Dürfen meine personenbezogenen Daten ins Ausland übermittelt werden?

Werden personenbezogene Daten an EmpfängerInnen übermittelt, die ihren Sitz in einem anderen Mitgliedstaat des Europäischen Wirtschaftsraums (EWR) haben, gelten dieselben Voraussetzungen wie bei einer Datenübermittlung innerhalb Österreichs. Außerhalb des EWR gelten sehr spezifische Regeln.

Besteht für eine Datenübermittlung eine Rechtsgrundlage, darf der Verantwortliche personenbezogene Daten an Dritte mit Sitz in einem anderen EWR-Mitgliedstaat übermitteln und offenlegen.

Die Datenübermittlung in einen Drittstaat, also EmpfängerInnen mit Sitz außerhalb der EWR, darf hingegen nur in ganz bestimmten Fällen vorgenommen werden:

  • Im Drittland besteht ein angemessenes Datenschutzniveau. Laut der Europäischen Kommission trifft dies derzeit auf folgende Staaten zu: Andorra, Argentinien, Färöer-Inseln, Guernsey, Insel Man, Israel, Jersey, Kanada, Neuseeland, Schweiz, Uruguay.
     
  • Die oder der Verantwortliche hat geeignete Garantien vorgesehen. Zum Beispiel: verbindliche interne Datenschutzvorschriften, die von der zuständigen Aufsichtsbehörde genehmigt wurden; Standarddatenschutzklauseln, die von der Kommission genehmigt wurden. Ihnen als betroffene Person müssen gleichzeitig durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.
     
  • Bestimmte Ausnahmefälle, wie zum Beispiel: Die betroffene Person hat in die Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die Risiken einer solchen Datenübermittlung unterrichtet wurde. Die Datenübermittlung ist für die Erfüllung eines Vertrages zwischen der betroffenen Person und dem Verantwortlichen erforderlich.

 

Abgesehen davon darf eine Übermittlung an ein Drittland nur dann erfolgen, wenn

  • die Übermittlung nicht wiederholt erfolgt,
     
  • die Übermittlung nur eine begrenzte Zahl von betroffenen Personen betrifft,
     
  • die Übermittlung für die Wahrung der berechtigten Interessen der Verantwortlichen erforderlich ist und die Interessen oder Rechte der betroffenen Person nicht überwiegen,
     
  • der Verantwortliche geeignete Garantien in Bezug auf den Schutz personenbezogener Daten vorgesehen hat. Der Verantwortliche muss die Aufsichtsbehörde und die betroffene Person von solchen Übermittlungen informieren.

 

Für Datenübermittlungen in die USA besteht ein Abkommen zwischen der Europäischen Union und den USA („Privacy Shield“). Demnach können sich US-Unternehmen selbst verpflichten, gewisse datenschutzrechtliche Vorgaben einzuhalten und sich vom US-Handelsministerium zertifizieren lassen. Wurde das US-Unternehmen zertifiziert, war der Datenfluss an dieses Unternehmen nach einer Entscheidung der Europäischen Kommission [Beschluss (EU) 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild („Privacy Shield“) gebotenen Schutzes] bis zuletzt grundsätzlich genehmigungsfrei. Diese Entscheidung der Europäischen Kommission wurde allerdings zuletzt vom Europäischen Gerichtshof aufgehoben (Urteil in der Rechtssache C-311/18 Data Protection Commissioner / Maximillian Schrems und Facebook Ireland). Datenübermittlungen in die USA dürfen seither nur auf Basis anderer Rechtsgrundlagen stattfinden.

Was bedeutet mein Recht auf Auskunft?

Jede betroffene Person kann von Verantwortlichen Auskunft darüber verlangen, ob betreffende personenbezogene Daten verarbeitet werden.

Wie mache ich mein Auskunftsrecht geltend?

Das Auskunftsbegehren können Sie grundsätzlich formlos stellen. Sie müssen auch nicht begründen, wieso Sie eine Auskunft wollen. Die oder der Verantwortlic...

Was bedeutet mein Recht auf Berichtigung?

Als betroffene Person haben Sie das Recht unrichtige personenbezogener Daten wie eine alte Adresse berichtigen zu lassen. Grundsätzlich sind Verantwortlich...

Was bedeutet mein Recht auf Löschung?

Als betroffene Person können Sie verlangen, dass der Verantwortliche Ihre personenbezogenen Daten unverzüglich löscht, sofern keine Rechtsgrundlage für die...

Wie mache ich mein Recht auf Löschung geltend?

Einen Antrag auf Löschung Ihrer personenbezogenen Daten können Sie formlos stellen. Bei elektronischen Datenverarbeitungen sollte die Möglichkeit bestehen,...

Weitere Fragen und Antworten?

Sie suchen weitere Fragen und Antworten (FAQs) zum Thema "Datenschutzrecht"? Sie haben eine andere Frage?

Zu allen FAQs Frage stellen

Letzte Änderung: 20.03.2024