundlage für systematische Transfers sein dürfen.