Brexit & GDPR: Datenübertragungen in Drittländer

Nach den Vorgaben der DSGVO ist eine Übermittlung personenbezogener Daten in ein Drittland (das ist ein Staat außerhalb der EU) nur dann zulässig, wenn dieses Drittland ein angemessenes Schutzniveau gewährleistet und das durch die DSGVO gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird. Regelungen zur Zulässigkeit einer Datenübermittlung in ein Drittland finden sich in den Art. 44-49 DSGVO. Da Großbritannien kein EU-Mitglied mehr ist, gilt es mit dem Ende der vereinbarten Übergangsphase nach dem 30. Juni 2021 grundsätzlich als Drittland.

Angemessenheitsbeschluss

Wie dargestellt, erfolgt die Feststellung, ob für die Datenübermittlung in ein Drittland ein angemessenen Schutzniveau gewährleistet ist, u. a. per Angemessenheitsbeschluss. Anerkennt die Europäische Kommission mit einem Angemessenheitsbeschluss, dass ein ausreichendes Schutzniveau in einem Drittland gewährleistet ist, dürfen Verantwortliche aus EU-Mitgliedstaaten personenbezogene Daten in dieses Drittland übermitteln, ohne dass darüber hinaus zusätzliche Garantien erforderlich sind.

Alternative Rechtsgrundlagen

Neben einem Angemessenheitsbeschluss kommen bspw. noch folgende Rechtsgrundlagen in Betracht:

Standarddatenschutzklauseln,
Ad-hoc-Verträge, die durch die zuständige Datenschutzbehörde autorisiert wurden,
Binding Corporate Rules (BCR), die durch die zuständige Datenschutzbehörde autorisiert wurden,
Einholung der ausdrücklichen Einwilligung von betroffenen Personen, soweit sie auf das Fehlen eines Angemessenheitsbeschlusses und angemessener Sicherheitsmaßnahmen hingewiesen wurden; oder
bei Fehlen eines Angemessenheitsbeschlusses und angemessener Sicherheitsmaßnahmen: Durchführung oder Abschluss eines Vertrags, Übermittlung aus wichtigen Gründen des öffentlichen Interesses oder Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Zu klären ist, welche der von der DSGVO vorgesehenen, alternativen Rechtsgrundlagen für den Datentransfer geeignet ist. Dafür bedarf es einer Prüfung im Einzelfall samt Risikoevaluierung (Häufigkeit des Datentransfers, Datenarten, sonstige Verarbeitungskriterien etc.).

Im Hinblick auf die kürzlich ergangene “Schrems”-Entscheidung des EuGH ist bei dem Einsatz der EU-Standardvertragsklauseln darauf zu achten, dass stets eine Risikobewertung im Hinblick darauf erfolgen muss, ob das geltende Recht im Zielland ein angemessenes Datenschutzniveau gewährleistet. Was das für die Praxis bedeutet, bleibt abzuwarten.

Sanktionen bei Verletzung von Art. 44 ff. DSGVO

Wenn keine valide Rechtsgrundlage für eine Datenübertragung gegeben ist, liegt ein Verstoß gegen die DSGVO vor und es droht eine Strafe in Höhe von bis zu 20 Millionen EUR oder 4% des weltweiten Jahresumsatzes.

Unternehmen müssen daher unverzüglich reagieren, sollte die Kommission nach Ende der Übergangsphase keinen Angemessenheitsbeschluss zu Großbritannien fassen.

Autor: Dr. Karolin Nelles

Nächste internationale Veranstaltungen

18. Konferenz "RECYCLING VON ELEKTRISCHEN UND ELEKTRONISCHEN WAFFEN"

Anna Specht-Schampera
16.04.2024 10:00, Katowice

Das Behindertentestament

Siegrid Lustig
18.04.2024 18:00, Walsrode

Regionales Forum für Versorgungsunternehmen

Anna Specht-Schampera
23.04.2024 10:00, Bolesławiec

Law Team Karriere Über uns International News & Jusful Veranstaltungen Kontakt

Wir sprechen überall Ihre Sprache. Deutsch an allen Standorten.

SAXINGER Rechtsanwalts GmbH

Graz - graz@saxinger.com
Opernring 7/1 - 8010 Graz - T +43 316 822280
Linz - linz@saxinger.com
Böhmerwaldstraße 14 - 4020 Linz - T +43 732 603030
Wels - wels@saxinger.com
Edisonstraße 1 - 4600 Wels - T +43 7242 65290
Wien - vienna@saxinger.com
Wächtergasse 1 - 1010 Wien - T +43 1 9050100

2024 (c) SAXINGER Rechtsanwalts GmbH

Allgemeine Auftragsbedingungen Datenschutzinformationen Datenschutzerklärung Disclaimer Impressum