Sollen personenbezogene Daten aus der Europäischen Union oder dem europäischen Wirtschaftsraum in sonstige Länder, sog. Drittstaaten, transferiert werden, sind neben den Voraussetzungen für die Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung gem. § 4 des Bundesdatenschutzgesetzes (BDSG), d. h. einer Einwilligung oder einem gesetzlichen Erlaubnissatz für den Umgang mit den Daten (sog. Zulässigkeitsvoraussetzungen der ersten Stufe) die besonderen Voraussetzungen für eine Übermittlung der Daten in Drittstaaten nach § 4b und § 4c des Bundesdatenschutzgesetzes (sog. Zulässigkeitsvoraussetzungen der zweiten Stufe) zu prüfen.
Gem. § 4b Absatz 2 BDSG hat die Übermittlung in einen Drittstaat zu unterbleiben, soweit der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat, insbesondere wenn bei der importierenden Stelle im Drittstaat ein angemessenes Datenschutzniveau nicht gewährleistet ist. Die Angemessenheit des Schutzniveaus wird gem. § 4b Absatz 3 des Bundesdatenschutzgesetzes unter Berücksichtigung aller Umstände beurteilt, die bei einer Datenübermittlung oder einer Kategorie von Datenübermittlungen von Bedeutung sind; insbesondere können die Art der Daten, die Zweckbestimmung, die Dauer der geplanten Verarbeitung, das Herkunfts- und das Endbestimmungsland, die für den betreffenden Empfänger geltenden Rechtsnormen sowie die für ihn geltenden Standesregeln und Sicherheitsmaßnahmen herangezogen werden.
Außer für die USA – mit dem Privacy Shield als Nachfolgeinstrument für den aufgehobenen Safe-Harbor-Rechtsakt – hat die Europäische Kommission auch für eine Reihe von anderen Staaten verbindlich festgestellt, dass dort ein im Sinne des § 4b des Bundesdatenschutzgesetzes angemessenes Datenschutzniveau gegeben ist. Eine solche Feststellung hat die Kommission für Andorra, Argentinien, Kanada (mit Einschränkungen), die Färöer-Inseln, Guernsey, Isle of Man, Israel, Jersey, Neuseeland, die Schweiz und Uruguay getroffen. Bei einer Übermittlung in diese Länder sind die Voraussetzungen des § 4b des Bundesdatenschutzgesetzes bis zur förmlichen Aufhebung des entsprechenden Rechtsakts der Kommission durch den Europäischen Gerichtshof daher stets gegeben.
Sofern personenbezogene Daten in Drittstaaten ohne angemessenes Datenschutzniveau übermittelt werden sollen und keiner der in § 4c Absatz 1 des Bundesdatenschutzgesetzes aufgeführten Aus-nahmetatbestände (zum Beispiel eine Einwilligung des Betroffenen) gegeben ist, kann die Aufsichtsbehörde entsprechende Datenübermittlungen genehmigen, wenn die verantwortliche Stelle ausreichende Garantien hinsichtlich des Schutzes des Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte vorweist. Diese Garantien können sich insbesondere aus Vertragsklauseln oder verbindlichen Unternehmensregelungen (sog. Binding Corporate Rules) ergeben. Werden die von der EU-Kommission als ausreichende Garantien anerkannten sog. Standardvertragsklauseln gewählt, ist in Baden-Württemberg weder eine Genehmigung durch noch eine Anzeige bei der Datenschutzaufsichtsbehörde erforderlich. Derzeit gibt es drei solcher Standardvertragsklauseln:
- Standardvertragsklauseln für die Datenübermittlung (2001/497/EG),
- Alternative Standardvertragsklauseln für die Datenübermittlung (2004/915/EG),
- Standardvertragsklauseln für Auftragsdatenverarbeitung (2010/87/EU).
Einen Überblick über den EU-U.S. Privacy Shield mit weiterführenden Hinweisen finden Sie hier.