Welche Anforderungen gibt es für internationale Datentransfers nach der Datenschutzgrundverordnung?

Am 25. Mai 2016 ist mit der Datenschutzgrundverordnung eine neue rechtliche Grundlage zum Datenschutz in der EU verabschiedet worden. Wir beantworten die wichtigsten Fragen. In diesem Beitrag erklären wir, welche speziellen Anforderungen es für internationale Datentransfers gibt, besonders gehen wir dabei eauch auf die USA ein.

Datentransfers in Drittstaaten (also in Länder außerhalb des Europäischen Wirtschaftsraumes) werden auch weiterhin durch die Datenschutzgrundverordnung reguliert und beschränkt. Die Voraussetzungen für einen Transfer sind grundsätzlich die Gleichen, wie nach gegenwärtigem Recht. Die bisherigen Instrumente für eine Datenübermittlung, wie ‚Binding Corporate Rules‘ und ‚Standardvertragsklauseln‘ oder die Möglichkeit des Datentransfers auf Grundlage einer Einwilligung oder zur Erfüllung eines Vertrages, bleiben bestehen. Die auf Grundlage der Datenschutzrichtlinie 95/46/EG von der Kommission erlassenen Beschlüsse über ein angemessenes Datenschutzniveau in verschiedenen Ländern werden ebenfalls in Kraft bleiben (können aber natürlich, wie bisher auch, durch neue Beschlüsse der Kommission aufgehoben, ersetzt oder abgeändert werden).
Neu ist aber vor allem Folgendes:

• Die Kommission darf mit Wirkung für die gesamte Union beschließen, dass auch ein Gebiet oder ein bestimmter Sektor eines Drittlands oder eine internationale Organisation ein angemessenes Datenschutzniveau bietet (früher war dies nur für ein bestimmtes Drittland möglich).
• Ausnahmsweise sollen auch Übermittlungen, die als nicht wiederholt erfolgend gelten können und nur eine begrenzte Zahl von betroffenen Personen betreffen, auch zur Wahrung zwingender berechtigter Interessen des Verantwortlichen möglich sein, sofern die Interessen oder Rechte und Freiheiten der betroffenen Person nicht überwiegen.
• Die Datenschutzgrundverordnung regelt nunmehr ausdrücklich ‚Binding Corporate Rules‘ und legt insoweit bestimmte Mindestanforderungen bezüglich des notwendigen
  Inhalts fest. Daneben sieht die Verordnung nun auch bestimmte Verhaltensregeln (sog. „Code of Conduct“) und die Möglichkeit einer Zertifizierung vor, welche vorbehaltlich einer Genehmigung durch die zuständige Aufsichtsbehörden ebenfalls Grundlage für eine Datenübermittlung sein können. Datentransfers in Drittstaaten werden daher nach wie vor für Unternehmen ein wichtiges Compliance-Thema bleiben, gerade auch vor dem Hintergrund, dass die entsprechenden Vorschriften vom Katalog umfasst sind, für den potentiell Strafen in Höhe von 4 Prozent des gesamten weltweit erzielten Jahresumsatzes eines Unternehmens verhängt werden können und dass Non-Compliance nunmehr nicht nur die verantwortliche Stelle sondern auch den Auftragnehmer treffen kann.