|
Datentransfer in Drittländer
Aufgrund der EU-Richtlinie zum Schutz personenbezogener Daten ist mittlerweile in fast allen Datenschutzgesetzen geregelt, wann eine Datenübermittlung an öffentliche oder nichtöffentliche
Stellen in Drittländern erfolgen darf.
Hierfür erforderlich ist ein „angemessenes Datenschutzniveau“ in dem Empfängerland.
Drittländer sind alle Staaten außerhalb der EU (BDSG: auch außerhalb des EWR-Wirtschaftsraums; abweichend einige LDSG). Verlangt also z. B. eine öffentliche Stelle oder ein Unternehmen aus einem Nicht-EU-Mitgliedstaat die Übermittlung personenbezogener Daten, darf sie nur erfolgen, wenn in dem jeweiligen Staat ein angemessenes Datenschutzniveau herrscht, die Betroffenen eingewilligt haben oder beim Datenimporteur ausreichende Datenschutzgarantien (z. B. durch vertragliche Vereinbarung mit dem Datenexporteur) vorhanden sind.
Ob beim Empfänger ein angemessenes Datenschutzniveau herrscht, hat die übermittelnde Stelle festzustellen.
Im nicht-öffentlichen Bereich sollte der Datenschutzbeauftragte (DSB) dieses Datenschutzniveau beurteilen. Im öffentlichen Bereich kann (in NRW „muss“) der Landesdatenschutzbeauftragte
gehört werden.
Die Europäische Kommission hat mit für alle EU-Staaten bindender Wirkung entschieden, dass die Schweiz, Kanada, Argentinien und Guernsey ein angemessenes Datenschutzniveau gewährleisten.
Mit der US-Regierung wurden die sieben Safe-Harbor-Prinzipien ausgehandelt (ABl. EG 2000 L215 vom 25.8.2000).
Nur dann, wenn sich ein US-Unternehmen diesen Prinzipien
unterworfen hat und sie beachtet, gilt es als in dieser Hinsicht mit angemessenem Datenschutzniveau versehen, als "sicherer Hafen". Siehe auch “Safe Harbour” hier im Glossar.
|
