Wird die Weitergabe privater Informationen an Drittländer berücksichtigt, wenn sie ins Internet gestellt werden?
Nein, wenn die Daten auf der Website eines in der EU ansässigen Internetanbieters gespeichert sind.
Die Sicherheit personenbezogener Daten ist Teil des einheitlichen europäischen Verfassungssystems und in Artikel 8 der EU-Grundrechtecharta verankert.
Das Bedürfnis nach der Sicherheit persönlicher Daten ist jedoch nicht auf Europa beschränkt. Verbraucher auf der ganzen Welt vertrauen und schätzen ihre Privatsphäre mehr und mehr. Die Unternehmen ihrerseits wissen, dass ein gutes Datenschutzkonzept ihnen einen Wettbewerbsvorteil verschafft, weil es das Vertrauen in ihre Dienstleistungen stärkt.
Viele von ihnen, insbesondere diejenigen mit globaler Reichweite, richten ihre Datenschutzpolitik an der DSGVO aus, weil sie in der EU Geschäfte machen wollen, aber auch, weil sie sie als Vorbild sehen.
Inwieweit ist die Dritte Welt für die Übermittlung personenbezogener Daten gerüstet?
In Ermangelung eines Urteils über die Angemessenheit des Schutzniveaus finden Auslandsübermittlungen auf der Grundlage einer Vielzahl alternativer Übermittlungsinstrumente statt, die einen angemessenen Datenschutz gewährleisten. Die Reform formalisiert und erweitert den Spielraum für die Nutzung bestehender Mechanismen wie Standardvertragsklauseln (CCS) und zwingende gesellschaftsrechtliche Vorschriften (BCR).
Was sind die notwendigen Schutzmaßnahmen?
Betreibern und Mitarbeitern ist es gestattet, unter bestimmten Umständen genehmigte Verhaltenskodizes oder Zertifizierungsmechanismen (wie Siegel oder Datenschutzmarken) zu verwenden, um angemessene Sicherheitsvorkehrungen zu treffen.
Dies sollte es ermöglichen, maßgeschneiderte Lösungen für Auslandsüberweisungen zu schaffen, die beispielsweise den besonderen Merkmalen und Bedürfnissen eines bestimmten Sektors oder Unternehmens oder den Datenströmen entsprechen.
Er sieht auch die Möglichkeit vor, angemessene Garantien für die Übermittlung von Daten zwischen Behörden oder Einrichtungen auf der Grundlage internationaler oder administrativer Vereinbarungen zu bieten.
Gibt es Ausnahmen von dem Recht des für die Verarbeitung Verantwortlichen, personenbezogene Daten zu übermitteln?
Schließlich wird in der Datenschutz-Grundverordnung die Anwendung so genannter „Abweichungen“ oder Ausnahmen (z. B. Genehmigung, Vertragserfüllung oder wesentliche Faktoren des öffentlichen Interesses) präzisiert, auf die sich Einrichtungen unter bestimmten Umständen bei Fehlen einer wirksamen Entscheidung über den Sicherheitsstandard und unabhängig von der Anwendung eines der oben genannten Instrumente bei der Datenübermittlung stützen können.
Er enthält eine neue, wenn auch eingeschränkte Ausnahmeregelung für Übermittlungen, die zur Wahrung der berechtigten Interessen eines Unternehmens erfolgen können.
Wenn es keine angemessenen Entscheidungen oder Zusicherungen gibt, kann die Übermittlung personenbezogener Daten in folgenden Fällen erfolgen:
– wenn die betroffene Person der Übermittlung von Informationen ausdrücklich zugestimmt hat (nachdem sie über die möglichen Risiken informiert wurde)
– Der Übergang ist für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Betreiber unerlässlich.
– Der Umzug ist für den Abschluss eines Vertrags oder die Erfüllung eines im Interesse der betroffenen Person geschlossenen Vertrags erforderlich.
– sie aus Gründen des öffentlichen Interesses unerlässlich ist
– für die Feststellung, Ausübung oder Verteidigung eines Rechts vor Gericht erforderlich sind
– Unerlässlich für die Wahrung der lebenswichtigen Interessen der betroffenen Person oder anderer Personen, wenn die betroffene Person nicht einmal die rechtliche Möglichkeit hat, ihre Einwilligung zu geben.
– Die Übertragung erfolgt aus einem Register, das der Information der Öffentlichkeit dient.
Die Datenschutz-Grundverordnung ermächtigt die Kommission, einen Rahmen für die internationale Zusammenarbeit zu schaffen, um die erfolgreiche Umsetzung der Datenschutzvorschriften zu fördern, unter anderem durch Abkommen über gegenseitige Unterstützung.
In diesem Zusammenhang sollte die Möglichkeit in Betracht gezogen werden, ein Rahmenabkommen über die Zusammenarbeit zwischen den EU-Datenschutzbehörden und den Durchführungsbehörden in einigen Drittländern zu schließen, das sich auch auf die Erfahrungen der Kommission in anderen Bereichen der Rechtsdurchsetzung wie Wettbewerb und Verbraucherschutz stützt.
Die Übermittlung privater Informationen findet nur statt, wenn die Kommission festgestellt hat, dass das betreffende Drittland, das Gebiet oder mehrere Sektoren des Drittlandes ein ausreichendes Schutzniveau bieten. Sie erfordert daher keine besonderen Genehmigungen.
Was bedeutet ein akzeptabler Datenschutzstandard, und warum gibt es besondere Gesetze für die Übermittlung personenbezogener Daten in Drittländer?
– Die Existenz und das wirksame Funktionieren der Aufsichtsbehörde nach der Datenschutz-Grundverordnung;
– Rechtsstaatlichkeit, Achtung der Grundrechte und -freiheiten, einschlägige Rechtsvorschriften;
– internationale Verpflichtungen, die das Drittland im Bereich des Schutzes personenbezogener Daten eingegangen ist, usw.
Gleichzeitig befasst sich die Datenschutz-Grundverordnung speziell mit Fällen, in denen private EU-Einrichtungen auf Ersuchen personenbezogene Daten an Strafverfolgungsbehörden in einem Drittland übermitteln: Solche Übermittlungen außerhalb der EU sind nur unter bestimmten Bedingungen zulässig.
Zum Beispiel auf der Grundlage eines internationalen Abkommens oder wenn die Offenlegung aus einem wesentlichen Grund des öffentlichen Interesses erforderlich ist, der durch das Recht der Union oder eines Mitgliedstaats anerkannt ist.
Zusammenfassung
Liegt keine Entscheidung vor, dürfen personenbezogene Daten von dem für die Verarbeitung Verantwortlichen oder dem für die Verarbeitung Verantwortlichen nur dann in ein Drittland übermittelt werden, wenn er angemessene Garantien vorgesehen hat und wenn für die betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe bestehen.
Diese Garantien können durch verschiedene Standard-Datenschutzklauseln, Verhaltenskodizes, anerkannte Zertifizierungsmechanismen usw. gewährleistet werden.
Der Betreiber unterrichtet in der Zeit bis zum Abschluss der Datenübermittlung nicht nur die Kontrollstelle, sondern auch die betroffene Person über diese Übermittlung.
Für die Übermittlung personenbezogener Daten an Drittländer wurden spezielle Methoden entwickelt, wie z. B. die Entwicklung von Mechanismen für die internationale Zusammenarbeit, um eine wirksame Strafverfolgung zu gewährleisten, und die Bereitstellung internationaler Unterstützung (Beschwerden, Meldungen, Ermittlungshilfe) unter Einhaltung angemessener Garantien.