DSGVO: Sieben Wege, um Daten in Drittländer zu übertragen

Während Unternehmen innerhalb der EU personenbezogene Informationen im Rahmen der Datenschutz-Grundverordnung, die ab dem 25. Mai gilt, frei übertragen können, gilt das nicht für andere Länder. Naida Šehić erklärt in einem kostenlosen Artikel der aktuellen iX 5/2018, welche sieben Wege Firmen offenstehen, um Daten dennoch ins Ausland übermitteln zu können.

Zunächst geht die DSGVO davon aus, dass kein Land außerhalb der EU ein angemessenes Datenschutzniveau gewährleistet. Jedoch kann die EU-Kommission festlegen, dass ein bestimmtes Land dies dennoch erfüllt. Momentan finden sich auf der Liste Andorra, Argentinien, Kanada bei privaten Stellen, die Schweiz, Färöer-Inseln, Guernsey, Israel, die Isle of Man, Jersey, Neuseeland und Uruguay. Japan und Südkorea könnten bald dazugehören.

Der wichtigste Spieler, gerade in Zeiten der grenzenlosen Cloud, fehlt jedoch: Die USA gewährleisten in den Augen der Europäischen Kommission kein angemessenes Datenschutzniveau. Jedoch haben die Verantwortlichen einen sektorspezifischen Angemessenheitsbeschluss getroffen, wonach US-Unternehmen dann Daten erhalten dürfen, wenn sie nach dem Privacy-Shield-Programm zertifiziert sind. Alle Entscheidungen zu Ländern oder Sektoren muss die Kommission alle vier Jahre überprüfen.

Unternehmen stehen aber noch weitere Instrumente zur Verfügung: So gelten Standardvertragsklauseln zwischen Exporteur und Importeur weiterhin. Auch können beide Seiten branchenspezifische Kodizes abschließen, die Verhaltensregeln festlegen. Firmen stehen ferner Datenschutzzertifizierungen offen. Schließlich sieht die DSGVO ein ganzes Bündel an Ausnahmen vor, die Interessierte im Artikel nachvollziehen können.

Siehe dazu auch:

• DSGVO - Datentransfers: Neue Regeln für den internationalen Datenverkehr, iX 5/2018, S. 52.

(fo)