Datenschutz in der EU und in Drittstaaten

Allgemein

DSGVO? BDSG? EU-US-Privacy Shield? Datenschutzrechtliche Begriffe wie diese sind auch jetzt noch in aller Munde in Deutschland, der EU und auch darüber hinaus. Vielen sind diese Ausdrücke inzwischen zwar vertraut, doch die wirkliche Bedeutung dahinter ist für viele aber oftmals nach wie vor schleierhaft. Vor allem wird gerne die Frage aufgeworfen, wie das Zusammenspiel zwischen den einzelnen datenschutzrechtlichen Regelungen ist und wie diese Zusammenarbeit der einzelnen Regularien für Nicht-EU-Staaten greift. Dieser Artikel geht den wichtigsten Begrifflichkeiten des Datenschutzrechts auf den Grund und klärt die Zusammenhänge. Dafür schauen wir sogar über den europäischen Tellerrand geschaut.

Datenschutz innerhalb der EU

Als prägnanteste Begrifflichkeit ist ohne Zweifel die „DSGVO“ zu nennen. Kein anderer Begriff schlug im Bereich Datenschutz in den letzten Jahren so große Wellen wie dieser. Kein Wunder, schließlich stellt die DSGVO einen Meilenstein im Bereich des Datenschutzrechtes dar. Die seit dem 25. Mai 2018 anzuwendende Datenschutzgrundverordnung ist eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten europaweit vereinheitlicht wurden.

Wenn von der DSGVO geredet wird, muss ebenfalls das BDSG berücksichtigt werden. Das BDSG steht für Bundesdatenschutzgesetz und regelt bzw. ergänzt den Datenschutz speziell in der Bundesrepublik Deutschland. Mit Erlass der DSGVO wurde das bereits seit vielen Jahren geltende BDSG in einigen Teilen an die neue Rechtssituation angepasst. Seitdem wird gerne unterschieden zwischen dem „BDSG alte Fassung“ und dem „BDSG neue Fassung“ oder auch einfach BDSG-neu.

Es existieren demnach grundsätzlich zwei Gesetze zum Datenschutz: Zum einen die DSGVO der Europäischen Union, das für alle EU-Länder verabschiedet wurde und Gültigkeit hat und zum anderen das BDSG der Bundesrepublik Deutschland, dass weitere Spezifika für Datenschutz in Deutschland herausarbeitet. Daneben bestehen aber auch noch Datenschutzgesetze in einzelnen Bundesländern sowie bereichsspezifische Gesetze, z.B. dem Telekommunikationsgesetz und dem Telemediengesetz.

Nun stellt sich die Frage, wie sich das Zusammenspiel der zwei Gesetze auswirkt?

Europäisches Recht geht dem nationalen Recht der einzelnen stets vor. Das heißt, die DSGVO genießt Anwendungsvorrang gegenüber dem BDSG und ist daher zuerst anzusetzen, wenn es um datenschutzrechtliche Fragen geht. Dies ergibt sich aus Art. 288 des Vertrages über die Arbeitsweise der Europäischen Union (AEUV), in dem es heißt: „Die Verordnung hat allgemeine Geltung. Sie ist in all ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat“. Das heißt, dass rein nationale Regelungen, wie sie der deutsche Gesetzgeber im BDSG getroffen hat, normalerweise nicht zulässig sind. Etwas anderes gilt, wenn die DSGVO es ausdrücklich erlaubt, was im Rahmen von sogenannten Öffnungsklauseln auch der Fall ist. Damit ermöglicht der europäische Gesetzgeber den Mitgliedsstaaten auch zusätzlich individuelle Vorschriften aufzustellen. In Deutschland speziell gilt das beispielsweise bei der Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses (§ 26 BDSG) oder beim Auskunftsrecht (§ 34 BDSG). Am ehesten kann das BDSG als ein Gesetz angesehen werden, das ergänzend und aber immer im Zusammenhang mit der DSGVO existiert.

Datenschutz außerhalb der EU

Mit der DSGVO hat die Europäische Union ein einheitliches Datenschutzniveau für alle Mitgliedsstaaten geschaffen und damit eine Einheitlichkeit und Vergleichbarkeit hervorgebracht. Nicht zuletzt das bringt die europäischen Länder auf rechtlicher Ebene näher zusammen. Auch deshalb können personenbezogene Daten innerhalb der EU einfacher verarbeitet und eingesetzt werden. Aber was ist nun mit Datenübermittlungen an Staaten, die nicht Mitglied der Europäischen Union sind bzw. gar nicht in Europa liegen beispielsweise sogenannte Drittstaaten? Personenbezogene Daten dürfen nur dann in einen Drittstaat übermittelt werden, wenn dort ein angemessenes Schutzniveau sichergestellt werden kann, so ist es jedenfalls in Art. 44 DSGVO festgeschrieben.

Um dieses Problem zu lösen, kann die Europäische Kommission gemäß Art. 45 Abs. 3 DSGVO sogenannte Angemessenheitsbeschlüsse erlassen. Hierin stellt sie fest, dass personenbezogene Daten in einem bestimmten Drittland einen mit dem europäischen Datenschutzrecht vergleichbaren adäquaten Schutz genießen. Hat die Europäische Kommission einen entsprechenden Angemessenheitsbeschluss gefasst, so dürfen personenbezogene Daten, sofern die sonstigen Bestimmungen der DSGVO eingehalten werden, ohne weitere Genehmigung an den jeweiligen Staat übermittelt werden. Datenübermittlungen mit einer solchen Angemessenheit erhalte daher eine besondere Güte und werden innerhalb der EU freigestellt. Solche Angemessenheitsbeschlüsse für die Übermittlung personenbezogener Daten existieren zurzeit für

  • Andorra
  • Argentinien
  • Kanada
  • Färöer-Inseln
  • Guernsey
  • Israel
  • Isle of Man
  • Japan
  • Jersey
  • Neuseeland
  • Schweiz
  • Uruguay

Existiert für das jeweilige Drittland kein Angemessenheitsbeschluss kann die Übermittlung personenbezogener Daten aber auch noch unter anderen Voraussetzungen zulässig sein. Zum einen sind an dieser Stelle die EU-Standardvertragsklauseln zu nennen. Der Datenexporteur und der Datenempfänger können einen Vertrag unter Verwendung der von der EU erstellten Standardvertragsklauseln abschließen, der den Datentransfer ohne weitere Genehmigung zulässig macht.

Darüber hinaus können Datentransfers ebenfalls durch das Abschließen von Binding Corporate Rules erlaubt werden. Diese Richtlinien werden innerhalb von einer Unternehmensgrupp abgeschlossen und schaffen ein Rahmenwerk für einheitliche Prozesse. Damit wird der Schutz personenbezogener Daten im internationalen Umfeld maßgeblich erleichtert. Zudem ist es möglich, das Regelwerk an die Bedürfnisse innerhalb des Konzerns anzupassen. Der große Nachteil ist, dass die Einführung von Binding Corporate Rules mit einem langwierigen und kostenintensiven Prozess einhergeht.

Datenschutz für die EU und weltweit

Allgemeines zur DSGVO

Datenschutz in den USA

Die USA sind aus datenschutzrechtlicher Sicht ein Fall für sich. Über einen Angemessenheitsbeschluss der EU verfügen die USA nicht. Neben der Möglichkeit auf EU-Standardvertragsklauseln oder Binding Corporate Rules zurückzugreifen, existiert speziell für die Vereinigten Staaten noch ein weiteres Instrument für ein angemessenes Datenschutzniveau. Nach Entscheidung der Europäischen Kommission liegt bei der Übertragung von personenbezogenen Daten in die USA dann ein angemessenes Datenschutzniveau vor, wenn das Unternehmen dem EU-US-Privacy-Shield-Abkommen beigetreten ist. Dieses Abkommen besteht aus einer Reihe von Zusicherungen zwischen der US-amerikanischen Regierung und der Europäischen Kommission, die ein angemessenes Datenschutzniveau zum Ziel haben. US-amerikanische Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten wollen, müssen sich in eine Liste eintragen, die vom US-Handelsministerium geführt wird. Die Eintragung in die Liste kommt einer Selbstzertifizierung des Unternehmens gleich, durch welche es sich verpflichtet, die Prinzipien des Abkommens zu achten. Dazu gehört beispielsweise das Prinzip der Datensparsamkeit, das dafür sorgt, dass nur die tatsächlich erforderlichen Angaben erhoben und verarbeitet werden. Auch gehört das Prinzip der Zweckbindung dazu. Das heißt, dass die personenbezogenen Daten nur für den angegebenen Zweck und nicht in anderen Kontexten verwendet werden dürfen.
Zu den Rechten, die EU-Bürger gegenüber US-amerikanischen Unternehmen haben, gehören unter anderem das Recht auf Information, das Recht auf Auskunft oder auch das Recht auf Berichtigung falscher Daten. Viele dieser Punkte sind ähnlich zu den Vorgaben der DSGVO. Zudem haben Personen, die von einer Übermittlung ihrer personenbezogenen Daten betroffen sind und einen Verstoß gegen die Prinzipien des EU-US-Privacy Shield-Abkommens sehen, jederzeit die Möglichkeit Beschwerde bei einer unabhängigen Stelle oder alternativ an die nationale Datenschutzbehörde einzureichen.

Icon Info

Kurz und knapp

Wenn erst einmal ein wenig Licht in den Datenschutz-Dschungel gebracht wurde, ist die Unterscheidung der einzelnen Begriffe und der Anwendung der verschiedenen Rechtsinstrumente nicht schwer. Innerhalb der Bundesrepublik Deutschland existiert die DSGVO als primäre Rechtsmaterie und das BDSG als ergänzendes Regelwerk. Sollte bei der Übertragung von personenbezogene Daten in Drittstaaten kein Angemessenheitsbeschluss der Europäischen Kommission vorliegen, besteht die Möglichkeit auf die EU-Standartvertragsklauseln oder Binding Corporate Rules als Rechtsinstrumente zurückzugreifen. Im speziellen Fall der USA besteht ferner die Möglichkeit, dass das korrespondierende US-amerikanische Unternehmen dem EU-US-Privacy-Shield beigetreten ist, was die Datenübertragung ebenfalls legitimiert.

Datenschutz-Schulung

Tauschen Sie sich mit uns aus!