Datenübermittlung in Drittländer: Was Unternehmer wissen müssen!
Heute geht es weiter mit unserem DCODatenschutz1x1 – und zwar mit internationalen Datentransfers.
In einer global vernetzten Wirtschaft ist der grenzüberschreitende Datenaustausch oft unvermeidlich. Doch gerade bei der Übermittlung personenbezogener Daten in Drittländer außerhalb der EU sind besondere Vorsichtsmaßnahmen & Regelungen zu beachten, um den Datenschutz zu gewährleisten – damit mögliche Urteile (SchremsIII) Sie nicht unvorbereitet treffen.
Was sind Datenübermittlungen in Drittländer?
Datenübermittlungen in Drittländer beziehen sich auf die Übertragung personenbezogener Daten aus einem EU-Mitgliedstaat in ein Land außerhalb des Europäischen Wirtschaftsraums (EWR). Das Schutzniveau der personenbezogenen Daten darf durch die Übermittlung nicht schlechter sein, als es unter der DSGVO ist.
Risiken bei Datenübermittlungen in Drittländer:
- Rechtliche Unsicherheiten: Unterschiedliche Datenschutzstandards und rechtliche Rahmenbedingungen in Drittländern können zu Unsicherheiten und Compliance-Risiken führen.
- Datenverlust & Missbrauch: Ohne Schutzmaßnahmen besteht ein erhöhtes Risiko für Datenverlust, unbefugten Zugriff oder Missbrauch der Daten.
- Erhöhte Abmahngefahr: Unerlaubte Datenübermittlungen in ein Drittland sind ein beliebter Grund für Schadenersatzforderungen durch betroffene Personen.
Wann und wie dürfen Daten in Drittländer übermittelt werden?
Gemäß Artikel 44 ff. der DSGVO dürfen personenbezogene Daten nur dann in ein Drittland übermittelt werden, wenn entsprechendes Übermittlungsinstrument zur Verfügung steht. Die wichtigsten sind die folgenden drei:
- Angemessenheitsbeschluss: Die EU-Kommission hat entschieden, dass das Drittland ein angemessenes Datenschutzniveau bietet.
- Standardvertragsklauseln (SCC): SCC sind von der EU-Kommission genehmigte Vertragsvorlagen, die sicherstellen, dass die an der Datenübermittlung beteiligten Unternehmen gewisse Mindestabreden für die Gewährleistung des Schutzes personenbezogener Daten stellen. Bei der Verwendung von SCC muss immer ein Transfer Impact Assessment (TIA) durchgeführt werden.
- Binding Corporate Rules (BCR): BCR sind verbindliche Datenschutzvorschriften, die innerhalb eines multinationalen Unternehmens gelten und von Datenschutzbehörden genehmigt werden.
Was passiert, wenn Daten unrechtmäßig übermittelt werden?
Unternehmen, die personenbezogene Daten ohne die erforderlichen Garantien in Drittländer übermitteln, riskieren:
- Hohe Bußgelder von bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes
- Rechtsstreitigkeiten & Schadensersatzforderungen
Ihr nächster Schritt:
Stellen Sie sicher, dass Ihre Datenübermittlungen in Drittländer den Anforderungen der DSGVO entsprechen. Bei Fragen zum Thema sprechen Sie uns gerne an – wir freuen uns über Ihre Kontaktaufnahme.