Drittland/Drittstaat

 

Worum geht es?

Die Datenschutz-Grundverordnung (DS-GVO) ist eine europäische Verordnung, die innerhalb der Europäischen Union (EU) gilt. Das heißt die DS-GVO gilt zwingend für alle Länder, die der EU angehören. Nicht-EU-Mitgliedsstaaten sind sogenannte Drittländer und grundsätzlich nicht an die DS-GVO gebunden. Für den Datentransfer in diese Länder müssen daher bestimmte Voraussetzungen vorliegen. Es ist daher zwingend notwendig im Rahmen von Datenübermittlungen zwischen EU-Staaten und Drittstaaten zu unterscheiden.

 

Welche Länder gelten als Drittland bzw. Drittstaat?

Gemäß geltendem Völkerrecht ist ein Drittland ein Land, das nicht Vertragspartei eines völkerrechtlichen Vertrages ist. Vertragsstaaten sind die Staaten des Europäischen Wirtschaftsraums (EWR), also neben den EU-Mitgliedsstaaten auch Island, Liechtenstein und Norwegen. Demnach sind aus Sicht des EWR alle Länder Drittländer, die nicht Vertragsstaaten des EWR sind. Darunter fallen konkret Länder wie die Schweiz, die USA, China oder Russland.

 

Was ist bei Datenübermittlungen in Drittländer zu beachten?

Für die Übermittlung personenbezogener Daten in Drittländer sind neben dem Vorliegen einer allgemeinen Legitimationsgrundlage aus Art. 6 DS-GVO insbesondere die besonderen Bestimmungen der Artt. 44 ff. DS-GVO zu beachten. Nur wenn diese besonderen Voraussetzungen zu Datenübermittlungen in Drittländer vorliegen, dürfen personenbezogene Daten in ein Drittland übermittelt werden. Die Prüfung dieser Voraussetzungen läuft wie folgt ab:

  1. Zunächst ist die Übermittlung in Drittländer nur erlaubt, wenn die Europäische Kommission gemäß Art. 45 DS-GVO beschlossen hat, dass das Drittland ein angemessenes Schutzniveau gewährleistet. Zum Zeitpunkt des Verfassens dieses Lexikoneintrags sind dies Andorra, Argentinien, Kanada (nur kommerzielle Organisationen), Färöer, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland, Schweiz, Uruguay und die USA (wenn der Empfänger sich selbst dem EU-US Privacy Shield verpflichtet hat).
  2. Fällt ein Drittland nicht unter den Angemessenheitsbeschluss der Europäischen Kommission, ist eine Datenübermittlung in ein Drittland gemäß Art. 46 DS-GVO auch zulässig, sofern der Empfänger geeignete Garantien bietet und den betroffenen Personen durchsetzbare und wirksame Rechtsbehelfe zur Verfügung stehen. Diese Garantien können zum Beispiel durch verbindliche interne Datenschutzvorschriften innerhalb von Unternehmensgruppen (sogenannte Binding Corporate Rules) oder durch von der Kommission geprüfte Standarddatenschutzklauseln, die zwischen dem Übermittler und dem Empfänger gelten, erbracht werden. Weitere Garantien sind in Art. 46 Abs. 2 DS-GVO aufgelistet.
  3. In Art. 49 DS-GVO sind noch Ausnahmetatbestände geregelt, die die Übermittlung personenbezogener Daten in Drittländer erlauben können, wenn weder ein Angemessenheitsbeschluss noch geeignete Garantien vorliegen. Demnach ist die Datenübermittlung zum Beispiel beim Vorliegen einer Einwilligung des Betroffenen zulässig oder wenn die Datenübermittlung aus wichtigen Gründen des öffentlichen Interesses notwendig ist.

Hilfreiche Links:

Aktuelle Liste der durch Angemessenheitsbeschluss bewerteten sicheren Drittländer

Liste der Unternehmen, die sich dem Privacy Shield Framework verpflichtet haben

Verfasser: Bastian Maute, 13.03.2020