Kann ich gemäß der DSGVO Daten außerhalb des EWR verarbeiten?

Die DSGVO erlaubt die Übermittlung von Daten an Länder außerhalb des Europäischen Wirtschaftsraums (sogenannte „Drittländer“), um den internationalen Handel und die internationale Zusammenarbeit zu gewährleisten.

Gemäß der DSGVO kann die Übermittlung personenbezogener Daten in Drittländer erfolgen, sofern bestimmte Bedingungen erfüllt sind. Sie können Daten in Drittländer übermitteln, die ein angemessenes Schutzniveau gewährleisten, wie es von der Europäischen Kommission anerkannt wird, wie beispielsweise (zum Zeitpunkt der Aktualisierung des Artikels): Andorra, Argentinien, Kanada (nur kommerzielle Organisationen), Färöer-Inseln, Guernsey, Israel, Isle of Man, Jersey, Neuseeland, Schweiz, Uruguay, Japan, Vereinigtes Königreich, Südkorea und USA (sofern der Empfänger das EU-US-Datenschutzabkommen einhält). In diesen Ländern bieten nationale Rechtsvorschriften ein Schutzniveau für personenbezogene Daten, das mit dem des EU-Rechts vergleichbar ist. Daten können daher in diese Drittländer übermittelt werden, ohne dass zusätzliche Schutzmaßnahmen ergriffen oder weitere Bedingungen erfüllt werden müssen.

Um Daten in ein Drittland zu übermitteln, welches kein angemessenes Schutzniveau gewährleistet, also kein Angemessenheitsbeschluss der Europäischen Kommission vorliegt, müssen Sie sicherstellen, dass die personenbezogenen Daten beim Empfänger angemessen geschützt werden und dass den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.

Geeignete Garantien können unter anderem durch den Einsatz von von der EU-Kommission genehmigten Standardvertragsklauseln und bei Datentransfers innerhalb einer Unternehmensgruppe durch sog. verbindliche interne Datenschutzvorschriften oder durch die Verpflichtung zur Einhaltung von Verhaltenskodizes gewährleistet werden, die von der EU-Kommission als allgemein verbindlich erklärt wurden.

Darüber hinaus gibt es mehrere Ausnahmen, die eine Datenübermittlung in ein Drittland gestatten, für das kein Beschluss vorliegt, der ein angemessenes Schutzniveau feststellt, und für das keine angemessenen Garantien bestehen. Eine der Ausnahmen ist die Einholung der Einwilligung, d. h. in diesem Fall die Einwilligung der betroffenen Person, nachdem diese über die mit einer solchen Übermittlung verbundenen Risiken informiert wurde.