Zusammenarbeit mit Dienstleistern aus Drittstaaten

Da die europäische Datenschutzgrundverordnung für alle EU-Staaten gilt, steht einer Datenverarbeitung innerhalb der europäischen Union nichts im Weg. Wenn Daten allerdings  außerhalb der europäischen Union in so genannten "Drittländern" verarbeitet werden, müssen Sie prüfen, ob in dem Land ein angemessenes Datenschutzniveau besteht, so dass auch dort die personenbezogenen Daten gut geschützt sind. 

Die DSGVO regelt die "Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen" in Kapitel 5 (Artikel 44 bis 50 DSGVO).

Art. 44 DSGVO - Allgemeine Grundsätze der Datenübermittlung

1. Jedwede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, ist nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die in diesem Kapitel niedergelegten Bedingungen einhalten und auch die sonstigen Bestimmungen dieser Verordnung eingehalten werden; dies gilt auch für die etwaige Weiterübermittlung personenbezogener Daten aus dem betreffenden Drittland oder der betreffenden internationalen Organisation an ein anderes Drittland oder eine andere internationale Organisation. 
2. Bestimmungen dieses Kapitels sind anzuwenden, um sicherzustellen, dass das durch diese Verordnung gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird.

Art. 45 DSGVO - Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses

1. Eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation darf vorgenommen werden, wenn die Kommission beschlossen hat, dass das betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland oder die betreffende internationale Organisation ein angemessenes Schutzniveau bietet. Eine solche Datenübermittlung bedarf keiner besonderen Genehmigung.
2. […]

Was bedeutet das?

Eine Übermittlung in ein Drittland außerhalb der EU ist nur zulässig, wenn die Europäische Kommission dem Drittland ein angemessenes Schutzniveau zugesprochen hat. 

Länder mit angemessenem Schutzniveau

Aus Sicht der Europäischen Kommission sind Norwegen, Liechtenstein und Island mit den EU-Mitgliedsstaaten gleichgestellt. Die Europäische Kommission hat darüber hinaus Andorra, Argentinien, Kanada (kommerzielle Organisationen), die Färöer-Inseln, Guernsey, Israel, die Insel Man, Japan, Jersey, Neuseeland, die Republik Korea, die Schweiz, das Vereinigte Königreich im Rahmen der Datenschutz-Grundverordnung und der LED, die Vereinigten Staaten (kommerzielle Organisationen, die am EU-US-Datenschutzrahmen teilnehmen) und Uruguay als angemessenen Schutz anerkannt.

Eine Liste der aktuellen Staaten findet sich auf der Webseite der EU Kommission: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en

Länder ohne angemessenes Schutzniveau

Ist ein Transfer von personenbezogenen Daten in Länder geplant, die nicht in dieser Liste aufgeführt sind, so bleibt nur der Rückgriff auf die so genannten "EU-Standardvertragsklauseln" oder andere ausreichende Garantien. Die Standardvertragsklauseln sind ein Vertragsmuster der Europäischen Kommission. Mit diesen Verträgen verpflichtet sich der Dienstleister im Drittstaat die europäischen Datenschutzstandards einzuhalten. Verwendet man diese Vertragsmuster, kann die Übermittlung personenbezogener Daten in Drittländer ohne weitere Genehmigung der Aufsichtsbehörden erfolgen.

Eine Vorlage der EU-Standardvertragsklauseln findet sich auf der Webseite der EU Kommission: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en