Der Düsseldorfer Kreis, also das Gremium, in dem alle 16 Datenschutzaufsichtsbehörden vertreten sind, hat noch einmal den nachfolgenden Grundsatz betont:
Bei Datenübermittlungen in einen Drittstaat, also einen Staat außerhalb der EU bzw. des Europäischen Wirtschaftsraums (z.B. Norwegen), sind Datenschutzfragen auf zwei Stufen zu prüfen. Typische Drittstaaten sind China, die USA oder Indien:
1. Stufe: Die Datenübermittlung muss durch eine Einwilligung der betroffenen Person oder eine Rechtsvorschrift gerechtfertigt sein (z.B. §§ 28 und 32 Bundesdatenschutzgesetz (BDSG))
2. Stufe: Im Ausland muss ein angemessenes Datenschutzniveau bestehen oder es müssen die Ausnahmen nach § 4c BDSG vorliegen.
Achtung: Die Datenübermittlung ist nur zulässig, wenn auf beiden Stufen ein positives Prüfungsergebnis vorliegt!
Die Aufsichtsbehörden weisen noch darauf hin, dass trotz Vorliegens einer Auftragsdatenverarbeitung auf der 1. Stufe die Datenübermittlung nach § 4 Abs. 1 BDSG zulässig sein muss (vgl. § 3 Abs. 8 BDSG). Bei einer Auftragsdatenverarbeitung in einer Drittstaatenkonstellation ist der Prüfungsmaßstab in der Regel dann § 28 Abs. 1 Satz 1 Nr. 2 BDSG (Wahrung berechtigter Interessen der verantwortlichen Stelle), bei sensitiven Daten sind § 28 Abs. 6 ff. BDSG zu beachten.
Der Beschluss des Düsseldorfer Kreises kann hier abgerufen werden.
Wenn Sie Fragen zum Thema Internationale Datenverarbeitung haben oder eine Beratung im Zusammenhang mit der Übermittlung von Daten in Drittstaaten haben, hilft Ihnen Rechtsanwalt Nikolaus Ehlenz gerne weiter.