[English below]
Neben der Verarbeitung personenbezogener Daten innerhalb der Mitgliedstaaten sowie des EWR-Raumes, regelt die DSGVO (Datenschutzgrundverordnung (EU) 2016/679) im 5. Kapitel unter anderem die Zulässigkeitsvoraussetzungen der Übertragung bzw. Verarbeitung in sogenannten Drittländern, kurzum den internationalen Datentransfer.
Nicht unterschieden wird hierbei, ob der Empfänger staatlich oder privat ist.
Praktisch relevant ist dies insbesondere für die Wahl des Serverstandortes, als auch für jene eines möglichen Auftragsverarbeiters. Eine ebenso wichtige Rolle spielen diese Vorgaben zudem bei der Implementierung bestimmter Anwendungen auf der Website. Man denke hier insb. an US-amerikanische Unternehmen wie Google, Meta usw.
Die DSGVO nennt 3 Voraussetzungen für einen Datentransfer in ein Drittland, welche sicherstellen sollen, dass das Schutzniveau personenbezogener Daten jedenfalls gewahrt bleibt: der Angemessenheitsbeschluss, das Vorliegen geeigneter Garantien, sowie die Ausnahmen für bestimmte Fälle. Zu beachten gilt es aber, dass für jeden Transfer immer die gesamten Vorschriften der DSGVO Anwendung finden, weshalb diese nicht ausser Acht gelassen dürfen.
Der Angemessenheitsbeschluss ist ein von der Kommission erlassener formeller Beschluss, welcher jene Drittländer aufzählt, bei denen die Kommission davon ausgeht, dass das Niveau des Datenschutzes jenem der EU/dem EWR entspricht. Die gilt beispielsweise für die Schweiz.
Die Vereinigten Staaten hingegen gewähren personenbezogenen Daten kein angemessenes Schutzniveau (das vormals geltende EU-U.S. Privacy Shield wurde am 16.07.2020 vom EuGH für ungültig erklärt), weshalb die Vereinigten Staaten im Angemessenheitsbeschluss nicht genannt sind.
In diesem Fall ist das Vorliegen anderer geeigneter Garantien eine weitere Möglichkeit, um einen rechtmässigen Datentransfer in ein Drittland zu ermöglichen.
Von besonderer Relevanz sind dabei die EU- Standarddatenschutzklauseln, welche als Regelwerk von der EU-Kommission und den Aufsichtsbehörden genehmigt wurden. Dieses pauschale Regelwerk kann direkt zwischen dem Verantwortlichen und dem Auftragsverarbeiter verwendet werden. Ab dem 27. Dezember 2022 sind zudem die neuen Standarddatenschutzklauseln zu verwenden.
Hierbei gilt es zu beachten, dass die Drittländer ein angemessenes Schutzniveau der personenbezogenen Daten gewährleisten müssen, dh das Recht oder die Praxis des jeweiligen Drittlandes dürfen die Wirksamkeit der geeigneten Garantie nicht beeinträchtigen.
Existiert weder ein Angemessenheitsbeschluss, noch liegen geeignete Garantien vor, nennt die DSGVO einige Ausnahmen für bestimmte Fälle, welche die Datenübermittlungen, einzelfallbezogen in Drittländer dennoch ermöglichen. Ausnahmen sind beispielsweise die Einwilligung der betroffenen Person oder die Erforderlichkeit der Datenübermittlung zur Vertragserfüllung.
Die Nennung des Drittlandes im Angemessenheitsbeschlusses der Kommission bietet daher die schnellste und rechtssicherste Grundlage, da die EU-Kommission das Schutzniveau jener Drittländer bestätigt und folglich keine weitere Prüfung des jeweiligen Schutzniveaus erforderlich ist.
Die anderen beiden Voraussetzungen, dh das Vorliegen geeigneter Garantien oder eine der in der DSGVO genannten Ausnahmefälle sind immer gemessen am Schutzniveau des konkreten Drittlandes zu beurteilen.
Zu beachten ist daher, dass die DSGVO bei Verstößen gegen die Bestimmungen zur Übermittlung personenbezogener Daten an Drittländer Geldbußen von bis zu 20 Mio. Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres vorsieht. Jüngstes und sehr prominentes Beispiel ist hier die jüngst gegen den Facebook-Konzern „META“ verhängte Rekordstrafe iHv EUR 1,2 Milliarden.
Haben Sie hierzu Fragen oder benötigen Sie Hilfe?
Wir stehen Ihnen gerne persönlich, telefonisch oder per E-Mail zur Verfügung.
In addition to the processing of personal data within the member states and the EEA, the GDPR (General Data Protection Regulation (EU) 2016/679) regulates in Chapter 5, among other things, the admissibility requirements for transfer or processing in so-called third countries, in short, international data transfer.
It does not matter whether the recipient is a state or private entity.
In practice, this is particularly relevant for the choice of server location, as well as for that of a possible processor. These specifications also play an equally important role in the implementation of certain applications on the website. To mention US companies such as Google, Meta, etc.
The GDPR lists 3 legal bases for a third country data transfer, which ensure that the level of protection of personal data is maintained in any case.
This is the adequacy decision, the existence of appropriate safeguards, as well as the exceptions for certain cases. It should be noted that these legal bases are a prerequisite for a compliant data transfer to a third country, but nevertheless the entire provisions of the GDPR apply to each transfer.
The adequacy decision is a formal decision issued by the European Commission that determines that data protection in a third country is equivalent to that in the EU/EEA. This adequacy has been established, for example, regarding Switzerland.
The United States, on the other hand, does not provide an adequate level of protection for personal data (the previously effective EU-U.S. Privacy Shield was declared invalid by the CJEU on 16.07.2020) because the authorities can legally access the personal data at any time.
If it is a third country for which the European Commission has not issued an adequacy decision, the existence of other appropriate safeguards is another possibility to carry out a lawful data transfer to a third country.
Of particular relevance are the EU standard data protection clauses, which are approved as a set of rules by the EU Commission and the supervisory authorities. This blanket set of rules can be used directly between the controller and the processor without further approval. From 27 December 2022, the new standard data protection clauses must also be used.
It should be noted that those third countries must ensure an adequate level of protection of personal data, which means that the law or practice of the respective third country does not affect the effectiveness of the appropriate guarantee.
If there is neither an adequacy decision nor suitable safeguards, the GDPR mentions some exceptions for certain cases that allow data to be transferred to third countries on a case-by-case basis. At this point, you will find, among other things, the consent of the data subject or the necessity of the data transfer for the fulfilment of the contract.
The first legal basis of the adequacy decision offers a fast, legally secure implementation, as the EU Commission confirms the level of protection of that third country and consequently no separate assessment is required.
The following two other legal bases must always be assessed in terms of the level of protection of the specific third country. This leaves a certain amount of room for interpretation.
Violations of the provisions on the transfer of personal data to third countries are subject to fines of up to EUR 20 million or, in the case of a company, up to 4% of its total worldwide annual turnover of the previous financial year. The most recent and a very prominent example is the record fine of EUR 1.2 billion recently imposed on the Facebook group "META".
Do you have any questions or do you need help?
We are pleased to be at your service.
