Drittland / Drittstaat

Worum geht es?

Die Datenschutz-Grundverordnung (DS-GVO) ist eine europäische Verordnung, die innerhalb der Europäischen Union (EU) gilt.  Die DS-GVO gilt also zwingend für alle Länder, die der EU angehören. Nicht-EU-Mitgliedsstaaten sind sogenannte Drittländer und grundsätzlich nicht an die DS-GVO gebunden. Für den Datentransfer in diese Länder müssen daher bestimmte Voraussetzungen vorliegen.

Welche Länder gelten als Drittland bzw. Drittstaat?

Als Drittländer bzw. Drittstaaten gelten alle Länder, die nicht zum Europäischen Wirtschaftsraum (EWR) gehören. In erster Linie gehören natürlich alle EU-Staaten dem EWR an. Darüber hinaus sind aber auch Island, Liechtenstein und Norwegen Teil des EWR und damit keine Drittländer, auch wenn sie nicht der Europäischen Union angehören. 

Alle anderen Staaten dieser Welt sind nicht Teil des EWR und gelten insofern als Drittländer. Konkrete Beispiele sind die Schweiz, die USA, China, Russland oder seit dem Brexit auch Großbritannien.

Was ist bei der Datenübermittlung in ein Drittland zu beachten?

Für die Übermittlung personenbezogener Daten in Drittländer sind neben dem Vorliegen einer allgemeinen Legitimationsgrundlage aus Art. 6 DS-GVO insbesondere die Bestimmungen der Artt. 44 ff. DS-GVO zu beachten. Nur wenn diese besonderen Voraussetzungen zu Datenübermittlungen in Drittländer vorliegen, dürfen personenbezogene Daten in ein Drittland übermittelt werden. Ob die Voraussetzungen für eine rechtmäßige Datenübermittlung in Drittländer vorliegen, ist in folgender Reihenfolge zu überprüfen.:

1. Übermittlung auf Basis eines Angemessenheitsbeschlusses

Zunächst ist die Übermittlung in Drittländer nur erlaubt, wenn die Europäische Kommission gemäß Art. 45 DS-GVO in einem Angemessenheitsbeschluss festgestellt hat, dass das Drittland ein adäquates Schutzniveau gewährleistet. Zum Zeitpunkt des Verfassens dieses Beitrags sind dies Andorra, Argentinien, Kanada (nur kommerzielle Organisationen), Färöer, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland, Schweiz und Uruguay.

Am 28.06.2021 wurde zudem für Großbritannien der Angemessenheitsbeschluss festgestellt. Dieser ist zunächst nur für vier Jahre gültig und muss dann erneut überprüft werden.

Aktuell läuft zudem ein Verfahren zum Erlass eines Angemessenheitsbeschlusses für Südkorea.

2. Übermittlung vorbehaltlich geeigneter Garantien

Wird für ein Drittland kein Angemessenheitsbeschluss durch die Europäische Kommission festgestellt, ist eine Datenübermittlung in ein Drittland gemäß Art. 46 Abs. 1 DS-GVO auch zulässig, sofern der Datenempfänger geeignete Garantien zum Schutz der Daten bietet und den betroffenen Personen durchsetzbare und wirksame Rechtsbehelfe zur Verfügung stehen.

Beispiele für „geeignete Garantien“ sind in Abs. 2 aufgeführt. Zum Beispiel können verbindliche interne Datenschutzvorschriften, die innerhalb von Unternehmensgruppen gelten, eine geeignete Garantie darstellen (sogenannte Binding Corporate Rules, näher geregelt in Art. 47 DS-GVO).

Eine weitere geeignete Garantie kann in den von der Kommission geprüften Standardvertragsklauseln bestehen. Die Standardvertragsklauseln werden zwischen dem Übermittler und dem Empfänger als vertragliche Regelung abgeschlossen und sind von hoher praktischer Relevanz. Am 04.06.2021 hat die EU-Kommission neue Standardvertragsklauseln verabschiedet, mit denen die alten Standardvertragsklauseln bis Ende 2022 zu ersetzen sind. Was hier zu beachten ist, können Sie in unserem Blogbeitrag nachlesen.

3. Ausnahmeregelungen für besondere Fälle

Wenn weder ein Angemessenheitsbeschluss noch geeignete Garantien nach Art. 46 DS-GVO vorliegen, sind in Art. 49 DS-GVO weitere Ausnahmetatbestände geregelt, die eine Übermittlung personenbezogener Daten in Drittländer legitimieren können. Demnach ist die Datenübermittlung zum Beispiel zulässig, wenn die Datenübermittlung aus wichtigen Gründen des öffentlichen Interesses notwendig ist oder eine entsprechenden Einwilligung des Betroffenenvorliegt. Zur Wirksamkeit der Einwilligung muss die einwilligende Person jedoch vorab über die bestehenden Risiken informiert werden, die sich mangels Angemessenheitsbeschluss bzw. mangels geeigneter Garantien für sie ergeben.   

Hilfreiche Links:

Verfasser: Bastian Maute, 13.03.2020, aktualisiert am 16.07.2021

Sie wollen mehr erfahren? Lassen Sie sich von uns beraten und nehmen Sie jetzt Kontakt auf!